Administración de cuentas y perfiles de ejecución
Importante
Esta versión de Operations Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Operations Manager 2022.
Los flujos de trabajo de System Center Operations Manager (como reglas, tareas, monitores y detecciones) requieren credenciales para ejecutarse en un equipo o agente de destino. De manera predeterminada, los flujos de trabajo usan la cuenta de acción predeterminada para el agente o equipo. Las credenciales de la cuenta de acción predeterminada se configuran al instalar Operations Manager.
Cuando un flujo de trabajo requiere derechos y privilegios que la cuenta de acción predeterminada no puede proporcionar, el flujo de trabajo se puede escribir para usar un perfil de ejecución. Un perfil de ejecución puede tener varias cuentas de ejecución asociadas. Las cuentas de ejecución permiten especificar las credenciales necesarias para equipos específicos. Varios flujos de trabajo pueden usar el mismo perfil de ejecución. La imagen siguiente ilustra la relación entre flujos de trabajo, perfiles de ejecución y cuentas de ejecución.
En la imagen, tres flujos de trabajo usan el mismo perfil de ejecución. El perfil de ejecución tiene tres cuentas de ejecución asociadas. En este ejemplo, cada flujo de trabajo que usa el perfil de ejecución se ejecuta en el equipo A con las credenciales de la cuenta de ejecución 1, en los equipos B y C con las credenciales de la cuenta de ejecución 2 y en el equipo D con las credenciales de la cuenta de ejecución 3.
El autor del módulo de administración define los perfiles de ejecución en los módulos de administración. Si el módulo de administración principal está activo, se usa un perfil de ejecución. Por ejemplo, el módulo de administración de SQL Server 2014 contiene el perfil de ejecución de SQL, por lo que este perfil estaría activo en todos los servidores que ejecutan SQL Server 2014 supervisados por el módulo de administración de SQL Server 2014. El perfil de ejecución es una asociación de una o varias cuentas de ejecución y los objetos administrados a los que se deben aplicar las cuentas de ejecución.
En algunos casos, el perfil de ejecución se importa en Operations Manager cuando se importa el módulo de administración que lo contiene. En otros casos, es posible que deba crearlo manualmente. Los perfiles de ejecución siempre deben asociarse manualmente con una cuenta de ejecución.
Una cuenta de ejecución contiene un único conjunto de credenciales, que se almacenan en la base de datos operativa de Operations Manager. Cada cuenta de ejecución tiene una clasificación de seguridad (más o menos segura) que controla cómo se distribuyen las credenciales para su uso. Si opta por una distribución más segura de credenciales, debe configurar la asignación de los equipos en los que se distribuyen las credenciales.
Deshabilitación de cuentas de ejecución
Con Operations Manager 2022, los administradores pueden administrar las credenciales de los usuarios necesarias para realizar las tareas en la consola de Operations Manager.
En versiones anteriores, de manera predeterminada, los usuarios con permisos limitados tienen habilitada la opción Usar la cuenta de ejecución predefinida. Ahora los administradores pueden deshabilitar esta opción. Cuando está deshabilitado, todos los usuarios que no son administradores deberán proporcionar las credenciales para ejecutar las tareas mediante la consola o el cmd start-SCOMTask de PowerShell.
Para deshabilitar la opción, los administradores deben ir a Configuración> Ejecución detareasvarias> y, a continuación, seleccionar Deshabilitado.
Puede tener varios grupos de administración conectados entre sí y ver alertas de diferentes grupos de administración en una única consola de operaciones.
Los usuarios también pueden ejecutar tareas en máquinas de los otros grupos de administración. La configuración será efectiva desde el grupo de administración desde el que se ejecuta la sesión de PowerShell o la consola del operador.
Por ejemplo, si el grupo de administración 1 (MG1) tiene la opción como Habilitado y el grupo de administración 2 (MG2) la tiene como Deshabilitado, los usuarios pueden ejecutar la tarea desde una consola de MG1 sin credenciales, independientemente de si el objeto de destino está en MG1 o MG2.
Del mismo modo, si un usuario ejecuta una tarea desde PowerShell en MG2, necesitará credenciales para la tarea si el destino está en MG1.
Pasos siguientes
Distribución y establecimiento de destinos para perfiles y cuentas de ejecución
En este artículo se explica la diferencia entre la distribución y la selección de destinos, las opciones para distribuir cuentas de ejecución y las opciones para seleccionar destinos para perfiles de ejecución.
Cómo crear una cuenta de ejecución y asociarla con un perfil de ejecución
En este artículo se explica cómo crear una cuenta de ejecución, cómo modificar una cuenta de ejecución existente y cómo configurar un perfil de ejecución para usar una cuenta de ejecución.
Creación de una nueva cuenta de acción
En este artículo se explica cómo crear una nueva cuenta de acción de ejecución que usarán los servidores de administración en el grupo de administración.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de