Cuentas y perfiles de ejecución
Importante
Esta versión de Operations Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Operations Manager 2022.
Las cuentas de ejecución definen qué credenciales se usan para determinadas acciones realizadas por el agente de Operations Manager. Estas cuentas se administran de forma centralizada a través de la consola del operador y se asignan a distintos perfiles de ejecución. Si un perfil de ejecución no está asignado a una acción determinada, se lleva a cabo en la cuenta de acción predeterminada. En un entorno con pocos privilegios, la cuenta predeterminada podría no tener los permisos necesarios para realizar una acción determinada y se puede usar un perfil de ejecución para proporcionar esta entidad. Los módulos de administración pueden instalar perfiles y cuentas de ejecución para admitir las acciones necesarias. Si es así, se debe hacer referencia a su documentación para cualquier configuración necesaria.
Cuentas de ejecución predeterminadas
En la tabla siguiente se enumeran las cuentas de ejecución predeterminadas creadas por Operations Manager durante la instalación.
| Nombre | Descripción | Credenciales |
|---|---|---|
| Domain\ManagementServerActionAccount | La cuenta de usuario con la que todas las reglas se ejecutan de forma predeterminada en los servidores de administración. | Cuenta de dominio especificada como cuenta de acción del servidor de administración durante la instalación. |
| Cuenta de acción de sistema local | Cuenta del sistema integrada usada como cuenta de acción | Cuenta de sistema local de Windows |
| Cuenta de APM | Cuenta de supervisión de rendimiento de aplicaciones usada para proporcionar claves de cifrado de información protegida recopilada de la aplicación durante la supervisión. Esta cuenta se crea automáticamente una vez creada la primera Monitor de rendimiento de .NET. | Cuenta binaria cifrada |
| Cuenta de acción de almacenamiento de datos | Se usa para autenticar con SQL Server que hospeda la base de datos de OperationsManagerDW. | Cuenta de dominio especificada durante la instalación como la cuenta de escritura de almacenamiento de datos. |
| Cuenta de implementación de informes de almacenamiento de datos | Se usa para la autenticación entre el servidor de administración y SQL Server que hospeda Operations Manager Reporting Services. | Cuenta de dominio especificada durante la instalación como la cuenta de lectura de datos. |
| Cuenta Windows de sistema local | Cuenta del sistema integrada que el agente usa como cuenta de acción. | Cuenta de sistema local de Windows |
| Cuenta Windows de servicio de red | Cuenta de servicio de red integrada. | Cuenta de servicio de red de Windows |
Perfiles de ejecución predeterminados
En la tabla siguiente se enumeran los perfiles de ejecución creados por Operations Manager durante la instalación.
Nota
Si la cuenta de ejecución se deja en blanco para un perfil determinado, se usa la cuenta de acción predeterminada (ya sea la cuenta de acción del servidor de administración o la cuenta de acción del agente en función de la ubicación de la acción).
| Nombre | Descripción | Cuenta de ejecución |
|---|---|---|
| Cuenta de Active Directory basada en asignación de agentes | Cuenta usada por el módulo de asignación de agentes basado en Active Directory para publicar la configuración de asignación en Active Directory. | Cuenta Windows de sistema local |
| Cuenta de administración de agente automática | Esta cuenta se usa para diagnosticar automáticamente errores del agente. | None |
| Cuenta de acción de supervisión de clientes | Si se especifica, la usa Operations Manager para ejecutar todos los módulos de supervisión de cliente. Si no se especifica, Operations Manager usa la cuenta de acción predeterminada. | None |
| Cuenta de grupo de administración conectado | Cuenta que usa el módulo de administración de Operations Manager para supervisar el estado de la conexión de los grupos de administración conectados. | None |
| Cuenta de almacenamiento de datos | Si se especifica, esta cuenta se usa para ejecutar todas las reglas de recopilación y sincronización de almacenamiento de datos en lugar de la cuenta de acción predeterminada. Si la cuenta de autenticación de Data Warehouse SQL Server no invalida esta cuenta, las reglas de recopilación y sincronización usan esta cuenta para conectarse a las bases de datos de Data Warehouse mediante la autenticación integrada de Windows. | None |
| Cuenta de implementación de informes de almacenamiento de datos | Los procedimientos de autoimplementación de informes de almacenamiento de datos usan esta cuenta para ejecutar distintas operaciones relacionadas con la implementación de informes. | Cuenta de implementación de informes de almacenamiento de datos |
| Cuenta de autenticación de SQL Server de almacenamiento de datos | Si se especifica, las reglas de recopilación y sincronización usan este nombre de inicio de sesión y contraseña para conectarse a las bases de datos de Data Warehouse mediante SQL Server autenticación. | Cuenta de autenticación de SQL Server de almacenamiento de datos |
| Cuenta de acción de actualizaciones del módulo de administración | El notificador de actualizaciones del módulo de administración usa esta cuenta. | None |
| Cuenta de notificación | Cuenta de Windows usada por las reglas de notificación. Use la dirección de correo electrónico de esta cuenta como la dirección de remitente de correo electrónico y mensaje instantáneo. | None |
| Cuenta de base de datos operativa | Esta cuenta se usa para leer y escribir información en la base de datos de Operations Manager. | None |
| Cuenta de supervisión con privilegios | Este perfil se usa para supervisar, lo que solo se puede realizar con un alto nivel de privilegios en un sistema; por ejemplo, una supervisión que requiere permisos LocalSystem o de administrador local. Este perfil usa LocalSystem como valor predeterminado a menos que se invalide de forma específica para un sistema de destino. | None |
| Cuenta de autenticación de SQL Server del SDK de creación de informes | Si se especifica, el servicio sdk usa este nombre de inicio de sesión y contraseña para conectarse a las bases de datos de Data Warehouse mediante la autenticación SQL Server. | Cuenta de autenticación de SQL Server del SDK de creación de informes |
| Reservada | Este perfil está reservado y no debe usarse. | None |
| Cuenta de suscripción de alerta de validación | Cuenta usada por el módulo de suscripción de alerta de validación que valida que las suscripciones de notificación están en el ámbito. Este perfil necesita derechos de administrador. | Cuenta Windows de sistema local |
| Cuenta de supervisión de SNMP | Esta cuenta se utiliza para la supervisión de SNMP. | None |
| Cuenta de supervisión de SNMPv3 | Esta cuenta se utiliza para la supervisión de SNMPv3. | None |
| Cuenta de acción de UNIX/Linux | Esta cuenta se usa para el acceso a UNIX y Linux con pocos privilegios. | None |
| Cuenta de mantenimiento de agente de UNIX/Linux | Esta cuenta se utiliza para las operaciones de mantenimiento con privilegios de agentes de UNIX y Linux. Sin esta cuenta, las operaciones de mantenimiento del agente no funcionan. | None |
| Cuenta con privilegios de UNIX/Linux | Esta cuenta se usa para el acceso a acciones y recursos protegidos de UNIX y Linux que requieren privilegios altos. Sin esta cuenta, algunas reglas, diagnósticos y recuperaciones no funcionan. | None |
| Cuenta de acción de Windows Cluster | Este perfil se usa para todas las detecciones y supervisiones de los componentes de Windows Cluster. Este perfil usa de forma predeterminada cuentas de acción a menos que el usuario lo rellene. | None |
| Cuenta de acción de WS-Management | Este perfil se usa para el acceso a WS-Management. | None |
Descripción de la distribución y los destinos
Las cuentas de ejecución de destino y de distribución deben configurarse correctamente para que el perfil de ejecución funcione correctamente.
Cuando configura un perfil de ejecución, selecciona las cuentas de ejecución que desea asociar con el perfil de ejecución. Después de crear esta asociación, puede especificar la clase, el grupo o el objeto para el que se usará cuenta de ejecución para ejecutar tareas, reglas, monitores y detecciones.
La distribución es un atributo de una cuenta de ejecución y puede especificar qué equipos reciben las credenciales de la cuenta de ejecución. Puede elegir distribuir las credenciales de cuenta de ejecución a todos los equipos administrados por agente o únicamente a los equipos seleccionados.
Ejemplo de destino de la cuenta de ejecución: el equipo físico ABC hospeda dos instancias de Microsoft SQL Server: instancia X e instancia Y. Cada instancia usa un conjunto diferente de credenciales para la cuenta sa. Crea una cuenta de ejecución con las credenciales de SA para la instancia X y crea una cuenta de ejecución diferente para las credenciales de SA para la instancia Y. Cuando configura el perfil de ejecución de SQL Server, asocia las credenciales de cuenta de ejecución para ambas instancias, por ejemplo X e Y, con el perfil y especifica que las credenciales de la instancia X de la cuenta de ejecución se van a usar para la instancia X de SQL Server; y que las credenciales de la cuenta de ejecución Y se van a usar para la instancia Y de SQL Server. Después, también debe configurar los conjuntos de credenciales ambas cuentas de ejecución para que se distribuyan al equipo físico ABC.
Ejemplo de cuenta de ejecución de distribución: SQL Server1 y SQL Server2 son dos equipos físicos diferentes. SQL Server1 usa el conjunto de credenciales Usuario1 y Contraseña1 para la cuenta de SA de SQL. SQL Server2 usa el conjunto de credenciales Usuario2 y Contraseña2 para la cuenta de SA de SQL. El módulo de administración de SQL tiene un perfil de ejecución único que se usa para todos los servidores de SQL Server. A continuación, puede definir una cuenta de ejecución para el conjunto de credenciales UserName1 y otra cuenta de ejecución para el conjunto de credenciales UserName2. Ambas cuentas de ejecución se pueden asociar con un perfil de ejecución de SQL Server y se pueden configurar para que se distribuyan a los equipos apropiados. Es decir, UserName1 se distribuye a SQL Server1 y UserName2 se distribuye a SQL Server2. La información de las cuentas que se transmite entre el servidor de administración y el equipo indicado está cifrada.
Seguridad de cuenta de ejecución
En System Center Operations Manager, solo se distribuyen las credenciales de la cuenta de ejecución a los equipos que especifique (la opción más segura). Si Operations Manager distribuyera automáticamente la cuenta de ejecución de acuerdo con la detección, se introduciría un riesgo de seguridad en su entorno tal como se muestra en el ejemplo siguiente. Este es el motivo por el que no se incluyó una opción de distribución automática en Operations Manager.
Por ejemplo, Operations Manager identifica un equipo que hospeda SQL Server 2016 en razón de la presencia de una clave del Registro. Es posible crear esa misma clave del Registro en un equipo que no ejecute realmente una instancia de SQL Server 2016. Si Operations Manager distribuyera automáticamente las credenciales a todos los equipos administrados por agente identificados como equipos SQL Server 2016, las credenciales se enviarían al servidor SQL impostor y estarían disponibles para cualquier persona con derechos de administrador en dicho servidor.
Al crear una cuenta de ejecución mediante Operations Manager, se le pedirá que elija si la cuenta de ejecución debe tratarse de forma menos segura o más segura. “Más seguro” significa que, al asociar la cuenta de ejecución con un perfil de ejecución, tiene que proporcionar los nombres de los equipos específicos a los que desea distribuir las credenciales de ejecución. Mediante la identificación positiva de los equipos de destino, puede evitar el escenario de suplantación descrito anteriormente. Si elige la opción menos segura, no tendrá que proporcionar equipos específicos y las credenciales se distribuirán a todos los equipos administrados por agente.
Nota
Las credenciales que seleccione como cuenta de ejecución deben disponer, como mínimo, de derechos de inicio de sesión local, ya que, en caso contrario, se producirá un error en el módulo.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de