Ausführende Konten und Profile

Wichtig

Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.

Ausführende Konten definieren die Anmeldeinformationen, die für bestimmte, vom Operations Manager-Agent ausgeführte Aktionen verwendet werden. Diese Konten werden zentral über die Betriebskonsole verwaltet und verschiedenen ausführenden Konten zugewiesen. Wenn einer bestimmten Aktion kein ausführendes Profil zugewiesen wurde, wird sie mit dem Standardaktionskonto ausgeführt. In einer Umgebung mit niedrigen Berechtigungen verfügt das Standardkonto möglicherweise nicht über die erforderlichen Berechtigungen für eine bestimmte Aktion. Um diese Berechtigung bereitzustellen, kann ein ausführendes Profil verwendet werden. Management Packs installieren möglicherweise ausführende Profile und ausführende Konten, um erforderliche Aktionen zu unterstützen. Informieren Sie sich in diesem Fall in der zugehörigen Dokumentation über die erforderliche Konfiguration.

Ausführende Standardkonten

Die folgende Tabelle zeigt die ausführenden Standardkonten, die von Operations Manager während des Setups erstellt werden.

Name BESCHREIBUNG Anmeldeinformationen
Domain\ManagementServerActionAccount Hierbei handelt es sich um das Benutzerkonto, mit dem standardmäßig alle Regeln auf Verwaltungsservern ausgeführt werden. Domänenkonto, das während des Setups als Verwaltungsserver-Aktionskonto angegeben wird
Lokales Systemaktionskonto Integriertes Systemkonto, das als Aktionskonto verwendet wird. Lokales Windows-Systemkonto
APM-Konto Konto zur Anwendungsleistungsüberwachung (Application Performance Monitoring, APM), mit dem Schlüssel zur Verschlüsselung vertraulicher Informationen bereitgestellt werden, die während der Überwachung von der Anwendung gesammelt wurden. Verschlüsseltes binäres Konto
Data Warehouse-Aktionskonto Wird zur Authentifizierung bei der SQL Server-Instanz verwendet, auf der die OperationsManagerDW-Datenbank gehostet wird. Domänenkonto, das während des Setups als Data Warehouse-Konto für Schreibvorgänge angegeben wird
Data Warehouse-Berichtsbereitstellungskonto Wird zur Authentifizierung zwischen dem Verwaltungsserver und der SQL Server-Instanz verwendet, auf der die Operations Manager Reporting Services gehostet werden. Domänenkonto, das während des Setups als Datenlesekonto angegeben wird
Lokales Windows-Systemkonto Integriertes Systemkonto, das vom Agent-Aktionskonto verwendet wird. Lokales Windows-Systemkonto
Windows-Netzwerkdienstkonto Integriertes Netzwerkdienstkonto. Windows-Netzwerkdienstkonto

Ausführende Standardprofile

Die folgende Tabelle zeigt die ausführenden Profile, die von Operations Manager während des Setups erstellt werden. Beachten Sie Folgendes: Wenn das ausführende Konto für ein bestimmtes Profil leer gelassen wird, wird das Standardaktionskonto verwendet (je nachdem, wo die Aktion ausgeführt wird, entweder das Verwaltungsserver-Aktionskonto oder das Agent-Aktionskonto).

Name BESCHREIBUNG Ausführendes Konto
Active Directory-basiertes Agentzuweisungskonto Dieses Konto wird vom Active Directory-basierten Agent-Zuweisungsmodul verwendet, um Zuweisungseinstellungen für Active Directory zu veröffentlichen. Lokales Windows-Systemkonto
Konto zur automatischen Agentverwaltung Dieses Konto wird zur automatischen Diagnose von Agent-Fehlern verwendet. Keine
Aktionskonto der Clientüberwachung Wird, sofern angegeben, von Operations Manager für die Ausführung sämtlicher Clientüberwachungsmodule verwendet. Wenn das Konto nicht angegeben ist, verwendet Operations Manager das Standardaktionskonto. Keine
Konto der verbundenen Verwaltungsgruppe Dieses Konto wird von Operations Manager-Management Packs verwendet, um die Integrität der Verbindungen mit den verbundenen Verwaltungsgruppen zu überwachen. Keine
Data Warehouse-Konto Falls dieses Konto angegeben ist, wird es anstelle des Standardaktionskontos zur Ausführung aller Sammlungs- und Synchronisierungsregeln für das Data Warehouse verwendet. Wenn dieses Konto vom Data Warehouse-SQL Server-Authentifizierungskonto nicht überschrieben wird, wird es von den Sammlungs- und Synchronisierungsregeln zum Herstellen einer Verbindung mit den Data Warehouse-Datenbanken über die integrierte Windows-Authentifizierung verwendet. Keine
Data Warehouse-Berichtsbereitstellungskonto Die Prozeduren für die automatische Bereitstellung von Data Warehouse-Berichten führen mithilfe dieses Kontos verschiedene Vorgänge im Zusammenhang mit der Berichtsbereitstellung aus. Data Warehouse-Berichtsbereitstellungskonto
Data Warehouse-SQL Server-Authentifizierungskonto Sofern angegeben, werden dieser Anmeldename und dieses Kennwort von den Sammlungs- und Synchronisierungsregeln verwendet, um unter Verwendung der SQL Server-Authentifizierung eine Verbindung mit den Data Warehouse-Datenbanken herzustellen. Data Warehouse-SQL Server-Authentifizierungskonto
Aktionskonto für die Management Pack-Aktualisierung Dieses Konto wird von der MPUpdate-Benachrichtigung verwendet. Keine
Benachrichtigungskonto Von Benachrichtigungsregeln verwendetes Windows-Konto Die E-Mail-Adresse dieses Kontos wird bei E-Mail-Nachrichten und Sofortnachrichten als Absender verwendet. Keine
Betriebsdatenbankkonto Dieses Konto wird zum Lesen und Schreiben von Daten in der Operations Manager-Datenbank verwendet. Keine
Privilegiertes Überwachungskonto Dieses Profil wird für Überwachungen verwendet, die nur mit hohen Berechtigungen für ein System ausgeführt werden können, beispielsweise Überwachungen, die die Berechtigung „Lokales System“ oder „Lokaler Administrator“ erfordern. Dieses Profil ist standardmäßig auf die Berechtigung „Lokales System“ festgelegt, sofern diese Einstellung nicht für ein Zielsystem speziell außer Kraft gesetzt wird. Keine
Konto für SDK SQL Server-Authentifizierung bei Berichterstattung Sofern angegeben, werden dieser Anmeldename und dieses Kennwort vom SDK-Dienst verwendet, um unter Verwendung der SQL Server-Authentifizierung eine Verbindung mit den Data Warehouse-Datenbanken herzustellen. Konto für SDK SQL Server-Authentifizierung bei Berichterstattung
Reserviert Dieses Profil ist reserviert und darf nicht verwendet werden. Keine
Konto zur Validierung von Benachrichtigungsabonnements Dieses Konto wird vom Modul zur Überprüfung von Benachrichtigungsabonnements verwendet, das überprüft, ob Benachrichtigungsabonnements im Gültigkeitsbereich liegen. Dieses Profil benötigt Administratorrechte. Lokales Windows-Systemkonto
SNMP-Überwachungskonto Dieses Konto wird für die SNMP-Überwachung verwendet. Keine
SNMPv3-Überwachungskonto Dieses Konto wird für die SNMPv3-Überwachung verwendet. Keine
UNIX/Linux-Aktionskonto Dieses Konto wird für UNIX- und Linux-Zugriffe mit niedrigen Berechtigungen verwendet. Keine
Konto für die UNIX/Linux-Agentwartung Dieses Konto wird für privilegierte Wartungsvorgänge an UNIX/Linux-Agents verwendet. Agentwartungsvorgänge sind ohne dieses Konto nicht möglich. Keine
Privilegiertes UNIX/Linux-Konto Dieses Konto wird für den Zugriff auf geschützte Ressourcen und Aktionen in UNIX/Linux-Systemen verwendet, für die hohe Berechtigungen erforderlich sind. Einige der Regeln, Diagnosen und Wiederherstellungen sind ohne dieses Konto nicht möglich. Keine
Aktionskonto des Windows-Clusters Dieses Profil wird für alle Ermittlungen und Überwachungen der Windows-Clusterkomponenten verwendet. Dieses Profil ist standardmäßig auf das verwendete Aktionskonto festgelegt, sofern vom Benutzer keine spezielle Festlegung vorgenommen wurde. Keine
Aktionskonto der WS-Verwaltung Dieses Profil dient dem WS-Verwaltungszugriff. Keine

Informationen zu Verteilung und Zielauswahl

Damit das ausführende Profil ordnungsgemäß funktioniert, müssen die Verteilung und Zielauswahl für ausführende Konten richtig konfiguriert sein.

Bei der Konfigurierung eines ausführenden Profils wählen Sie die ausführenden Konten aus, die dem Profil zugewiesen werden sollen. Nachdem Sie diese Zuordnung erstellt haben, können Sie die Klasse, die Gruppe oder das Objekt auswählen, für die bzw. das das ausführende Konto verwendet werden soll, um Tasks, Regeln, Monitore und Ermittlungen auszuführen.

Die Verteilung ist ein Attribut eines ausführenden Kontos, und Sie können angeben, für welche Computer die Anmeldeinformationen des ausführenden Kontos bereitgestellt werden sollen. Sie können die Anmeldeinformationen an alle mit Agent verwalteten Computer oder nur an ausgewählte Computer verteilen.

Beispiel für die Zielauswahl durch ausführende Konten: Der physische Computer ABC dient als Host für zwei Instanzen von Microsoft SQL Server, Instanz X und Instanz Y. Jede Instanz verwendet eigene Anmeldeinformationen für das Konto „sa“. Sie erstellen ein ausführendes Konto mit den Anmeldeinformationen von „sa“ für Instanz X und ein weiteres ausführendes Konto mit den Anmeldeinformationen von „sa“ für Instanz Y. Wenn Sie das ausführende Profil für SQL Server konfigurieren, weisen Sie dem Profil die Anmeldeinformationen beider ausführender Konten zu und legen fest, dass die Anmeldeinformationen des ausführenden Kontos X für die Instanz X von SQL Server und die Anmeldeinformationen des ausführenden Kontos Y für die Instanz Y verwendet werden sollen. Anschließend müssen Sie auch die Verteilung der Anmeldeinformationen beider ausführender Konten an den physischen Computer ABC konfigurieren.

Beispiel für die Verteilung ausführender Konten: SQL Server1 und SQL Server2 sind zwei verschiedene physische Computer. SQL Server1 verwendet die Anmeldeinformationen UserName1 und Password1 für das SQL-Konto „sa“. SQL Server2 verwendet die Anmeldeinformationen UserName2 und Password2 für das SQL-Konto „sa“. Das SQL-Management Pack verfügt über ein einziges ausführendes SQL-Profil, das für alle SQL Server-Instanzen verwendet wird. Dann können Sie ein ausführendes Konto für die Anmeldeinformationen von UserName1 und ein anderes ausführendes Konto für die Anmeldeinformationen von UserName2 definieren. Beide ausführenden Konten können dem einzigen ausführenden SQL Server-Profil zugeordnet und für die Verteilung an die entsprechenden Computer konfiguriert werden. Dies bedeutet: UserName1 wird an SQL Server1 verteilt, UserName2 wird an SQL Server2 verteilt. Die zwischen dem Verwaltungsserver und dem Zielcomputer gesendeten Kontoinformationen werden verschlüsselt.

Sicherheit bei ausführenden Konten

In System Center Operations Manager werden Anmeldeinformationen für ausführende Konten nur an die von Ihnen angegebenen Computer verteilt (die sicherere Option). Eine automatische Verteilung ausführender Konten auf der Basis der Ermittlung würde ein Sicherheitsrisiko für Ihre Umgebung bedeuten, wie im folgenden Beispiel veranschaulicht. Aus diesem Grund gibt es in Operations Manager keine Option zur automatischen Verteilung.

Beispiel: Operations Manager identifiziert einen Computer am Vorhandensein eines Registrierungsschlüssels als Host für SQL Server 2016. Dieser Registrierungsschlüssel kann aber auch auf einem Computer erstellt werden, auf dem keine Instanz von SQL Server 2016 ausgeführt wird. Eine automatische Verteilung der Anmeldeinformationen durch Operations Manager an alle mit Agents verwalteten Computer, die als SQL Server 2016-Computer identifiziert wurden, birgt das Risiko einer Verteilung an solche Computer, die nur vorgeben, SQL-Server zu sein. Dort stünden sie dann allen Personen mit Administratorberechtigung für diesen Server zur Verfügung.

Wenn Sie mithilfe von Operations Manager ein ausführendes Konto erstellen, müssen Sie auswählen, ob dieses als „sicherer“ oder „weniger sicher“ konfiguriert werden soll. Bei Auswahl der sichereren Option müssen Sie, wenn Sie das ausführende Konto einem ausführenden Profil zuweisen, die Namen der Computer angeben, an die die Anmeldeinformationen des Kontos verteilt werden sollen. Durch eine aktive Benennung der Zielcomputer können Sie das oben beschriebene Spoofingszenario vermeiden. Bei Auswahl der normalen Sicherheit müssen Sie keine Computer angeben. Die Anmeldeinformationen werden an alle mit Agent verwalteten Computer verteilt.

Hinweis

Die für das ausführende Konto ausgewählten Anmeldeinformationen müssen mindestens über die Berechtigung zur lokalen Anmeldung verfügen, damit das Modul funktioniert.