Cuentas y perfiles de ejecuciónRun As Accounts and Profiles

Se aplica a: System Center 2016 Operations ManagerApplies To: System Center 2016 - Operations Manager

Las cuentas de ejecución definen qué credenciales se usarán para algunas acciones que lleva a cabo el agente de Operations Manager.Run As accounts define which credentials will be used for certain actions that are carried out by the Operations Manager agent. Estas cuentas se administran de forma centralizada a través de la consola del operador y se asignan a distintos perfiles de ejecución.These accounts are centrally managed through the Operations console and assigned to different Run As profiles. Si no se asigna un perfil de ejecución a una acción determinada, esta se realizará con la cuenta de acción predeterminada.If a Run As profile is not assigned to a particular action, it will be carried out under the Default Action account. En un entorno con pocos privilegios, la cuenta predeterminada podría no tener los permisos necesarios para realizar una acción determinada y se puede usar un perfil de ejecución para proporcionar esta entidad.In a low-privilege environment, the default account may not have the required permissions for a particular action, and a Run As profile can be used to provide this authority. Los módulos de administración pueden instalar perfiles y cuentas de ejecución para admitir las acciones necesarias.Management packs may install Run As profiles and Run As accounts to support required actions. Si es así, se debería consultar su documentación para cualquier configuración requerida.If this is the case, their documentation should be referenced for any required configuration.

Cuentas de ejecución predeterminadasDefault Run As accounts

En la tabla siguiente se enumeran las cuentas de ejecución predeterminadas creadas por Operations Manager durante la instalación.The following table lists the default Run As accounts that are created by Operations Manager during setup.

NombreName DescripciónDescription CredentialesCredentials
Domain\ManagementServerActionAccountDomain\ManagementServerActionAccount Se trata de una cuenta de usuario en la que todas las reglas se ejecutan de forma predeterminada en los servidores de administración.This is the user account under which all rules run by default on management servers. Cuenta de dominio especificada como cuenta de acción del servidor de administración durante la instalación.Domain account specified as the Management Server Action account during setup.
Cuenta de acción de sistema localLocal System Action Account Cuenta del sistema integrada usada como cuenta de acciónBuilt-in System account used as an action account. Cuenta de sistema local de WindowsWindows Local System account
Cuenta de APMAPM Account Cuenta de supervisión de rendimiento de aplicaciones usada para proporcionar claves de cifrado de información protegida recopilada de la aplicación durante la supervisión.Application Performance Monitoring account used to provide keys for encrypting secure information collected from the application during monitoring. Cuenta binaria cifradaEncrypted binary account
Cuenta de acción de almacenamiento de datosData Warehouse Action Account Se usa para autenticar con SQL Server que hospeda la base de datos de OperationsManagerDW.Used to authenticate with SQL Server hosting the OperationsManagerDW database. Cuenta de dominio especificada durante la instalación como la cuenta de escritura de almacenamiento de datos.Domain account specified during setup as the Data Warehouse Write account.
Cuenta de implementación de informes de almacenamiento de datosData Warehouse Report Deployment Account Se usa para la autenticación entre el servidor de administración y SQL Server que hospeda Operations Manager Reporting Services.Used to authenticate between the management server and SQL Server hosting Operations Manager Reporting Services. Cuenta de dominio especificada durante la instalación como la cuenta de lectura de datos.Domain account specified during setup as the Data Reader account.
Cuenta Windows de sistema localLocal System Windows Account Cuenta del sistema integrada que el agente usa como cuenta de acción.Built-in SYSTEM account used by the agent action account. Cuenta de sistema local de WindowsWindows Local System account
Cuenta Windows de servicio de redNetwork Service Windows Account Cuenta de servicio de red incorporadaBuilt-in Network service account Cuenta de servicio de red de WindowsWindows NetworkService account

Perfiles de ejecución predeterminadosDefault Run As profiles

En la tabla siguiente se enumeran los perfiles de ejecución creados por Operations Manager durante la instalación.The following table lists the Run As profiles that are created by Operations Manager during setup. Tenga en cuenta que si la cuenta de ejecución se deja en blanco para el perfil en particular, se usará la cuenta de acción predeterminada (la cuenta de acción del servidor de administración o la cuenta de acción del agente, según la ubicación de la acción).Note that if the Run As account is left blank for the particular profile, the Default Action account (either the Management Server Action account or the Agent Action account, depending on the location of the action) will be used.

NombreName DescripciónDescription Cuenta de ejecuciónRun As account
Cuenta de Active Directory basada en asignación de agentesActive Directory Based Agent Assignment Account Cuenta usada por el módulo de asignación de agentes basado en Active Directory para publicar la configuración de asignación en Active Directory.Account used by Active Directory-based agent assignment module to publish assignment settings to Active Directory. Cuenta Windows de sistema localLocal System Windows Account
Cuenta de administración de agente automáticaAutomatic Agent Management Account Esta cuenta se usará para diagnosticar automáticamente los errores de agente.This account will be used to automatically diagnose agent failures. NingunoNone
Cuenta de acción de supervisión de clientesClient Monitoring Action Account Si se especifica, la usa Operations Manager 2016 para ejecutar todos los módulos de supervisión de cliente.If specified, used by Operations Manager 2016 to run all client monitoring modules. Si no se especifica, Operations Manager usa la cuenta de acción predeterminada.If not specified, Operations Manager uses the default action account. NingunoNone
Cuenta de grupo de administración conectadoConnected Management Group Account Cuenta que usa el módulo de administración de Operations Manager para supervisar el estado de la conexión de los grupos de administración conectados.Account used by Operations Manager management pack to monitor connection health to the connected management groups. NingunoNone
Cuenta de almacenamiento de datosData Warehouse Account Si se especifica, esta cuenta se usa para ejecutar todas las reglas de recopilación y sincronización de almacenamiento de datos en lugar de la cuenta de acción predeterminada.If specified, this account is used to run all Data Warehouse collection and synchronization rules instead of the default action account. Si no se invalida por la cuenta de autenticación de SQL Server de almacenamiento de datos, las reglas de recopilación y sincronización usan esta cuenta para conectar a las bases de datos de almacenamiento de datos mediante la autenticación integrada de Windows.If this account is not overridden by the Data Warehouse SQL Server Authentication account, this account is used by collection and synchronization rules to connect to the Data Warehouse databases using Windows integrated authentication. NingunoNone
Cuenta de implementación de informes de almacenamiento de datosData Warehouse Report Deployment Account Los procedimientos de autoimplementación de informes de almacenamiento de datos usan esta cuenta para ejecutar distintas operaciones relacionadas con la implementación de informes.This account is used by Data Warehouse report auto-deployment procedures to execute various report deployment-related operations. Cuenta de implementación de informes de almacenamiento de datosData Warehouse Report Deployment Account
Cuenta de autenticación de SQL Server de almacenamiento de datosData Warehouse SQL Server Authentication Account Si se especifica, las reglas de recopilación y sincronización usan este nombre y contraseña de inicio de sesión para conectar a las bases de datos de almacenamiento de datos mediante la autenticación de SQL Server.If specified, this login name and password is used by collection and synchronization rules to connect to the Data Warehouse databases using SQL Server authentication. Cuenta de autenticación de SQL Server de almacenamiento de datosData Warehouse SQL Server Authentication Account
Cuenta de acción de actualizaciones del módulo de administraciónMPUpdate Action Account El notificador de actualizaciones del módulo de administración usa esta cuenta.This account is used by the MPUpdate notifier. NingunoNone
Cuenta de notificaciónNotification Account Cuenta de Windows usada por las reglas de notificación.Windows account used by notification rules. Use la dirección de correo electrónico de esta cuenta como la dirección de remitente de correo electrónico y mensaje instantáneo.Use this account's e-mail address as the e-mail and instant message 'From' address. NingunoNone
Cuenta de base de datos operativaOperational Database Account Esta cuenta se usa para leer y escribir información en la base de datos de Operations Manager.This account is used to read and write information to the Operations Manager database. NingunoNone
Cuenta de supervisión con privilegiosPrivileged Monitoring Account Este perfil se usa para supervisar, lo que solo se puede realizar con un alto nivel de privilegios en un sistema; por ejemplo, una supervisión que requiere permisos LocalSystem o de administrador local.This profile is used for monitoring, which can only be done with a high level of privilege to a system; for example, monitoring that requires Local System or Local Administrator permissions. Este perfil usa LocalSystem como valor predeterminado a menos que se invalide de forma específica para un sistema de destino.This profile defaults to Local System unless specifically overridden for a target system. NingunoNone
Cuenta de autenticación de SQL Server del SDK de creación de informesReporting SDK SQL Server Authentication Account Si se especifica, el servicio SDK usa este nombre y contraseña de inicio de sesión para conectar a las bases de datos de almacenamiento de datos mediante la autenticación de SQL Server.If specified, this login name and password is used by SDK Service to connect to the Data Warehouse databases using SQL Server authentication. Cuenta de autenticación de SQL Server del SDK de creación de informesReporting SDK SQL Server Authentication Account
ReservadoReserved Este perfil está reservado y no debe usarse.This profile is reserved and must not be used NingunoNone
Cuenta de suscripción de alerta de validaciónValidate Alert Subscription Account Cuenta usada por el módulo de suscripción de alerta de validación que valida que las suscripciones de notificación están en el ámbito.Account used by the validate alert subscription module that validates that notification subscriptions are in scope. Este perfil necesita derechos de administrador.This profile needs administrator rights. Cuenta Windows de sistema localLocal System Windows Account
Cuenta de supervisión de SNMPSNMP Monitoring Account Esta cuenta se utiliza para la supervisión de SNMP.This account is used for SNMP monitoring. NingunoNone
Cuenta de supervisión de SNMPv3SNMPv3 Monitoring Account Esta cuenta se utiliza para la supervisión de SNMPv3.This account is used for SNMPv3 monitoring. NingunoNone
Cuenta de acción de UNIX/LinuxUNIX/Linux Action Account Esta cuenta se usa para el acceso a UNIX y Linux con pocos privilegios.THis account is used for low privilege UNIX and Linux access. NingunoNone
Cuenta de mantenimiento de agente de UNIX/LinuxUNIX/Linux Agent Maintenance Account Esta cuenta se utiliza para las operaciones de mantenimiento con privilegios de agentes de UNIX y Linux.This account is used for privileged maintenance operations for UNIX and Linux agents. Sin esta cuenta, las operaciones de mantenimiento de agentes no funcionarán.Without this account agent maintenance operations will not work. NingunoNone
Cuenta con privilegios de UNIX/LinuxUNIX/Linux Privileged Account Esta cuenta se usa para el acceso a acciones y recursos protegidos de UNIX y Linux que requieren privilegios altos.This account is used for accessing protected UNIX and Linux resources and actions that require high privileges. Sin esta cuenta algunas reglas, diagnósticos y recuperaciones no funcionarán.Without this account some rules, diagnostics and recoveries will not work. NingunoNone
Cuenta de acción de Windows ClusterWindows Cluster Action Account Este perfil se usa para todas las detecciones y supervisiones de los componentes de Windows Cluster.This profile is used for all discovery and monitoring of Windows Cluster components. Este perfil usa las cuentas de acción usadas de forma predeterminada, a menos que el usuario lo rellene específicamente.This profile defaults to used action accounts unless specifically populated by the user. NingunoNone
Cuenta de acción de WS-ManagementWS-Management Action Account Este perfil se usa para el acceso a WS-Management.This profile is used for WS-Management access. NingunoNone

Descripción de la distribución y los destinosUnderstanding distribution and targeting

Las cuentas de ejecución de destino y de distribución deben configurarse correctamente para que el perfil de ejecución funcione correctamente.Both Run As account distribution and Run As account targeting must be correctly configured for the Run As profile to work properly.

Cuando configura un perfil de ejecución, selecciona las cuentas de ejecución que desea asociar con el perfil de ejecución.When you configure a Run As profile, you select the Run As accounts you want to associate with the Run As profile. Después de crear esta asociación, puede especificar la clase, el grupo o el objeto para el que se usará cuenta de ejecución para ejecutar tareas, reglas, monitores y detecciones.After you create that association, you can specify the class, group, or object for which the Run As account is to be used for running tasks, rules, monitors, and discoveries against.

La distribución es un atributo de una cuenta de ejecución y puede especificar los equipos que recibirán las credenciales de cuenta de ejecución.Distribution is an attribute of a Run As account, and you can specify which computers will receive the Run As account credentials. Puede elegir distribuir las credenciales de cuenta de ejecución a todos los equipos administrados por agente o únicamente a los equipos seleccionados.You can choose to distribute the Run As account credentials to every agent-managed computer or only to selected computers.

Ejemplo de cuenta de ejecución de destino: el equipo físico ABC hospeda dos instancias de Microsoft SQL Server, la instancia X y la instancia Y. Cada instancia usa un conjunto diferente de credenciales para la cuenta de SA.Example of Run As account targeting: Physical computer ABC hosts two instances of Microsoft SQL Server, instance X and instance Y. Each instance uses a different set of credentials for the sa account. Crea una cuenta de ejecución con las credenciales de SA para la instancia X y crea una cuenta de ejecución diferente para las credenciales de SA para la instancia Y. Cuando configura el perfil de ejecución de SQL Server, asocia las credenciales de cuenta de ejecución para ambas instancias, por ejemplo X e Y, con el perfil y especifica que las credenciales de la instancia X de la cuenta de ejecución se van a usar para la instancia X de SQL Server; y que las credenciales de la cuenta de ejecución Y se van a usar para la instancia Y de SQL Server. Después, también debe configurar los conjuntos de credenciales ambas cuentas de ejecución para que se distribuyan al equipo físico ABC.You create a Run As account with the sa credentials for instance X, and you create a different Run As account with the sa credentials for instance Y. When you configure the SQL Server Run As profile, you associate both Run As account credentials—for example, X and Y—with the profile and specify that the Run As account instance X credentials are to be used for SQL Server instance X and that the Run As account Y credentials are to be used for SQL Server instance Y. Then you must also configure each set of Run As account credentials to be distributed to physical computer ABC.

Ejemplo de cuenta de ejecución de distribución: SQL Server1 y SQL Server2 son dos equipos físicos diferentes.Example of Run As account distribution: SQL Server1 and SQL Server2 are two different physical computers. SQL Server1 usa el conjunto de credenciales Usuario1 y Contraseña1 para la cuenta de SA de SQL.SQL Server1 uses the UserName1 and Password1 set of credentials for the SQL sa account. SQL Server2 usa el conjunto de credenciales Usuario2 y Contraseña2 para la cuenta de SA de SQL.SQL Server2 uses the UserName2 and Password2 set of credentials for the SQL sa account. El módulo de administración de SQL tiene un perfil de ejecución único que se usa para todos los servidores de SQL Server.The SQL management pack has a single SQL Run As profile that is used for all SQL Servers. Después, puede definir una cuenta de ejecución para el conjunto de credenciales de Usuario1 y otra cuenta de ejecución con el conjunto de credenciales de Usuario2.You can then define one Run As account for UserName1 set of credentials and another Run As account for the UserName2 set of credentials. Ambas cuentas de ejecución se pueden asociar con un perfil de ejecución de SQL Server y se pueden configurar para que se distribuyan a los equipos apropiados.Both of these Run As accounts can be associated with the one SQL Server Run As profile and can be configured to be distributed to the appropriate computers. Es decir, Usuario1 se distribuye a SQL Server1 y Usuario2 se distribuye a SQL Server2.That is, UserName1 is distributed to SQL Server1 and UserName2 is distributed to SQL Server2. La información de las cuentas que se transmite entre el servidor de administración y el equipo indicado está cifrada.Account information sent between the management server and the designated computer is encrypted.

Seguridad de cuenta de ejecuciónRun As account security

En System Center 2016 Operations Manager, solo se distribuyen las credenciales de la cuenta de ejecución a los equipos que especifique (la opción más segura).In System Center 2016 - Operations Manager, Run As account credentials are distributed only to computers that you specify (the more secure option). Si Operations Manager distribuyera automáticamente la cuenta de ejecución de acuerdo con la detección, se introduciría un riesgo de seguridad en su entorno tal como se muestra en el ejemplo siguiente.If Operations Manager automatically distributed the Runs As account according to discovery, a security risk would be introduced into your environment as illustrated in the following example. Por esta razón no se incluyó una opción de distribución automática en Operations Manager.This is why an automatic distribution option was not included in Operations Manager.

Por ejemplo, Operations Manager identifica un equipo que hospeda SQL Server 2016 en razón de la presencia de una clave del Registro.For example, Operations Manager identifies a computer as hosting SQL Server 2016 based on the presence of a registry key. Es posible crear esa misma clave del registro en un equipo que no está ejecutando realmente una instancia de SQL Server 2016.It is possible to create that same registry key on a computer that is not actually running an instance of SQL Server 2016. Si Operations Manager distribuyera automáticamente las credenciales a todos los equipos administrados por agente identificados como equipos SQL Server 2016, las credenciales se enviarían al servidor SQL impostor y estarían disponibles para cualquier persona con derechos de administrador en dicho servidor.If Operations Manager were to automatically distribute the credentials to all agent managed computers that have been identified as SQL Server 2016 computers, the credentials would be sent to the imposter SQL Server and they would be available to anyone with administrator rights on that server.

Al crear una cuenta de ejecución con Operations Manager 2016, se le pedirá que elija si la cuenta de ejecución debe ser tratada de modo Menos seguro o Más seguro.When you create a Run As account using Operations Manager 2016, you are prompted to choose whether the Run As account should be treated in a Less secure or More secure fashion. “Más seguro” significa que, al asociar la cuenta de ejecución con un perfil de ejecución, tiene que proporcionar los nombres de los equipos específicos a los que desea distribuir las credenciales de ejecución.“More secure” means that when you associate the Run As account with a Run As profile, you have to provide the specific computer names that you want the Run As credentials distributed to. Mediante la identificación positiva de los equipos de destino, puede evitar el escenario de suplantación descrito anteriormente.By positively identifying the destination computers, you can prevent the spoofing scenario that was described before. Si elige la opción menos segura, no tendrá que proporcionar ningún equipo específico y las credenciales se distribuirán a todos los equipos administrados por agente.If you choose the less secure option, you will not have to provide any specific computers and the credentials will be distributed to all agent-managed computers.

Nota

Las credenciales que seleccione como cuenta de ejecución deben disponer, como mínimo, de derechos de inicio de sesión local, ya que, en caso contrario, se producirá un error en el módulo.The credentials you select for the Run As account must have at a minimum, logon locally rights; otherwise, the module will fail.