Información sobre cuentas para Operations Manager 2007
Se aplica a: Operations Manager 2007 R2, Operations Manager 2007 SP1
Durante la instalación y el funcionamiento de Operations Manager 2007, se le solicitará que proporcione credenciales para varias cuentas. Al comienzo de esta sección se proporciona información sobre cuentas de acción. Se incluye información sobre otras cuentas como la cuenta de servicio de configuración y SDK, cuenta de instalación de agente, cuenta de escritura de almacenamiento de datos y cuenta de lectura de datos.
¿Qué es una cuenta de acción?
Las diversas funciones de servidor de Operations Manager 2007, servidor de administración raíz, servidor de administración, servidor de puerta de enlace y agente, contienen un proceso denominado MonitoringHost.exe. MonitoringHost.exe es lo que usa cada función de servidor para realizar las actividades de supervisión, como por ejemplo, ejecutar un monitor o ejecutar una tarea. Por ejemplo, cuando un agente se suscribe al registro de eventos para leer eventos, es el proceso MonitoringHost.exe el que ejecuta esas actividades. A la cuenta de ejecución de un proceso MonitoringHost.exe se le denomina cuenta de acción. A la cuenta de acción para el proceso MonitoringHost.exe que se ejecuta en un agente se le denomina cuenta de acción de agente. A la cuenta de acción que usa el proceso MonitoringHost.exe en un servidor de administración se le denomina cuenta de acción del servidor de administración. A la cuenta de acción que usa el proceso MonitoringHost.exe en un servidor de puerta de enlace se le denomina cuenta de acción del servidor de puerta de enlace.
Cuenta de acción del agente
A menos que se haya asociado una acción con un perfil de ejecución, las credenciales usadas para realizar la acción serán aquellas definidas para la cuenta de acción. Para obtener más información sobre el perfil de ejecución, consulte Run As Accounts and Run As Profiles in Operations Manager 2007 (Perfiles de ejecución y cuentas de ejecución en Operations Manager 2007) en esta guía. Algunos ejemplos de acciones incluyen lo siguiente:
Supervisión y recopilación de datos del registro de eventos de Windows
Supervisión y recopilación de datos del contador de rendimiento de Windows
Supervisión y recopilación de datos del Instrumental de administración de Windows (WMI)
Ejecutar acciones como scripts o lotes
MonitoringHost.exe es el proceso que ejecuta estas acciones mediante el uso de credenciales especificadas en la cuenta de acción. Se crea una nueva instancia de MonitoringHost.exe para cada cuenta.
Uso de cuentas con pocos privilegios
Al instalar Operations Manager 2007, puede elegir una o dos opciones mientras asigna la cuenta de acción:
Sistema local
Cuenta de dominio o local
Una opción común es especificar una cuenta de dominio que le permita seleccionar un usuario con la cantidad mínima de privilegios necesarios para el entorno.
En los equipos que ejecutan Windows Server 2003, Windows Server 2003 R2 y el sistema operativo Windows Vista, la cuenta de acción predeterminada debe tener los privilegios mínimos siguientes:
Miembro del grupo Usuarios local
Miembro del grupo Usuarios del monitor de rendimiento local
Permiso Permitir el inicio de sesión local (SetInteractiveLogonRight)
Importante
Los privilegios mínimos descritos anteriormente son los privilegios más bajos que admite Operations Manager 2007 para la cuenta de acción. Otras cuentas de ejecución pueden tener privilegios más bajos. Los privilegios reales que necesitarán las cuentas de ejecución dependerán de los módulos de administración que se ejecuten en el equipo y de la forma en que estén configurados. Para obtener más información acerca de los privilegios específicos necesarios, consulte la guía del módulo de administración correspondiente.
Tenga en cuenta los puntos siguientes para elegir las credenciales de la cuenta de acción:
Una cuenta con privilegios bajos sólo puede usarse en equipos que ejecuten Windows Server 2003, Windows Server 2003 R2 y Windows Vista. En equipos que ejecutan Windows 2000 y Windows XP, la cuenta de acción debe pertenecer al grupo de seguridad local Administradores o al sistema local.
Una cuenta con privilegios bajos es lo único que necesitan los agentes que se usan para supervisar controladores de dominio.
Usar una cuenta de dominio requiere tener una contraseña coherente con las directivas de caducidad de la contraseña.
Debe detener e iniciar el servicio de administración de System Center si la cuenta de acción se ha configurado para usar una cuenta de privilegios bajos y la cuenta de privilegios bajos se agregó a los grupos requeridos mientras se estaba ejecutando el servicio de administración de System Center.
Cuenta de acción de notificación
La cuenta de acción de notificación es una cuenta de ejecución creada por el usuario para configurar notificaciones. Es la cuenta de acción que se usa para crear y enviar notificaciones. Asegúrese de que las credenciales que usa para esta cuenta tengan suficientes derechos para el servidor SMTP, el servidor de mensajería instantánea o el servidor SIP que vaya a usar para las notificaciones.
Si cambia la contraseña para las credenciales especificadas para la cuenta de acción de notificación, tendrá que realizar los mismos cambios de contraseña para la cuenta de ejecución.
Administración de las credenciales de cuenta de acción
Para la cuenta que elija, Operations Manager determinará cuál es la fecha de caducidad de la contraseña y generará una alerta14 días antes de que la cuenta caduque. Cuando cambie la contraseña en Active Directory, puede cambiar la contraseña para la cuenta de acción en Operations Manager en la ficha Cuenta de la página Propiedades de la cuenta de ejecución. Para obtener más información sobre la administración de las credenciales de cuenta de acción, consulte Cambio de las credenciales para la cuenta de acción en Operations Manager (https://go.microsoft.com/fwlink/?LinkId=88304).
Puede usar un script de Windows PowerShell, set-ActionAccount.ps1, para establecer la cuenta de acción en varios equipos. Para obtener más información, consulte el SC Ops Mgr 2007 Resource Kit (Kit de recursos de System Center Operations Manager 2007) (https://go.microsoft.com/fwlink/?LinkId=92596). El script le permite establecer la cuenta de acción en todos los equipos definidos en un grupo de equipos. Consulte Establecimiento de la cuenta de acción en varios equipos en Operations Manager 2007 en la guía de seguridad.
Cuenta de servicio de configuración y SDK
La cuenta de servicio de configuración y SDK es un conjunto de credenciales que usan los servicios de acceso de datos de System Center y de configuración de administración de System Center para actualizar y leer información en la base de datos OperationsManager. Operations Manager asegura que las credenciales usadas para la cuenta de acción de configuración y SDK se asignarán a la función sdk_user en la base de datos OperationsManager. La cuenta de servicio de configuración y SDK se puede configurar como sistema local o como una cuenta de dominio. No se admite una cuenta de usuario local.
Si el servidor de administración raíz y la base de datos OperationsManager están en equipos diferentes, será necesario cambiar la cuenta de servicio de configuración y SDK a una cuenta de dominio. Para una mayor seguridad, le recomendamos que use una cuenta diferente a la cuenta usada para la cuenta de acción del servidor de administración. Para cambiar estas cuentas, consulte el artículo de Knowledge Base Cómo cambiar las credenciales de los servicios SDK y de configuración de OpsMgr en Microsoft System Center Operations Manager 2007 (https://go.microsoft.com/fwlink/?LinkId=112435).
Cuenta de instalación de agente
Al implementar el agente basado en detecciones, el sistema solicita una cuenta con derechos de usuario de administrador. Esta cuenta se usará para instalar el agente en el equipo y, por tanto, debe ser un administrador local en todos los equipos en los que va a implementar agentes. La cuenta de acción del servidor de administración es la cuenta predeterminada para la instalación de agentes. Si la cuenta de acción del servidor de administración no tiene derechos de administrador, seleccione Cuenta de otro usuario y escriba una cuenta con derechos de administrador. Esta cuenta se cifra antes de usarse y, a continuación, se descarta.
Cuenta de escritura de almacenamiento de datos
La cuenta de escritura de almacenamiento de datos escribe datos desde el servidor de administración raíz o el servidor de administración en el almacenamiento de datos de informes y lee los datos desde la base de datos OperationsManager. Las credenciales proporcionadas para esta cuenta se convertirán en miembro de las funciones dependiendo de la aplicación, como se describe en la tabla siguiente.
| Aplicación | Base de datos/Función | Función/Cuenta |
|---|---|---|
Microsoft SQL Server 2005 |
OperationsManager |
db_datareader |
Microsoft SQL Server 2005 |
OperationsManager |
dwsync_user |
Microsoft SQL Server 2005 |
OperationsManagerDW |
OpsMgrWriter |
Microsoft SQL Server 2005 |
OperationsManagerDW |
db_owner |
Operations Manager 2007 |
Función de usuario |
Administradores de seguridad de informes de Operations Manager |
Operations Manager 2007 |
Cuenta de ejecución |
Cuenta de acción de almacenamiento de datos |
Operations Manager 2007 |
Cuenta de ejecución |
Cuenta de lectura de sincronización de configuración del almacenamiento de datos |
Si cambia la contraseña para las credenciales especificadas para la cuenta de escritura de almacenamiento de datos, tendrá que realizar los mismos cambios de contraseña para las cuentas siguientes:
La cuenta de ejecución denominada Cuenta de acción de almacenamiento de datos
La cuenta de ejecución denominada Cuenta de lectura de sincronización de configuración almacenamiento de datos
Cuenta de lectura de datos
Esta cuenta se usa para implementar informes, definir el usuario que SQL Reporting Services usa para ejecutar consultas en el almacenamiento de datos de informes y para que la cuenta del grupo de aplicaciones de SQL Reporting Services IIS se conecte al servidor de administración raíz.Esta cuenta se agrega al perfil de usuario del administrador de informes.
Las credenciales proporcionadas para esta cuenta se convertirán en miembro de las funciones dependiendo de la aplicación, como se describe en la tabla siguiente.
| Aplicación | Base de datos/Función | Función/Cuenta |
|---|---|---|
Microsoft SQL Server 2005 |
Instancia de instalación del servidor de informes |
Cuenta de ejecución del servidor de informes |
Microsoft SQL Server 2005 |
OperationsManagerDW |
OpsMgrReader |
Operations Manager 2007 |
Función de usuario |
Administradores de seguridad de informes de Operations Manager |
Operations Manager 2007 |
Función de usuario |
Operadores de informes de Operations Manager |
Operations Manager 2007 |
Cuenta de ejecución |
Cuenta de implementación de informes de almacenamiento de datos |
IIS |
Grupo de aplicaciones |
ReportServer$<INSTANCIA> |
Servicio de Windows |
SQL Server Reporting Services |
Cuenta de inicio de sesión |
Si cambia la contraseña para las credenciales especificadas para la cuenta de lectura de datos, tendrá que realizar los mismos cambios de contraseña para las cuentas siguientes:
Cuenta de ejecución del servidor de informes
La cuenta de servicio de SQL Server Reporting Services en el equipo que hospeda SQL Server Reporting Services (SRS)
La cuenta del grupo de aplicaciones de <INSTANCIA> de IIS ReportServer$
Cuenta de ejecución denominada Cuenta de implementación de informes de almacenamiento de datos
Vea también
Tareas
Cambio de la contraseña de la cuenta de ejecución del servidor de informes en Operations Manager 2007
Cambio de la contraseña de la cuenta de ejecución del servidor de informes en Operations Manager 2007
Cambio de las cuentas de servicio de configuración y SDK en Operations Manager 2007
Cambio de la contraseña de la cuenta de servicio de Windows para SQL Server Reporting Service en Operations Manager 2007
Establecimiento de la cuenta de acción en varios equipos en Operations Manager 2007