Ausführende Konten und Profile
Wichtig
Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.
Ausführen als-Konten definieren, welche Anmeldeinformationen für bestimmte Aktionen verwendet werden, die vom Operations Manager-Agent ausgeführt werden. Diese Konten werden zentral über die Betriebskonsole verwaltet und verschiedenen ausführenden Konten zugewiesen. Wenn einem ausführenden Profil keine bestimmte Aktion zugewiesen ist, wird es unter dem Konto Standardaktion ausgeführt. In einer Umgebung mit niedrigen Berechtigungen verfügt das Standardkonto möglicherweise nicht über die erforderlichen Berechtigungen für eine bestimmte Aktion. Um diese Berechtigung bereitzustellen, kann ein ausführendes Profil verwendet werden. Management Packs installieren möglicherweise ausführende Profile und ausführende Konten, um erforderliche Aktionen zu unterstützen. Wenn dies der Fall ist, sollte auf ihre Dokumentation für jede erforderliche Konfiguration verwiesen werden.
Ausführende Standardkonten
In der folgenden Tabelle sind die Standardmäßig ausgeführten Konten aufgeführt, die während des Setups von Operations Manager erstellt wurden.
| Name | BESCHREIBUNG | Anmeldeinformationen |
|---|---|---|
| Domain\ManagementServerActionAccount | Das Benutzerkonto, unter dem alle Regeln standardmäßig auf Verwaltungsservern ausgeführt werden. | Domänenkonto, das während des Setups als Verwaltungsserver-Aktionskonto angegeben wird |
| Lokales Systemaktionskonto | Integriertes Systemkonto, das als Aktionskonto verwendet wird. | Lokales Windows-Systemkonto |
| APM-Konto | Konto zur Anwendungsleistungsüberwachung (Application Performance Monitoring, APM), mit dem Schlüssel zur Verschlüsselung vertraulicher Informationen bereitgestellt werden, die während der Überwachung von der Anwendung gesammelt wurden. Dieses Konto wird automatisch erstellt, sobald Sie Ihre erste .NET-Leistungsmonitor erstellt haben. | Verschlüsseltes binäres Konto |
| Data Warehouse-Aktionskonto | Wird zur Authentifizierung bei der SQL Server-Instanz verwendet, auf der die OperationsManagerDW-Datenbank gehostet wird. | Domänenkonto, das während des Setups als Data Warehouse-Konto für Schreibvorgänge angegeben wird |
| Data Warehouse-Berichtsbereitstellungskonto | Wird zur Authentifizierung zwischen dem Verwaltungsserver und der SQL Server-Instanz verwendet, auf der die Operations Manager Reporting Services gehostet werden. | Domänenkonto, das während des Setups als Datenlesekonto angegeben wird |
| Lokales Windows-Systemkonto | Integriertes Systemkonto, das vom Agent-Aktionskonto verwendet wird. | Lokales Windows-Systemkonto |
| Windows-Netzwerkdienstkonto | Integriertes Netzwerkdienstkonto. | Windows-Netzwerkdienstkonto |
Ausführende Standardprofile
In der folgenden Tabelle sind die ausführend ausgeführten Profile aufgeführt, die von Operations Manager während des Setups erstellt wurden.
Hinweis
Wenn das ausführend-Konto für ein bestimmtes Profil leer bleibt, wird das Standardaktionskonto (entweder das Konto für die Verwaltungsserveraktion oder das Agentaktionskonto, abhängig vom Speicherort der Aktion) verwendet.
| Name | BESCHREIBUNG | Ausführendes Konto |
|---|---|---|
| Active Directory-basiertes Agentzuweisungskonto | Dieses Konto wird vom Active Directory-basierten Agent-Zuweisungsmodul verwendet, um Zuweisungseinstellungen für Active Directory zu veröffentlichen. | Lokales Windows-Systemkonto |
| Konto zur automatischen Agentverwaltung | Dieses Konto wird verwendet, um Agentfehler automatisch zu diagnostizieren. | Keine |
| Aktionskonto der Clientüberwachung | Wird, sofern angegeben, von Operations Manager für die Ausführung sämtlicher Clientüberwachungsmodule verwendet. Wenn das Konto nicht angegeben ist, verwendet Operations Manager das Standardaktionskonto. | Keine |
| Konto der verbundenen Verwaltungsgruppe | Dieses Konto wird von Operations Manager-Management Packs verwendet, um die Integrität der Verbindungen mit den verbundenen Verwaltungsgruppen zu überwachen. | Keine |
| Data Warehouse-Konto | Falls dieses Konto angegeben ist, wird es anstelle des Standardaktionskontos zur Ausführung aller Sammlungs- und Synchronisierungsregeln für das Data Warehouse verwendet. Wenn dieses Konto nicht vom Data Warehouse SQL Server-Authentifizierungskonto überschrieben wird, wird dieses Konto von Sammlungs- und Synchronisierungsregeln verwendet, um mithilfe der integrierten Windows-Authentifizierung eine Verbindung mit den Data Warehouse Datenbanken herzustellen. | Keine |
| Data Warehouse-Berichtsbereitstellungskonto | Die Prozeduren für die automatische Bereitstellung von Data Warehouse-Berichten führen mithilfe dieses Kontos verschiedene Vorgänge im Zusammenhang mit der Berichtsbereitstellung aus. | Data Warehouse-Berichtsbereitstellungskonto |
| Data Warehouse-SQL Server-Authentifizierungskonto | Falls angegeben, werden dieser Anmeldename und das Kennwort von Sammlungs- und Synchronisierungsregeln verwendet, um eine Verbindung mit den Data Warehouse Datenbanken mithilfe SQL Server Authentifizierung herzustellen. | Data Warehouse-SQL Server-Authentifizierungskonto |
| Aktionskonto für die Management Pack-Aktualisierung | Dieses Konto wird von der MPUpdate-Benachrichtigung verwendet. | Keine |
| Benachrichtigungskonto | Von Benachrichtigungsregeln verwendetes Windows-Konto Die E-Mail-Adresse dieses Kontos wird bei E-Mail-Nachrichten und Sofortnachrichten als Absender verwendet. | Keine |
| Betriebsdatenbankkonto | Dieses Konto wird zum Lesen und Schreiben von Daten in der Operations Manager-Datenbank verwendet. | Keine |
| Privilegiertes Überwachungskonto | Dieses Profil wird für Überwachungen verwendet, die nur mit hohen Berechtigungen für ein System ausgeführt werden können, beispielsweise Überwachungen, die die Berechtigung „Lokales System“ oder „Lokaler Administrator“ erfordern. Dieses Profil ist standardmäßig auf die Berechtigung „Lokales System“ festgelegt, sofern diese Einstellung nicht für ein Zielsystem speziell außer Kraft gesetzt wird. | Keine |
| Konto für SDK SQL Server-Authentifizierung bei Berichterstattung | Falls angegeben, werden dieser Anmeldename und das Kennwort vom SDK Service verwendet, um mithilfe der SQL Server Authentifizierung eine Verbindung mit den Data Warehouse Datenbanken herzustellen. | Konto für SDK SQL Server-Authentifizierung bei Berichterstattung |
| Reserviert | Dieses Profil ist reserviert und darf nicht verwendet werden. | Keine |
| Konto zur Validierung von Benachrichtigungsabonnements | Dieses Konto wird vom Modul zur Überprüfung von Benachrichtigungsabonnements verwendet, das überprüft, ob Benachrichtigungsabonnements im Gültigkeitsbereich liegen. Dieses Profil benötigt Administratorrechte. | Lokales Windows-Systemkonto |
| SNMP-Überwachungskonto | Dieses Konto wird für die SNMP-Überwachung verwendet. | Keine |
| SNMPv3-Überwachungskonto | Dieses Konto wird für die SNMPv3-Überwachung verwendet. | Keine |
| UNIX/Linux-Aktionskonto | Dieses Konto wird für UNIX- und Linux-Zugriffe mit niedrigen Berechtigungen verwendet. | Keine |
| Konto für die UNIX/Linux-Agentwartung | Dieses Konto wird für privilegierte Wartungsvorgänge an UNIX/Linux-Agents verwendet. Ohne dieses Konto funktionieren Agent-Wartungsvorgänge nicht. | Keine |
| Privilegiertes UNIX/Linux-Konto | Dieses Konto wird für den Zugriff auf geschützte Ressourcen und Aktionen in UNIX/Linux-Systemen verwendet, für die hohe Berechtigungen erforderlich sind. Ohne dieses Konto funktionieren einige Regeln, Diagnose und Wiederherstellungen nicht. | Keine |
| Aktionskonto des Windows-Clusters | Dieses Profil wird für alle Ermittlungen und Überwachungen der Windows-Clusterkomponenten verwendet. Dieses Profil verwendet standardmäßig Aktionskonten, es sei denn, es wird vom Benutzer aufgefüllt. | Keine |
| Aktionskonto der WS-Verwaltung | Dieses Profil dient dem WS-Verwaltungszugriff. | Keine |
Informationen zu Verteilung und Zielauswahl
Damit das ausführende Profil ordnungsgemäß funktioniert, müssen die Verteilung und Zielauswahl für ausführende Konten richtig konfiguriert sein.
Bei der Konfigurierung eines ausführenden Profils wählen Sie die ausführenden Konten aus, die dem Profil zugewiesen werden sollen. Nachdem Sie diese Zuordnung erstellt haben, können Sie die Klasse, die Gruppe oder das Objekt auswählen, für die bzw. das das ausführende Konto verwendet werden soll, um Tasks, Regeln, Monitore und Ermittlungen auszuführen.
Die Verteilung ist ein Attribut eines ausführenden Kontos, und Sie können angeben, welche Computer die Anmeldeinformationen des ausführenden Kontos erhalten. Sie können die Anmeldeinformationen an alle mit Agent verwalteten Computer oder nur an ausgewählte Computer verteilen.
Beispiel für ausführenes Konto mit Ziel: Physischer Computer ABC hostet zwei Instanzen von Microsoft SQL Server: instance X und instance Y. Jede instance verwendet einen anderen Satz von Anmeldeinformationen für das sa-Konto. Sie erstellen ein ausführendes Konto mit den Anmeldeinformationen von „sa“ für Instanz X und ein weiteres ausführendes Konto mit den Anmeldeinformationen von „sa“ für Instanz Y. Wenn Sie das ausführende Profil für SQL Server konfigurieren, weisen Sie dem Profil die Anmeldeinformationen beider ausführender Konten zu und legen fest, dass die Anmeldeinformationen des ausführenden Kontos X für die Instanz X von SQL Server und die Anmeldeinformationen des ausführenden Kontos Y für die Instanz Y verwendet werden sollen. Anschließend müssen Sie auch die Verteilung der Anmeldeinformationen beider ausführender Konten an den physischen Computer ABC konfigurieren.
Beispiel für die Verteilung ausführender Konten: SQL Server1 und SQL Server2 sind zwei verschiedene physische Computer. SQL Server1 verwendet die Anmeldeinformationen UserName1 und Password1 für das SQL-Konto „sa“. SQL Server2 verwendet die Anmeldeinformationen UserName2 und Password2 für das SQL-Konto „sa“. Das SQL-Management Pack verfügt über ein einziges ausführendes SQL-Profil, das für alle SQL Server-Instanzen verwendet wird. Anschließend können Sie ein ausführenes Konto für UserName1-Anmeldeinformationen und ein weiteres ausführenes Konto für UserName2-Anmeldeinformationen definieren. Beide ausführenden Konten können dem einzigen ausführenden SQL Server-Profil zugeordnet und für die Verteilung an die entsprechenden Computer konfiguriert werden. Das heißt, UserName1 wird an SQL Server1 und UserName2 an SQL Server2 verteilt. Die zwischen dem Verwaltungsserver und dem Zielcomputer gesendeten Kontoinformationen werden verschlüsselt.
Sicherheit bei ausführenden Konten
In System Center Operations Manager werden Anmeldeinformationen für ausführende Konten nur an die von Ihnen angegebenen Computer verteilt (die sicherere Option). Eine automatische Verteilung ausführender Konten auf der Basis der Ermittlung würde ein Sicherheitsrisiko für Ihre Umgebung bedeuten, wie im folgenden Beispiel veranschaulicht. Aus diesem Grund war in Operations Manager keine Option für die automatische Verteilung enthalten.
Beispiel: Operations Manager identifiziert einen Computer am Vorhandensein eines Registrierungsschlüssels als Host für SQL Server 2016. Es ist möglich, denselben Registrierungsschlüssel auf einem Computer zu erstellen, auf dem nicht tatsächlich eine instance SQL Server 2016 ausgeführt wird. Eine automatische Verteilung der Anmeldeinformationen durch Operations Manager an alle mit Agents verwalteten Computer, die als SQL Server 2016-Computer identifiziert wurden, birgt das Risiko einer Verteilung an solche Computer, die nur vorgeben, SQL-Server zu sein. Dort stünden sie dann allen Personen mit Administratorberechtigung für diesen Server zur Verfügung.
Wenn Sie ein ausführende Konto mit Operations Manager erstellen, werden Sie aufgefordert, auszuwählen, ob das ausführende Konto weniger sicher oder sicherer behandelt werden soll. Bei Auswahl der sichereren Option müssen Sie, wenn Sie das ausführende Konto einem ausführenden Profil zuweisen, die Namen der Computer angeben, an die die Anmeldeinformationen des Kontos verteilt werden sollen. Durch eine aktive Benennung der Zielcomputer können Sie das oben beschriebene Spoofingszenario vermeiden. Wenn Sie sich für die weniger sichere Option entscheiden, müssen Sie keine bestimmten Computer angeben, und die Anmeldeinformationen werden an alle vom Agent verwalteten Computer verteilt.
Hinweis
Die für das ausführende Konto ausgewählten Anmeldeinformationen müssen mindestens über die Berechtigung zur lokalen Anmeldung verfügen, damit das Modul funktioniert.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für