Distribución y establecimiento de destinos para cuentas y perfiles de ejecuciónDistribution and targeting for Run As accounts and profiles

Se aplica a: System Center 2016 Operations ManagerApplies To: System Center 2016 - Operations Manager

Las cuentas de ejecución están asociadas con los perfiles de ejecución para proporcionar las credenciales necesarias para que los flujos de trabajo que utilicen ese perfil de ejecución se ejecuten correctamente.Run As accounts are associated with Run As profiles to provide the necessary credentials for workflows that use that Run As profile to run successfully. Las cuentas de ejecución de destino y de distribución deben configurarse correctamente para que el perfil de ejecución funcione correctamente.Both distribution and targeting of Run As accounts must be correctly configured for the Run As profile to work properly.

Cuando configura un perfil de ejecución, selecciona las cuentas de ejecución que desea asociar con el perfil de ejecución.When you configure a Run As profile, you select the Run As accounts you want to associate with the Run As profile. Cuando crea esa asociación, especifica la clase, el grupo o el objeto que utilizará la cuenta de ejecución para administrar, tal como se muestra en la siguiente imagen.When you create that association, you specify the class, group, or object that the Run As account will be used to manage, as shown in the following image. Esto establece el destino de la cuenta de ejecución.This establishes the target of the Run As account.

Seleccionar destino para perfil y cuenta de ejecución

La distribución es un atributo de una cuenta de ejecución en el que especifica los equipos que recibirán las credenciales de cuenta de ejecución.Distribution is an attribute of a Run As account in which you specify which computers will receive the Run As account credentials. Puede elegir distribuir las credenciales de cuenta de ejecución a todos los equipos administrados por agente o únicamente a los equipos seleccionados.You can choose to distribute the Run As account credentials to every agent-managed computer or only to selected computers.

Ejemplo de destino y distribución de cuenta de ejecución:Example of Run As account targeting and distribution:

El equipo físico ABC hospeda dos instancias de Microsoft SQL Server, la instancia X y la instancia Y. Cada instancia utiliza un conjunto diferente de credenciales para la cuenta de sa .Physical computer ABC hosts two instances of Microsoft SQL Server, instance X and instance Y. Each instance uses a different set of credentials for the sa account. Crea una cuenta de ejecución con las credenciales de sa para la instancia X y una cuenta de ejecución diferente para las credenciales de sa para la instancia Y. Cuando configura el perfil de ejecución de SQL Server, asocia las credenciales de cuenta de ejecución para ambas instancias X e Y con el perfil y especifica que las credenciales de la instancia X de la cuenta de ejecución se van a utilizar para la instancia X de SQL Server; y que las credenciales de la cuenta de ejecución Y se van a utilizar para la instancia Y de SQL Server. A continuación, configura ambas cuentas de ejecución para que se distribuyan al equipo físico ABC.You create a Run As account with the sa credentials for instance X, and a different Run As account with the sa credentials for instance Y. When you configure the SQL Server Run As profile, you associate both Run As account credentials for instance X and Y with the profile and specify that the Run As account instance X credentials are to be used for SQL Server instance X and that the Run As account Y credentials are to be used for SQL Server instance Y. Then, you configure both Run As accounts to be distributed to physical computer ABC.

Selección de un destino para una cuenta de ejecuciónSelecting a target for a Run As account

Como se muestra en la imagen anterior, las opciones para la selección de un destino para una cuenta de ejecución son Todos los objetos con destino y Una clase, grupo u objeto seleccionado.As shown in the previous image, your options for selecting a target for a Run As account are All targeted objects and A selected class, group, or object.

Cuando selecciona Todos los objetos con destino, el perfil de ejecución usará esta cuenta de ejecución para todos los objetos de los flujos de trabajo que utilizan el perfil de ejecución.When you select All targeted objects, the Run As profile will use this Run As account for all objects for the workflows that use the Run As profile.

Cuando selecciona Una clase, grupo u objeto seleccionado, puede limitar el uso de la cuenta de ejecución a la clase, grupo u objeto que especifique.When you select A selected class, group, or object, you can limit the use of the Run As account to the class, group, or object that you specify.

Nota

Las credenciales de la cuenta de ejecución deben distribuirse en los sistemas administrados por agente específicos que la credencial Ejecutar como debería autenticar antes de configurar el perfil de ejecución.The Run As account credentials must be distributed the specific agent-managed systems the Run As credential should be authenticating with before configuring the Run As profile.

Comparación de distribución más segura y menos seguraComparing more secure and less secure distribution

Operations Manager distribuye las credenciales de cuenta de ejecución a todos los equipos administrados por agente (opción menos segura) o únicamente a los equipos especificados (opción más segura).Operations Manager distributes the Run As account credentials to either all agent-managed computers (the less secure option) or only to computers that you specify (the more secure option). Si Operations Manager distribuyera automáticamente la cuenta de ejecución de acuerdo con la detección, se introduciría un riesgo de seguridad en su entorno tal como se muestra en el ejemplo siguiente.If Operations Manager automatically distributed the Runs As account according to discovery a security risk would be introduced into your environment as illustrated in the following example. Por esta razón no se incluyó una opción de distribución automática en Operations Manager.This is why an automatic distribution option was not included in Operations Manager.

Por ejemplo, Operations Manager identifica un equipo que hospeda SQL Server 2014 en razón de la presencia de una clave del Registro.For example, Operations Manager identifies a computer as hosting SQL Server 2014 based on the presence of a registry key. Es posible crear esa misma clave del registro en un equipo que no está ejecutando realmente una instancia de SQL Server 2014.It is possible to create that same registry key on a computer that is not actually running an instance of SQL Server 2014. Si Operations Manager distribuyera automáticamente las credenciales a todos los equipos administrados por agente identificados como equipos SQL Server 2014, las credenciales se enviarían al servidor SQL impostor y estarían disponibles para toda persona con derechos de administrador en dicho servidor.If Operations Manager were to automatically distribute the credentials to all agent managed computers that have been identified as SQL Server 2014 computers, then the credentials would be sent to the imposter SQL Server and they would be available to someone with administrator rights on that server.

Al crear una cuenta de ejecución, se le pedirá que elija si la cuenta de ejecución debe ser tratada de modo Menos seguro o Más seguro .When you create a Run As account, you are prompted to choose whether the Run As account should be treated in a Less secure or More secure fashion. Más seguro significa que, al asociar la cuenta de ejecución con un perfil de ejecución, tiene que proporcionar los nombres de los equipos específicos a los que desea distribuir las credenciales de ejecución.More secure means that when you associate the Run As account with a Run As Profile, you have to provide the specific computer names that you want the Run As credentials distributed to. Mediante la identificación positiva de los equipos de destino, puede evitar el escenario de suplantación descrito anteriormente.By positively identifying the destination computers, you can prevent the spoofing scenario that was described before. Si elige la opción menos segura, no tendrá que proporcionar ningún equipo específico y las credenciales se distribuirán a todos los equipos administrados por agente.If you choose the less secure option, you will not have to provide any specific computers and the credentials will be distributed to all agent-managed computers.

Nota

Operations Manager realizará pruebas para validar las credenciales de ejecución, incluso para averiguar si se pueden usar para iniciar una sesión local en el equipo.Operations Manager will perform tests to validate the Run As credentials, including whether the credentials can be used to log on locally to the computer. Si la cuenta no tiene derechos para iniciar sesión localmente, se generará una alerta.If the account does not have the right to log on locally, an alert will be generated.

Pasos siguientesNext steps