Ausführende SQL Server-Profile
Das Management Pack für SQL Server bietet die folgenden ausführenden Profile:
Microsoft SQL Server Discovery, ausführendes Profil
Dieses Profil ist vorhandenen Ermittlungen zugeordnet.
Microsoft SQL Server Monitoring, ausführendes Profil
Dieses Profil ist vorhandenen Monitoren und Regeln zugeordnet.
Microsoft SQL Server Task, ausführendes Profil
Dieses Profil ist vorhandenen Aufgaben zugeordnet.
Microsoft SQL Server SCOM SDK, ausführendes Profil
Dieses Profil wird für Workflows des SQL Server-Management Packs verwendet, die Zugriff auf das System Center Operations Manager SDK benötigen.
Das Management Pack für SQL Server benötigt mehrere Autorenberechtigungen für das System Center Operations Manager SDK, um ein Management Pack zu erstellen und Außerkraftsetzungen darin zu speichern.
Verfügt das Standardaktionskonto für System Center Operations Manager nicht über diese Berechtigungen, erstellen Sie ein solches Konto, und ordnen Sie es dem ausführenden Profil für das Microsoft SQL Server SDK zu.
Microsoft SQL Server SQL Credentials, ausführendes Profil
Dieses Profil wird nur für den Überwachungsmodus ohne Agent verwendet.
Hinweis
Binden Sie Konten nicht an das ausführende Profil „Microsoft SQL Server SQL Credentials“ , wenn Sie SQL Server im Agent- oder gemischten Überwachungsmodus überwachen, da an dieses Profil nur ein Standardaktionskonto gebunden werden kann. Verwenden Sie für dieses Profil auch kein Windows-Konto oder Nicht-Standardkonto.
Im Agent- oder gemischten Überwachungsmodus verwenden alle Ermittlungen, Monitore und Aufgaben Konten des ausführenden Profils Standardaktionskonto.
Verfügt das Standardaktionskonto für ein bestimmtes System nicht über die erforderlichen Berechtigungen zur Ermittlung oder Überwachung von SQL Server-Instanzen, können solche Systeme an spezifischere Anmeldeinformationen gebunden werden, die in den ausführenden Microsoft SQL Server-Profilen definiert werden.
Weitere Informationen zu ausführenden Konten finden Sie unter Verwalten von ausführenden Konten und Profilen.
Aktivieren der Sicherheitsrichtlinie „Lokale Anmeldung zulassen“
Wird das Domänenkonto als Aktionskonto verwendet, aktivieren Sie die Richtlinie Lokale Anmeldung zulassen sowohl für SQL Server unter Windows als auch für SQL Server unter Linux.
Agent- und gemischte Überwachungsmodi
Verwenden Sie zum Konfigurieren von ausführenden Profilen eines der folgenden Szenarios:
Aktionskonto ist „Lokaler Administrator“ und „Systemadministrator“
Aktionskonto ist „Lokaler Administrator“ ohne „Systemadministrator“
Aktionskonto ist „Lokales System“ ohne „Systemadministrator“
Aktionskonto ist „Lokaler Administrator“ und „Systemadministrator“
Ein System Center Operations Manager-Standardaktionskonto wird entweder einem lokalen Systemkonto oder einem beliebigen Domänenbenutzerkonto zugeordnet, das Mitglied der lokalen Administratorgruppe auf den überwachten Computern ist.
Sie müssen dem verwendeten Konto die Berechtigung „SQL-Systemadministrator“ (SA) auf den überwachten SQL Server-Instanzen erteilen.
Einem Domänenbenutzerkonto werden SA-Berechtigungen erteilt, indem Sie diese der lokalen Gruppe „BUILTIN\Administrators“ in der SQL Server-Sicherheitszugriffsliste erteilen. In diesem Fall funktioniert die Überwachung von SQL Server-Instanzen standardmäßig, außer bei einigen der unten beschriebenen Konfigurationen.
Führen Sie die folgenden Schritte aus, um sicherzustellen, dass alle Anforderungen erfüllt sind:
Wenn Sie SQL Server-Datenbanken auf einer SMB-Dateifreigabe speichern, muss das Standardaktionskonto über die in Agent-Überwachung mit niedrigen Berechtigungen beschriebenen Rechte verfügen.
Führen Sie bei Servern mit einem Computernamen mit mehr als 15 Zeichen, die eines oder mehrere Always On-Verfügbarkeitsreplikate hosten, die unter Überwachung von Verfügbarkeitsgruppen auf Windows-Servern mit langen Namen beschriebenen Schritte aus.
Aktionskonto ist „Lokaler Administrator“ ohne „Systemadministrator“
Ein System Center Operations Manager-Standardaktionskonto wird entweder dem lokalen Systemkonto oder einem Domänenbenutzerkonto zugeordnet. Diesen Konten können jedoch aufgrund von Sicherheitsrichtlinien keine SA-Berechtigungen erteilt werden.
Wenn die Sicherheitsrichtlinie das Erteilen von Systemadministratorrechten für das separate Domänenbenutzerkonto, das nur zum Starten von Workflows des SQL Server-Management Packs verwendet wird, zulässt, führen Sie die folgenden Schritte aus:
Erstellen Sie ein neues Domänenbenutzerkonto, und fügen Sie es auf allen überwachten Servern der Gruppe „Lokale Administratoren“ hinzu.
Erteilen Sie diesem Konto SA-Berechtigungen für SQL Server.
Erstellen Sie in System Center Operations Manager ein neues Aktionskonto, und ordnen Sie es dem zuvor erstellten Domänenbenutzerkonto zu.
Ordnen Sie das neue Aktionskonto allen ausführenden Profilen für das SQL Server-Management Pack zu.
Wenn Sie SQL Server-Datenbanken auf einer SMB-Dateifreigabe speichern, muss das Standardaktionskonto über die in Agent-Überwachung mit niedrigen Berechtigungen beschriebenen Rechte verfügen.
Aktionskonto ist „Lokales System“ ohne „Systemadministrator“
[Dieses Szenario gilt nur für den Agent-Überwachungsmodus.]
Ein System Center Operations Manager-Standardaktionskonto wird entweder dem lokalen Systemkonto oder einem Domänenbenutzerkonto zugeordnet. Diesen Konten können jedoch aufgrund von Sicherheitsrichtlinien, die den Zugriff auf SQL Server verbieten, keine SA-Berechtigungen erteilt werden.
Sie können System Center Operations Manager HealthService mithilfe der Dienstsicherheits-ID Systemadministratorrechte oder Rechte mit niedrigen Berechtigungen gewähren. Weitere Informationen finden Sie unter SQL Server verwendet eine Dienst-SID zur Bereitstellung von Dienstisolation.
Führen Sie die folgenden Schritte aus, um die Sicherheitskonfiguration mithilfe der SID zu konfigurieren:
Konfigurieren Sie eine Dienst-SID für HealthService (wie unter Dienst-SID beschrieben).
Wenn Sie über SQL Server-Clusterinstanzen verfügen, führen Sie die unter Dienst-SID für SQL Server-Clusterinstanzen und -Verfügbarkeitsgruppen beschriebenen Schritte aus.
Überwachungsmodus ohne Agent
Erstellen Sie zum Konfigurieren von ausführenden Profilen im Überwachungsmodus ohne Agent ein Konto auf SQL Server, und erteilen Sie diesem Konto SA-Berechtigungen oder eine Reihe von Rechten mit niedrigen Berechtigungen. Verwenden Sie hierzu die SQL Server- oder Windows-Authentifizierung. Anschließend können Sie mit diesem Konto im Assistenten zum Hinzufügen von Monitoren SQL Server-Instanzen hinzufügen.
Weitere Informationen zum Konfigurieren der Überwachung mit niedrigen Berechtigungen im Überwachungsmodus ohne Agent finden Sie unter Überwachung mit niedrigen Berechtigungen.
Überwachung von Verfügbarkeitsgruppen auf Windows-Servern mit langen Namen
Unabhängig davon, ob Sie ein lokales Systemkonto, ein Domänenbenutzerkonto oder eine Rechtezuweisung verwenden, sind die unten aufgeführten Berechtigungen erforderlich.
Beispiel: Sie verfügen in der Verfügbarkeitsgruppe über drei Replikate, die auf den folgenden Computern gehostet werden:
- Computer_1
- Computer_2
- Computer_3
Auf Computer_1 wird das primäre Replikat gehostet. In diesem Fall sollten Sie Sicherheitseinstellungen für Computer_1 auf den Computern Computer_2 und Computer_3 konfigurieren. Soll nach einem Failover das primäre Replikat auf Computer_2 gehostet werden, sollte die WMI-Sicherheit auf anderen Computern auch für diesen Computer konfiguriert sein.
Das lokale Systemkonto jedes Knotens, der als primärer Knoten fungieren kann, muss über WMI-Berechtigungen für andere Knoten in der aktuellen Verfügbarkeitsgruppe verfügen. Dasselbe gilt auch für das Domänenbenutzerkonto.
Im Folgenden werden die Schritte aufgeführt, die Sie zum Konfigurieren der Sicherheit für Konfigurationen mit dem lokalen Systemkonto ausführen müssen. Dabei wird vorausgesetzt, dass das primäre Replikat auf dem Computer SQLAON-020 gehostet wird. Führen Sie diese Schritte für jedes Replikat aus, das zur Zielverfügbarkeitsgruppe gehört.
Führen Sie die folgenden Schritte aus, um Berechtigungen für Always On-Workflows bei Servernamen mit mehr als 15 Zeichen zu konfigurieren:
Starten Sie mmc.exe, und fügen Sie die folgenden Snap-Ins hinzu:
- Komponentendienste
- WMI-Steuerung (für lokalen Computer)
Erweitern Sie Komponentendienste, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie Eigenschaften aus.
Öffnen Sie die Registerkarte COM-Sicherheit.
Klicken Sie im Bereich Start- und Aktivierungsberechtigungen auf Grenzwerte bearbeiten.

Aktivieren Sie im Fenster Start- und Aktivierungsberechtigung die folgenden Berechtigungen für das Konto des Remotecomputers:
- Remotestart
- Remoteaktivierung

Öffnen Sie die Snap-In-Eigenschaften der WMI-Steuerung, und wechseln Sie zur Registerkarte Sicherheit. Wählen Sie den Namespace Root\CIMV2 aus, und klicken Sie auf Sicherheit.
Lassen Sie die folgenden Berechtigungen für den Zielcomputer zu:
- Konto aktivieren
- Remoteaktivierung

Klicken Sie auf Erweitert. Wählen Sie ein Zielkonto aus, und klicken Sie auf Bearbeiten.
Wählen Sie in der Dropdownliste Gilt für die Option Nur dieser Namespace aus.
Aktivieren Sie im Abschnitt Berechtigungen die folgenden Kontrollkästchen:
- Konto aktivieren
- Remoteaktivierung
