• Artículo

Distribución y establecimiento de destinos para cuentas y perfiles de ejecución

 

Publicada: marzo de 2016

Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Las cuentas de ejecución están asociadas con los perfiles de ejecución para proporcionar las credenciales necesarias para que los flujos de trabajo que utilicen ese perfil de ejecución se ejecuten correctamente. Las cuentas de ejecución de destino y de distribución deben configurarse correctamente para que el perfil de ejecución funcione correctamente.

Cuando configura un perfil de ejecución, selecciona las cuentas de ejecución que desea asociar con el perfil de ejecución. Cuando crea esa asociación, especifica la clase, el grupo o el objeto que utilizará la cuenta de ejecución para administrar, tal como se muestra en la siguiente imagen. Esto establece el destino de la cuenta de ejecución.

Seleccionar destino para perfil y cuenta de ejecución

La distribución es un atributo de una cuenta de ejecución en el que especifica los equipos que recibirán las credenciales de cuenta de ejecución. Puede elegir distribuir las credenciales de cuenta de ejecución a todos los equipos administrados por agente o únicamente a los equipos seleccionados.

Ejemplo de destino y distribución de cuenta de ejecución: 

El equipo físico ABC hospeda dos instancias de Microsoft SQL Server, la instancia X y la instancia Y. Cada instancia utiliza un conjunto diferente de credenciales para la cuenta de sa. Crea una cuenta de ejecución con las credenciales de sa para la instancia X y una cuenta de ejecución diferente para las credenciales de sa para la instancia Y. Cuando configura el perfil de ejecución de SQL Server, asocia las credenciales de cuenta de ejecución para ambas instancias X e Y con el perfil y especifica que las credenciales de la instancia X de la cuenta de ejecución se van a utilizar para la instancia X de SQL Server; y que las credenciales de la cuenta de ejecución Y se van a utilizar para la instancia Y de SQL Server. A continuación, configura ambas cuentas de ejecución para que se distribuyan al equipo físico ABC.

Selección de un destino para una cuenta de ejecución

Como se muestra en la imagen anterior, las opciones para la selección de un destino para una cuenta de ejecución son Todos los objetos con destino y Una clase, grupo u objeto seleccionado.

Cuando selecciona Todos los objetos con destino, el perfil de ejecución usará esta cuenta de ejecución para todos los objetos de los flujos de trabajo que utilizan el perfil de ejecución. …

Cuando selecciona Una clase, grupo u objeto seleccionado, puede limitar el uso de la cuenta de ejecución a la clase, grupo u objeto que especifique. …

Nota

Las credenciales de cuenta de ejecución deben distribuirse a…

Comparación de distribución más segura y menos segura

Operations Manager distribuye las credenciales de cuenta de ejecución a todos los equipos administrados por agente (opción menos segura) o únicamente a los equipos especificados (opción más segura). Si Operations Manager distribuyera automáticamente la cuenta de ejecución de acuerdo con la detección, se introduciría un riesgo de seguridad en su entorno tal como se muestra en el ejemplo siguiente. Por esta razón no se incluyó una opción de distribución automática en Operations Manager.

Por ejemplo, Operations Manager identifica un equipo que hospeda SQL Server 2005 en razón de la presencia de una clave del Registro. Es posible crear esa misma clave del registro en un equipo que no está ejecutando realmente una instancia de SQL Server 2005. Si Operations Manager distribuyera automáticamente las credenciales a todos los equipos administrados por agente identificados como equipos SQL Server 2005, las credenciales se enviarían al servidor SQL impostor y estarían disponibles para toda persona con derechos de administrador en dicho servidor.

Al crear una cuenta de ejecución, se le pedirá que elija si la cuenta de ejecución debe ser tratada de modo Menos seguro o Más seguro. Más seguro significa que, al asociar la cuenta de ejecución con un perfil de ejecución, tiene que proporcionar los nombres de los equipos específicos a los que desea distribuir las credenciales de ejecución. Mediante la identificación positiva de los equipos de destino, puede evitar el escenario de suplantación descrito anteriormente. Si elige la opción menos segura, no tendrá que proporcionar ningún equipo específico y las credenciales se distribuirán a todos los equipos administrados por agente.

Nota

Operations Manager realizará pruebas para validar las credenciales de ejecución, incluso para averiguar si se pueden usar para iniciar una sesión local en el equipo. Si la cuenta no tiene derechos para iniciar sesión localmente, se generará una alerta.