Cuentas de servicio, usuario y seguridad
Importante
Esta versión de Operations Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Operations Manager 2022.
Durante la configuración y las operaciones diarias de Operations Manager, se le pedirá que proporcione credenciales para varias cuentas. En este artículo se proporciona información sobre cada una de estas cuentas, incluidas las cuentas de servicio de configuración y SDK, de instalación del agente, de escritura de almacenamiento de datos y de lectura de datos.
Nota
La instalación de Operations Manager proporciona todos los permisos necesarios de SQL.
Si usa cuentas de dominio y el objeto de directiva de grupo de dominio (GPO) tiene establecida la directiva de expiración de contraseña predeterminada según sea necesario, tendrá que cambiar las contraseñas de las cuentas de servicio según la programación, usar cuentas del sistema o configurar las cuentas para que las contraseñas nunca expiren.
Cuentas de acción
En System Center Operations Manager, todos los servidores de administración, los servidores de puerta de enlace y los agentes ejecutan un proceso denominado MonitoringHost.exe. MonitoringHost.exe se usa para llevar a cabo actividades de supervisión, como la ejecución de un monitor o de una tarea. Los otros ejemplos de las acciones MonitoringHost.exe realizan son:
- Supervisión y recopilación de datos del registro de eventos de Windows
- Supervisión y recopilación de datos del contador de rendimiento de Windows
- Supervisión y recopilación de datos del Instrumental de administración de Windows (WMI)
- Ejecutar acciones como scripts o lotes
La cuenta que ejecuta un proceso de MonitoringHost.exe se llama cuenta de acción. MonitoringHost.exe es el proceso que ejecuta estas acciones mediante el uso de las credenciales especificadas en la cuenta de acción. Se crea una nueva instancia de MonitoringHost.exe para cada cuenta. La cuenta de acción para el proceso de MonitoringHost.exe que se ejecuta en un agente se denomina cuenta de acción del agente. La cuenta de acción usada por el proceso de MonitoringHost.exe en un servidor de administración se denomina cuenta de acción del servidor de administración. La cuenta de acción usada por el proceso de MonitoringHost.exe en un servidor de puerta de enlace se denomina cuenta de acción del servidor de puerta de enlace. En todos los servidores de administración del grupo de administración, se recomienda conceder a la cuenta derechos administrativos locales a menos que la directiva de seguridad de TI de la organización requiera acceso con privilegios mínimos.
A menos que se haya asociado una acción con un perfil de ejecución, las credenciales que se usan para realizar la acción serán las que definió para la cuenta de acción. Para obtener más información sobre perfiles y cuentas de ejecución, consulte la sección Cuentas de ejecución. Cuando un agente ejecuta acciones como cuenta de acción predeterminada o como cuentas de ejecución, se crea una nueva instancia de MonitoringHost.exe para cada cuenta.
Cuando instale Operations Manager, tendrá la posibilidad de especificar una cuenta de dominio o usar LocalSystem. La opción más segura es especificar una cuenta de dominio que le permita seleccionar un usuario con los privilegios mínimos necesarios para el entorno.
Puede usar una cuenta con privilegios mínimos para la cuenta de acción del agente. En equipos con Windows Server 2008 R2 o superior, la cuenta debe tener los privilegios mínimos siguientes:
- Miembro del grupo Usuarios local
- Miembro del grupo Usuarios del monitor de rendimiento local
- Permiso Permitir el inicio de sesión local (SetInteractiveLogonRight) (no aplicable a Operations Manager 2019 ni versiones posteriores).
Nota
Los privilegios mínimos descritos anteriormente son los privilegios más bajos que admite Operations Manager para la cuenta de acción. Otras cuentas de ejecución pueden tener privilegios más bajos. Los privilegios reales necesarios para la cuenta de acción y las cuentas de ejecución dependerán de qué módulos de administración se ejecutan en el equipo y cómo están configurados. Para obtener más información acerca de los privilegios específicos necesarios, consulte la guía del módulo de administración correspondiente.
La cuenta de dominio especificada para la cuenta de acción se puede conceder el permiso Iniciar sesión como servicio (SeServiceLogonRight) o Iniciar sesión como Batch (SeBatchLogonRight) si la directiva de seguridad no permite que se conceda a una cuenta de servicio una sesión de inicio de sesión interactiva, como cuando se requiere autenticación de tarjeta inteligente. Modifique el valor del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
La cuenta de dominio que se especifica para la cuenta de acción se concede con el permiso Iniciar sesión como servicio (SeServiceLogonRight). Para cambiar el tipo de inicio de sesión para el servicio de mantenimiento, modifique el valor del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Nombre: Tipo de inicio de sesión de proceso de trabajo
- Tipo: REG_DWORD
- Valores: cuatro (4): Iniciar sesión como proceso por lotes, dos (2): permitir el inicio de sesión local, y cinco (5): iniciar sesión como servicio. El valor predeterminado es 2.
- Valores: cuatro (4): iniciar sesión como proceso por lotes, dos (2): permitir el inicio de sesión local, y cinco (5): iniciar sesión como servicio. El valor predeterminado es 5.
Puede administrar centralmente la configuración mediante la directiva de grupo si copia el archivo ADMX healthservice.admx desde un servidor de administración o el sistema administrado por agente que se encuentra en la carpeta C:\Windows\PolicyDefinitions y configura la opción Tipo de inicio de sesión de cuenta de acción de supervisión en la carpeta Computer Configuration\Administrative Templates\System Center - Operations Manager. Para más información sobre cómo trabajar con archivos ADMX de directiva de grupo, consulte Managing Group Policy ADMX files (Administración de archivos ADMX de directiva de grupo).
Cuenta del servicio de configuración de System Center y servicio de acceso a datos de System Center
Los servicios de configuración de administración de System Center y de acceso a datos de System Center utilizan la cuenta de servicio de configuración de System Center y servicio de acceso a datos de System Center para actualizar la información de la base de datos operativa. Las credenciales usadas para la cuenta de acción se asignarán al rol sdk_user en la base de datos operativa.
La cuenta debe ser usuario de dominio o LocalSystem. La cuenta usada por la cuenta de servicio de configuración y el SDK debe tener derechos administrativos locales en todos los servidores de administración del grupo de administración. No se admite el uso de la cuenta de usuario local. Para aumentar la seguridad, se recomienda usar una cuenta de usuario de dominio y es una cuenta diferente de la que se usa para la cuenta de acción del servidor de administración. La cuenta LocalSystem es la cuenta que tiene los privilegios más elevados en un equipo Windows, incluso más altos que el administrador local. Cuando un servicio se ejecuta en el contexto de LocalSystem, el servicio tiene control total de los recursos locales del equipo y la identidad del equipo se usa al autenticarse en recursos remotos y acceder a ellos. El uso de la cuenta LocalSystem es un riesgo de seguridad porque no respeta el principio de privilegios mínimos. Debido a los derechos necesarios en la instancia de SQL Server que hospeda la base de datos de Operations Manager, se necesita una cuenta de dominio con permisos de privilegios mínimos para evitar cualquier riesgo de seguridad si está en peligro el servidor de administración del grupo de administración. Las razones son:
- LocalSystem no tiene contraseña
- No tiene su propio perfil
- Tiene privilegios amplios en el equipo local
- Presenta las credenciales del equipo a equipos remotos
Nota
Si la base de datos de Operations Manager se instala en un equipo independiente del servidor de administración y se selecciona LocalSystem para la cuenta de servicio de configuración y de acceso a datos, la cuenta de equipo del equipo de servidor de administración se asigna al rol sdk_user en el equipo de la base de datos de Operations Manager.
Para obtener más información, consulte acerca de LocalSystem.
Cuenta de escritura de almacenamiento de datos
La cuenta de escritura de almacenamiento de datos es la cuenta que se usa para escribir los datos desde el servidor de administración en el almacenamiento de datos de informes y lee los datos de la base de datos de Operations Manager. La tabla siguiente describe los roles y pertenencia asignada a la cuenta de usuario de dominio durante la instalación.
| Application | Base de datos/rol | Rol/cuenta |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Rol de usuario | Administradores de seguridad de informes de Operations Manager |
| Operations Manager | Cuenta de ejecución | Cuenta de acción de almacenamiento de datos |
| Operations Manager | Cuenta de ejecución | Cuenta de lectura de sincronización de configuración de almacenamiento de datos |
Cuenta de lectura de datos
La cuenta de lectura de datos se usa para implementar informes, para definir qué usuario usa SQL Server Reporting Services para ejecutar consultas en el almacenamiento de datos de informes, y para definir la cuenta de SQL Server Reporting Services que se conectará al servidor de administración. Esta cuenta de usuario de dominio se agrega al perfil de usuario del administrador de informes. La tabla siguiente describe los roles y pertenencia asignada a la cuenta durante la instalación.
| Application | Base de datos/rol | Rol/cuenta |
|---|---|---|
| Microsoft SQL Server | Reporting Services Installation instance (Instancia de instalación de Reporting Services) | Cuenta de ejecución del servidor de informes |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Rol de usuario | Operadores de informes de Operations Manager |
| Operations Manager | Rol de usuario | Administradores de seguridad de informes de Operations Manager |
| Operations Manager | Cuenta de ejecución | Cuenta de implementación de informes de almacenamiento de datos |
| Servicio de Windows | SQL Server Reporting Services | Cuenta de inicio de sesión |
Compruebe que la cuenta que piensa utilizar para la cuenta del lector de datos tiene los derechos Iniciar de sesión como servicio (versión 2019 y posteriores) y Permitir el inicio de sesión local (versiones anteriores) para cada servidor de administración, y SQL Server hospeda el rol de servidor de informes.
Cuenta de instalación de agente
Al realizar la implementación del agente basada en detecciones, es necesaria una cuenta con privilegios de administrador en los equipos de destino para la instalación del agente. La cuenta de acción del servidor de administración es la cuenta predeterminada para la instalación del agente. Si la cuenta de acción del servidor de administración no tiene derechos de administrador, el operador debe proporcionar una cuenta de usuario y una contraseña con derechos administrativos en los equipos de destino. Esta cuenta se cifra antes de usarse y, a continuación, se descarta.
Cuenta de acción de notificación
La cuenta de acción de notificación es la cuenta de acción que se usa para crear y enviar notificaciones. Estas credenciales deben tener suficientes derechos para el servidor SMTP, el servidor de mensajería instantánea o el servidor SIP que se usará para las notificaciones.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de