Cuentas de servicio, usuario y seguridadService, User and Security Accounts

Se aplica a: System Center 2016 Operations ManagerApplies To: System Center 2016 - Operations Manager

Durante la instalación y el uso de Operations Manager, se le pedirá que proporcione credenciales para varias cuentas.During the setup and operation of Operations Manager, you will be asked to provide credentials for several accounts. El principio de esta sección proporciona información sobre cada una de estas cuentas, incluidas las cuentas de servicio de configuración y SDK, de instalación del agente, de escritura de almacenamiento de datos y de lectura de datos.The beginning of this section provides information about each of those accounts, including the SDK and Config Service, Agent Installation, Data Warehouse Write, and Data Reader accounts.

Si usa cuentas de dominio y se ha configurado la directiva de expiración de la contraseña predeterminada de su dominio objeto de directiva de grupo (GPO) según sea necesario, tendrá que cambiar las contraseñas de las cuentas de servicio en función de la programación, usar cuentas de sistema de bajo mantenimiento, o configurar las cuentas para que las contraseñas nunca expiren.If you use domain accounts and your domain Group Policy object (GPO) has the default password expiration policy set as required, you will either have to change the passwords on the service accounts according to the schedule, use low maintenance system accounts, or configure the accounts so that the passwords never expire.

Cuentas de acciónAction accounts

En System Center 2016 Operations Manager, todos los servidores de administración, los servidores de puerta de enlace y los agentes ejecutan un proceso denominado MonitoringHost.exe.In System Center 2016 – Operations Manager, management servers, gateway servers and agents all execute a process called MonitoringHost.exe. MonitoringHost.exe es lo que cada rol de servidor usa para llevar a cabo actividades de supervisión, como la ejecución de un monitor o una tarea.MonitoringHost.exe is what each server role uses to accomplish monitoring activities such as executing a monitor or running a task. Otros ejemplos de las acciones que realiza MonitoringHost.exe son:Other examples of actions MonitoringHost.exe performs include:

  • Supervisión y recopilación de datos del registro de eventos de Windows.Monitoring and collecting Windows event log data.
  • Supervisión y recopilación de datos del contador de rendimiento de Windows.Monitoring and collecting Windows performance counter data.
  • Supervisión y recopilación de datos del Instrumental de administración de Windows (WMI).Monitoring and collecting Windows Management Instrumentation (WMI) data.
  • Ejecutar acciones como scripts o lotes.Running actions such as scripts or batches.

La cuenta que ejecuta un proceso de MonitoringHost.exe se llama cuenta de acción.The account that a MonitoringHost.exe process runs as is called the action account. MonitoringHost.exe es el proceso que ejecuta estas acciones mediante el uso de las credenciales especificadas en la cuenta de acción.MonitoringHost.exe is the process that runs these actions by using the credentials that are specified in the action account. Se crea una nueva instancia de MonitoringHost.exe para cada cuenta.A new instance of MonitoringHost.exe is created for each account. La cuenta de acción para el proceso de MonitoringHost.exe que se ejecuta en un agente se denomina cuenta de acción del agente.The action account for the MonitoringHost.exe process running on an agent is called the Agent Action Account. La cuenta de acción usada por el proceso de MonitoringHost.exe en un servidor de administración se denomina cuenta de acción del servidor de administración.The action account used by the MonitoringHost.exe process on a management server is called the Management Server Action account. La cuenta de acción usada por el proceso de MonitoringHost.exe en un servidor de puerta de enlace se denomina cuenta de acción del servidor de puerta de enlace.The action account used by the MonitoringHost.exe process on a gateway server is called the Gateway Server Action Account. En todos los servidores de administración del grupo de administración, se recomienda conceder a esta cuenta derechos administrativos locales a menos que la directiva de seguridad de TI de sus organizaciones requieran acceso con privilegios mínimos.On all management servers in the management group, it is recommended to grant this account local administrative rights unless least-privileged access is required by your organizations IT security policy.

A menos que una acción se haya asociado con un perfil de ejecución, las credenciales usadas para realizar la acción serán las definidas para la cuenta de acción.Unless an action has been associated with a Run As profile, the credentials that are used to perform the action will be those defined for the action account. Para obtener más información sobre perfiles y cuentas de ejecución, consulte la sección Cuentas de ejecución.For more information about Run As Accounts and Run As Profiles, see the section Run As Accounts. Cuando un agente ejecuta acciones como cuenta de acción predeterminada o como cuentas de ejecución, se crea una nueva instancia de MonitoringHost.exe para cada cuenta.When an agent runs actions as either the default action account and/or Run As account(s), a new instance of MonitoringHost.exe is created for each account.

Cuando instale Operations Manager, tendrá la posibilidad de especificar una cuenta de dominio o usar el sistema local.When you install Operations Manager, you have the option of specifying either a domain account or using Local System. La opción más segura es especificar una cuenta de dominio que le permita seleccionar un usuario con la cantidad mínima de privilegios necesarios para el entorno.The more secure approach is to specify a domain account which allows you to select a user with the least amount of privileges necessary for your environment.

Puede usar una cuenta con pocos privilegios como cuenta de acción del agente.You can use a low-privileged account for the agent’s action account. En equipos con Windows Server 2008 R2 o superior, la cuenta debe tener los privilegios mínimos siguientes:On computers running Windows Server 2008 R2 or higher, the account must have the following minimum privileges:

  • Miembro del grupo Usuarios localMember of the local Users group
  • Miembro del grupo Usuarios del monitor de rendimiento localMember of the local Performance Monitor Users group
  • Permiso "Permitir el inicio de sesión local" (SetInteractiveLogonRight).“Allow log on locally” (SetInteractiveLogonRight) permission.

Nota

Los privilegios mínimos descritos anteriormente son los privilegios más bajos que admite Operations Manager para la cuenta de acción.The minimum privileges described above are the lowest privileges that Operations Manager supports for the action account. Otras cuentas de ejecución pueden tener privilegios más bajos.Other Run As accounts can have lower privileges. Los privilegios reales que necesitarán la cuenta de acción y las cuentas de ejecución dependerán de los módulos de administración que se ejecuten en el equipo y de la forma en que estén configurados.The actual privileges required for the Action account and the Run As accounts will depend upon which management packs are running on the computer and how they are configured. Para obtener más información acerca de los privilegios específicos necesarios, consulte la guía del módulo de administración correspondiente.For more information about which specific privileges are required, see the appropriate management pack guide.

Se puede conceder el permiso Iniciar sesión como servicio (SeServiceLogonRight) o Iniciar sesión como lotes (SeBatchLogonRight) a la cuenta de dominio especificada para la cuenta de acción si la directiva de seguridad no permite asignar una sesión de inicio interactivo a una cuenta de servicio, como cuando se requiere la autenticación mediante tarjeta inteligente.The domain account specified for the action account can be granted either Log on as a Service (SeServiceLogonRight) or Log on as Batch (SeBatchLogonRight) permission if your security policy does not allow a service account to be granted an interactive log on session, such as when smart card authentication is required. Esto puede lograrse modificando el valor del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Parameters:This can be achieved by modifying the registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Parameters:

  • Nombre: Tipo de inicio de sesión de proceso de trabajoName: Worker Process Logon Type
  • Tipo: REG_DWORDType: REG_DWORD
  • Valor: 4 significa iniciar sesión como proceso por lotes y 5 iniciar sesión como servicio.Value: 4 means Log on as Batch and 5 means for Log on as Service. El valor predeterminado es 2, Permitir el inicio de sesión local.The default is 2, Allow log on locally.

Esto también se puede administrar centralmente mediante Directiva de grupo si se copia el archivo ADMX healthservice.admx desde un servidor de administración o un sistema administrado por agente ubicado en la carpeta C:\Windows\PolicyDefinitions, y se configura la opción Tipo de inicio de sesión de cuenta de acción de supervisión bajo la carpeta Configuración del equipo\Plantillas administrativas\System Center - Operations Manager.This can also be centrally managed using Group Policy by copying the ADMX file healthservice.admx from a management server or agent-managed system located in the folder C:\Windows\PolicyDefinitions and configuring the setting Monitoring Action Account Logon Type under the folder Computer Configuration\Administrative Templates\System Center - Operations Manager. Para obtener más información sobre cómo trabajar con archivos ADMX de directiva de grupo, vea Managing Group Policy ADMX files (Administración de archivos ADMX de directiva de grupo).For further information on working with Group Policy ADMX files, see Managing Group Policy ADMX files.

Cuenta del servicio de configuración de System Center y servicio de acceso a datos de System CenterSystem Center Configuration Service and System Center Data Access Service account

Los servicios de configuración de administración de System Center y de acceso a datos de System Center utilizan la cuenta de servicio de configuración de System Center y servicio de acceso a datos de System Center para actualizar la información de la base de datos operativa.The System Center Configuration service and System Center Data Access service account is used by the System Center Data Access and System Center Management Configuration services to update information in the Operational database. Las credenciales usadas para la cuenta de acción se asignarán al rol sdk_user en la base de datos operativa.The credentials used for the action account will be assigned to the sdk_user role in the Operational database.

La cuenta debe ser usuario de dominio o sistema local.The account should be either a Domain User or Local System. La cuenta usada por la cuenta de servicio de configuración y el SDK debe tener derechos administrativos locales en todos los servidores de administración del grupo de administración.The account used for the SDK and Config Service account must have local administrative rights on all management servers in the management group. No se admite el uso de la cuenta de usuario local.The use of Local User account is not supported. Para mayor seguridad, se recomienda usar una cuenta diferente a la usada para la cuenta de acción del servidor de administración.For increased security, we recommended you use a different account from the one used for the Management Server Action Account.

Nota

Si la base de datos de Operations Manager se instala en un equipo independiente del servidor de administración y se selecciona el sistema local para la cuenta de servicio de configuración y de acceso a datos, la cuenta del equipo del equipo del servidor de administración se asignará al rol sdk_user en el equipo de la base de datos de Operations Manager.If the Operations Manager database is installed on a computer separate from the management server and Local System is selected for the Data Access and Configuration service account, the computer account for the management server computer will be assigned to the sdk_user role on the Operations Manager database computer.

Cuenta de escritura de almacenamiento de datosData Warehouse Write account

La cuenta de escritura de almacenamiento de datos es la cuenta que se usa para escribir los datos desde el servidor de administración en el almacenamiento de datos de informes y lee los datos de la base de datos de Operations Manager.The Data Warehouse Write account is the account used to write data from the management server to the Reporting data warehouse, and it reads data from the Operations Manager database. La tabla siguiente describe los roles y pertenencia asignada a la cuenta de usuario de dominio durante la instalación.The following table describes the roles and membership assigned to the domain user account during setup.

AplicaciónApplication Base de datos/rolDatabase/role Rol/cuentaRole/account
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerOperationsManager db_datareaderdb_datareader
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerOperationsManager dwsync_userdwsync_user
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerDWOperationsManagerDW OpsMgrWriterOpsMgrWriter
Microsoftg SQL ServerMicrosoftg SQL Server OperationsManagerDWOperationsManagerDW db_ownerdb_owner
Operations ManagerOperations Manager Rol de usuarioUser role Administradores de seguridad de informes de Operations ManagerOperations Manager Report Security Administrators
Operations ManagerOperations Manager Cuenta de ejecuciónRun As account Cuenta de acción de almacenamiento de datosData Warehouse Action account
Operations ManagerOperations Manager Cuenta de ejecuciónRun As account Cuenta de lectura de sincronización de configuración de almacenamiento de datosData Warehouse Configuration Synchronization Reader account

Cuenta de lectura de datosData Reader account

La cuenta de lectura de datos se usa para implementar informes, para definir qué usuario usa SQL Server Reporting Services para ejecutar consultas en el almacenamiento de datos de informes, y para definir la cuenta de SQL Server Reporting Services que se conectará al servidor de administración.The Data Reader account is used to deploy reports, define what user the SQL Server Reporting Services uses to execute queries against the Reporting data warehouse, and define the SQL Reporting Services account to connect to the management server. Esta cuenta de usuario de dominio se agrega al perfil de usuario del administrador de informes.This domain user account is added to the Report Administrator User Profile. La tabla siguiente describe los roles y pertenencia asignada a la cuenta durante la instalación.The following table describes the roles and membership assigned to the account during setup.

AplicaciónApplication Base de datos/rolDatabase/role Rol/cuentaRole/account
Microsoft SQL ServerMicrosoft SQL Server Reporting Services Installation instance (Instancia de instalación de Reporting Services)Reporting Services Installation instance Cuenta de ejecución del servidor de informesReport Server Execution account
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerDWOperationsManagerDW OpsMgrReaderOpsMgrReader
Operations ManagerOperations Manager Rol de usuarioUser role Operadores de informes de Operations ManagerOperations Manager Report Operators
Operations ManagerOperations Manager Rol de usuarioUser role Administradores de seguridad de informes de Operations ManagerOperations Manager Report Security Administrators
Operations ManagerOperations Manager Cuenta de ejecuciónRun As account Cuenta de implementación de informes de almacenamiento de datosData Warehouse Report Deployment account
Servicio de WindowsWindows service SQL Server Reporting ServicesSQL Server Reporting Services Cuenta de inicio de sesiónLogon account

Asegúrese de que la cuenta que piensa utilizar para la cuenta del lector de datos tiene los derechos Iniciar de sesión como servicio y Permitir el inicio de sesión local para cada servidor de administración, y SQL Server hospeda el rol de servidor de informes.Ensure that the account you plan to use for the Data Reader account has Log on as Service and Allow Log on Locally rights for each management server, and the SQL Server hosting the Reporting Server role.

Cuenta de instalación de agenteAgent Installation account

Al realizar la implementación del agente basada en detecciones, es necesaria una cuenta con privilegios de administrador para los equipos de destino para la instalación del agente.When performing discovery-based agent deployment, an account is required with Administrator privileges to the computers being targeted for agent installation. La cuenta de acción del servidor de administración es la cuenta predeterminada para la instalación del agente.The management server action account is the default account for agent installation. Si la cuenta de acción del servidor de administración no tiene derechos de administrador, el operador debe proporcionar una cuenta de usuario y contraseña con derechos administrativos en los equipos de destino.If the management server action account does not have administrator rights, the operator must provide a user account and password with administrative rights on the target computers. Esta cuenta se cifra antes de usarse y, a continuación, se descarta.This account is encrypted before being used and then discarded.

Cuenta de acción de notificaciónNotification Action account

La cuenta de acción de notificación es la cuenta de acción que se usa para crear y enviar notificaciones.The Notification Action account is the account used for creating and sending notifications. Estas credenciales deben tener suficientes derechos para el servidor SMTP, el servidor de mensajería instantánea o el servidor SIP que se usará para las notificaciones.These credentials must have sufficient rights for the SMTP server, instant messaging server, or the SIP server that is used for notifications.