Szolgáltatás-, felhasználói és biztonsági fiókokService, User, and Security Accounts

Fontos

A Operations Manager ezen verziója elérte a támogatás végét, javasoljuk, hogy frissítsen a Operations Manager 2019-re.This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

Operations Manager telepítése és a napi működése során a rendszer kérni fogja a több fiók hitelesítő adatainak megadását.During the setup and daily operation of Operations Manager, you will be asked to provide credentials for several accounts. Ez a cikk információkat nyújt ezekről a fiókokról, beleértve az SDK-t és a konfigurációs szolgáltatást, az ügynökök telepítését, az adatraktár írását és az Adatolvasó fiókokat.This article provides information about each of these accounts, including the SDK and Config Service, Agent Installation, Data Warehouse Write, and Data Reader accounts.

Ha tartományi fiókokat használ, és a tartományi Csoportházirend objektum (GPO) az alapértelmezett jelszó-lejárati szabályzatot kötelezőként beállította, akkor vagy módosítania kell a szolgáltatásfiókok jelszavát az ütemtervnek megfelelően, a rendszerfiókokat kell használnia, vagy konfigurálnia kell a fiókokat, hogy a jelszavak soha ne járjanak le.If you use domain accounts and your domain Group Policy object (GPO) has the default password expiration policy set as required, you will either have to change the passwords on the service accounts according to the schedule, use system accounts, or configure the accounts so that the passwords never expire.

Műveleti fiókokAction accounts

System Center Operations Manager a felügyeleti kiszolgálók, az átjáró-kiszolgálók és az ügynökök mind a MonitoringHost.exe nevű folyamatot hajtják végre.In System Center Operations Manager, management servers, gateway servers, and agents all execute a process called MonitoringHost.exe. A MonitoringHost.exe olyan figyelési tevékenységeket hajt végre, mint például egy figyelő végrehajtása vagy egy feladat futtatása.MonitoringHost.exe is used to accomplish monitoring activities such as executing a monitor or running a task. További példa a műveletekre MonitoringHost.exe végrehajtja a következőket:Other example of actions MonitoringHost.exe performs include:

  • A Windows-eseménynapló adatainak figyelése és gyűjtése.Monitoring and collecting Windows event log data.
  • A Windows-teljesítményszámláló adatainak figyelése és gyűjtése.Monitoring and collecting Windows performance counter data.
  • A Windows Management Instrumentation (WMI) adatainak figyelés és gyűjtése.Monitoring and collecting Windows Management Instrumentation (WMI) data.
  • Parancsfájlok, kötegelt fájlok és más műveletek futtatása.Running actions such as scripts or batches.

A MonitoringHost.exe folyamat futtatásához használt fiók a műveleti fiók.The account that a MonitoringHost.exe process runs as is called the action account. Ezeket a műveleteket a MonitoringHost.exe folyamat futtatja a műveleti fiókhoz megadott hitelesítő adatok használatával.MonitoringHost.exe is the process that runs these actions by using the credentials that are specified in the action account. Minden fiókhoz a MonitoringHost.exe egy új példánya jön létre.A new instance of MonitoringHost.exe is created for each account. Az ügynökön futó MonitoringHost.exe folyamat műveleti fiókja az ügynökműveleti fiók.The action account for the MonitoringHost.exe process running on an agent is called the Agent Action Account. A felügyeleti kiszolgálón futó MonitoringHost.exe folyamat műveleti fiókja a felügyeleti kiszolgáló műveleti fiókja.The action account used by the MonitoringHost.exe process on a management server is called the Management Server Action account. Az átjárókiszolgálón futó MonitoringHost.exe folyamat műveleti fiókja az átjárókiszolgáló műveleti fiókja.The action account used by the MonitoringHost.exe process on a gateway server is called the Gateway Server Action Account. Javasoljuk, hogy a felügyeleti csoportban lévő összes felügyeleti kiszolgálón engedélyezze a helyi rendszergazdai jogosultságokat, kivéve, ha a szervezete informatikai biztonsági szabályzata minimális jogosultsági szintű hozzáférést igényel.On all management servers in the management group, we recommend that you grant the account local administrative rights unless least-privileged access is required by your organizations IT security policy.

Ha egy művelet társítva van egy futtató profilhoz, akkor a művelet végrehajtásához használt hitelesítő adatok lesznek a műveleti fiókhoz megadott hitelesítő adatok.Unless an action has been associated with a Run As profile, the credentials that are used to perform the action will be those, you defined for the action account. A futtató fiókokról és futtató profilokról további információt talál a Futtató fiókok című témakörben.For more information about Run As Accounts and Run As Profiles, see the section Run As Accounts. Amikor egy ügynök az alapértelmezett műveleti fiók és/vagy futtató fiók(ok) nevében hajt végre műveleteket, akkor minden egyes fiókhoz a MonitoringHost.exe egy új példánya jön létre.When an agent runs actions as either the default action account and/or Run As account(s), a new instance of MonitoringHost.exe is created for each account.

A Operations Manager telepítésekor lehetősége van tartományi fiók megadására vagy a LocalSystem használatára.When you install Operations Manager, you have the option to specify a domain account or use LocalSystem. A biztonságosabb megközelítés egy tartományi fiók megadása, amely lehetővé teszi egy olyan felhasználó kiválasztását, amely a környezetéhez szükséges legalacsonyabb jogosultságokkal rendelkezik.The more secure approach is to specify a domain account, which allows you to select a user with the least privileges necessary for your environment.

A legalacsonyabb jogosultsági szintű fiókot használhatja az ügynök műveleti fiókjához.You can use a least-privileged account for the agent’s action account. A Windows Server 2008 R2 vagy újabb operációs rendszert futtató számítógépeken a fióknak legalább a következő jogosultságokkal kell rendelkeznie:On computers running Windows Server 2008 R2 or higher, the account must have the following minimum privileges:

  • A helyi Felhasználók csoport tagjaMember of the local Users group
  • A helyi Teljesítményfigyelő felhasználók csoport tagjaMember of the local Performance Monitor Users group
  • A helyi bejelentkezés engedélyezése (SetInteractiveLogonRight) engedély (Operations Manager 2019 esetén nem alkalmazható).Allow log on locally (SetInteractiveLogonRight) permission (not applicable for Operations Manager 2019).

Megjegyzés

A fenti minimális jogosultságok az Operations Manager által a műveleti fiók esetében támogatott legalacsonyabb jogosultságok.The minimum privileges described above are the lowest privileges that Operations Manager supports for the action account. Más futtató fiókok rendelkezhetnek alacsonyabb szintű jogosultságokkal.Other Run As accounts can have lower privileges. A műveleti fiók és a futtató fiók számára ténylegesen szükséges jogosultságokat az határozza meg, hogy a számítógépen mely felügyeleti csomagok futnak, illetve hogy azok miként vannak konfigurálva.The actual privileges required for the Action account and the Run As accounts will depend upon which management packs are running on the computer and how they are configured. Azzal kapcsolatban, hogy pontosan mely jogosultságokra van szükség, a megfelelő felügyeleti csomag útmutatójában talál további információkat.For more information about which specific privileges are required, see the appropriate management pack guide.

A műveleti fiókhoz megadott tartományi fiók a Bejelentkezés szolgáltatásként (SeServiceLogonRight) vagy batch (SeBatchLogonRight) engedélyként is engedélyezhető, ha a biztonsági házirend nem engedélyezi, hogy a szolgáltatásfiók interaktív bejelentkezési munkamenetet biztosítson, például ha intelligens kártyás hitelesítésre van szükség.The domain account that is specified for the action account can be granted either Log on as a Service (SeServiceLogonRight) or Log on as Batch (SeBatchLogonRight) permission if your security policy does not allow a service account to be granted an interactive log on session, such as when smart card authentication is required. Módosítsa a beállításjegyzék értékét HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:Modify the registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

A műveleti fiókhoz megadott tartományi fiók a Bejelentkezés szolgáltatásként (SeServiceLogonRight) engedéllyel van megadva.The domain account that is specified for the action account is granted with Log on as a Service (SeServiceLogonRight) permission. Az állapotfigyelő szolgáltatás bejelentkezési típusának módosításához módosítsa a beállításazonosító értékét HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:To change the logon type for health service, modify the registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

  • Név: munkavégző folyamat bejelentkezési típusaName: Worker Process Logon Type
  • Típus: REG_DWORDType: REG_DWORD
  • Értékek (Operations Manager 2016 – 1807): négy (4) – bejelentkezés kötegként, két (2) – bejelentkezés engedélyezése helyileg és öt (5) – Bejelentkezés szolgáltatásként.Values (for Operations Manager 2016 to 1807): Four (4) - Log on as batch, Two (2) - Allow log on locally and Five (5) - Log on as Service. Az alapértelmezett érték a 2.Default value is 2.
  • Az Operations Manager 2019-es és újabb verzióihoz tartozó értékek: négy (4) – bejelentkezés kötegként, kettő (2) – bejelentkezés engedélyezése helyileg és öt (5) – Bejelentkezés szolgáltatásként.Values for Operations Manger 2019 and later: Four (4) - Log on as Batch, Two (2) - Allow log on locally, and Five (5) - Log on as Service. Az alapértelmezett érték 5.Default value is 5.

Központilag kezelheti a beállítást Csoportházirend használatával, ha az ADMX-fájlt a healthservice.admx mappában található felügyeleti kiszolgálóról vagy ügynök által felügyelt rendszerből másolja C:\Windows\PolicyDefinitions , és beállítja a figyelési műveleti fiók bejelentkezési típusának beállítása a mappában Computer Configuration\Administrative Templates\System Center - Operations Manager .You can centrally manage the setting using Group Policy by copying the ADMX file healthservice.admx from a management server or agent-managed system located in the folder C:\Windows\PolicyDefinitions and configuring the setting Monitoring Action Account Logon Type under the folder Computer Configuration\Administrative Templates\System Center - Operations Manager. Csoportházirend ADMX-fájlokkal kapcsolatos további információkért lásd: csoportházirend ADMX-fájlok kezelése.For more information working with Group Policy ADMX files, see Managing Group Policy ADMX files.

A System Center konfigurációs szolgáltatás és a System Center adatelérési szolgáltatás fiókjaSystem Center Configuration Service and System Center Data Access Service account

A System Center konfigurációs szolgáltatás és a System Center adatelérési szolgáltatás fiókját a System Center adatelérési szolgáltatás és a System Center felügyeleti konfigurációs szolgáltatás használja az operatív adatbázisban található információk frissítésére.The System Center Configuration service and System Center Data Access service account is used by the System Center Data Access and System Center Management Configuration services to update information in the Operational database. A műveleti fiók hitelesítő adatait az sdk_user szerepkörhöz rendeli a program az Operations Manager-adatbázisban.The credentials used for the action account will be assigned to the sdk_user role in the Operational database.

A fióknak tartományi felhasználónak vagy LocalSystem-nek kell lennie.The account should be either a Domain User or LocalSystem. Az SDK-és konfigurációs szolgáltatási fiókhoz használt fióknak helyi rendszergazdai jogosultságokat kell biztosítania a felügyeleti csoport összes felügyeleti kiszolgálóján.The account used for the SDK and Config Service account should be granted local administrative rights on all management servers in the management group. Helyi felhasználói fiók nem használható.The use of Local User account is not supported. A fokozott biztonság érdekében javasoljuk, hogy használjon egy tartományi felhasználói fiókot, amely a felügyeleti kiszolgáló műveleti fiókjának egyik másik fiókja.For increased security, we recommended you use a domain user account and it's a different account from the one used for the Management Server Action Account. A LocalSystem fiók a legmagasabb szintű fiók a Windows rendszerű számítógépeken, akár a helyi Rendszergazdanál is magasabb.LocalSystem account is the highest privilege account on a Windows computer, even higher than local Administrator. Amikor egy szolgáltatás a LocalSystem környezete alatt fut, a szolgáltatás teljes mértékben ellenőrzi a számítógép helyi erőforrásait, és a távoli erőforrások hitelesítése és elérése során a rendszer kihasználja a számítógép identitását.When a service runs under the context of LocalSystem, the service has full control of the computer’s local resources, and the identity of the computer is leveraged when authenticating to and accessing remote resources. A LocalSystem fiók használata biztonsági kockázatot jelent, mivel nem tartja tiszteletben a legkevesebb jogosultságot.Using LocalSystem account is a security risk because it doesn’t honor the principal of least privilege. A Operations Manager adatbázist futtató SQL Server-példányhoz szükséges jogosultságok miatt a minimális jogosultsági szintű tartományi fiók szükséges a biztonsági kockázat elkerüléséhez, ha a felügyeleti csoport felügyeleti kiszolgálója sérült.Because of the rights required on the SQL Server instance hosting the Operations Manager database, a domain account with least privilege permissions is necessary to avoid any security risk if the management server in the management group is compromised. A következők okai:The reasons why are:

  • A LocalSystem nem rendelkezik jelszóvalLocalSystem has no password
  • Nem rendelkezik saját profillalIt does not have its own profile
  • Széles körű jogosultságokkal rendelkezik a helyi számítógépenIt has extensive privileges on the local computer
  • A számítógép hitelesítő adatait jeleníti meg a távoli számítógépekenIt presents the computer’s credentials to remote computers

Megjegyzés

Ha a Operations Manager-adatbázis a felügyeleti kiszolgálótól különálló számítógépre van telepítve, és az adatelérési és a konfigurációs szolgáltatás fiókja van kiválasztva, akkor a felügyeleti kiszolgáló számítógépének számítógépfiókja a sdk_user szerepkört rendeli hozzá a Operations Manager adatbázis számítógépén.If the Operations Manager database is installed on a computer separate from the management server and LocalSystem is selected for the Data Access and Configuration service account, the computer account for the management server computer is assigned the sdk_user role on the Operations Manager database computer.

További információ: a LocalSystem névjegyeFor more information, see about LocalSystem

Adatraktáríró fiókData Warehouse Write account

Az adattárházíró fiók a felügyeleti kiszolgálóról érkező adatokat a jelentéskészítési adattárházba írja, valamint adatokat olvas be az Operations Manager adatbázisából.The Data Warehouse Write account is the account used to write data from the management server to the Reporting data warehouse, and it reads data from the Operations Manager database. A következő táblázat a telepítés során a tartományi felhasználói fiókhoz rendelt szerepköröket és tagságokat ismerteti.The following table describes the roles and membership assigned to the domain user account during setup.

AlkalmazásApplication Adatbázis/szerepkörDatabase/role Szerepkör/fiókRole/account
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerOperationsManager db_datareaderdb_datareader
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerOperationsManager dwsync_userdwsync_user
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerDWOperationsManagerDW OpsMgrWriterOpsMgrWriter
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerDWOperationsManagerDW db_ownerdb_owner
Operations ManagerOperations Manager Felhasználói szerepkörUser role Operations Manager jelentésbiztonsági rendszergazdáiOperations Manager Report Security Administrators
Operations ManagerOperations Manager Futtató fiókRun As account Adatraktár műveleti fiókjaData Warehouse Action account
Operations ManagerOperations Manager Futtató fiókRun As account Adatraktár-konfiguráció szinkronizációs olvasófiókjaData Warehouse Configuration Synchronization Reader account

Adatolvasó fiókData Reader account

Az adatolvasó fiók használatos a jelentések telepítéséhez, annak meghatározásához, hogy az SQL Server Reporting Services mely felhasználót használja a jelentéskészítési adattárházon végzett lekérdezéséhez, valamint a felügyeleti kiszolgálóhoz csatlakozó SQL Server Reporting Services-fiók meghatározásához.The Data Reader account is used to deploy reports, define what user the SQL Server Reporting Services uses to execute queries against the Reporting data warehouse, and define the SQL Reporting Services account to connect to the management server. A tartományi felhasználói fiók a jelentés-rendszergazdai felhasználói profilhoz lesz hozzáadva.This domain user account is added to the Report Administrator User Profile. A következő táblázat a telepítés során a fiókhoz rendelt szerepköröket és tagságokat ismerteti.The following table describes the roles and membership assigned to the account during setup.

AlkalmazásApplication Adatbázis/szerepkörDatabase/role Szerepkör/fiókRole/account
Microsoft SQL ServerMicrosoft SQL Server Reporting Services telepítési példányaReporting Services Installation instance Jelentéskészítő kiszolgáló futtatási fiókjaReport Server Execution account
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerDWOperationsManagerDW OpsMgrReaderOpsMgrReader
Operations ManagerOperations Manager Felhasználói szerepkörUser role Operations Manager jelentéskezelőkOperations Manager Report Operators
Operations ManagerOperations Manager Felhasználói szerepkörUser role Operations Manager jelentésbiztonsági rendszergazdáiOperations Manager Report Security Administrators
Operations ManagerOperations Manager Futtató fiókRun As account Adatraktár jelentéstelepítési fiókjaData Warehouse Report Deployment account
Windows-szolgáltatásWindows service SQL Server Reporting ServicesSQL Server Reporting Services Bejelentkezési fiókLogon account

Ellenőrizze, hogy az Adatolvasó fiókhoz használni kívánt fiók rendelkezik-e a Bejelentkezés szolgáltatásként (2019-es vagy újabb), vagy jelentkezzen be szolgáltatásként, és engedélyezze helyileg a bejelentkezést (korábbi kiadás esetén), a jogot az egyes felügyeleti kiszolgálókhoz, valamint a jelentéskészítő kiszolgáló szerepkört futtató SQL Server.Verify the account you plan to use for the Data Reader account is granted the Log on as Service (for 2019 and later) or Log on as Service and Allow Log on Locally (for earlier release), right for each management server, and the SQL Server hosting the Reporting Server role.

Ügynöktelepítési fiókAgent Installation account

A felderítési alapú ügynök központi telepítésének végrehajtásakor rendszergazdai jogosultságokkal kell rendelkeznie az ügynök telepítését célzó számítógépeken.When performing discovery-based agent deployment, an account is required with Administrator privileges on the computers targeted for agent installation. Az ügynöktelepítés alapértelmezett fiókja a felügyeleti kiszolgáló műveleti fiókja.The management server action account is the default account for agent installation. Ha a felügyeleti kiszolgáló műveleti fiókja nem rendelkezik rendszergazdai jogokkal, akkor a kezelőnek kell megadnia egy, a kezelendő számítógépeken rendszergazdai jogokkal rendelkező felhasználói fiók nevét és jelszavát.If the management server action account does not have administrator rights, the operator must provide a user account and password with administrative rights on the target computers. A rendszer a használata előtt titkosítja a fiókot, majd utána eldobja.This account is encrypted before being used and then discarded.

Értesítési műveleti fiókNotification Action account

A rendszer az Értesítési műveleti fiókot használja az értesítések létrehozásához és küldéséhez.The Notification Action account is the account used for creating and sending notifications. A fióknak megfelelő jogosultságokkal kell rendelkeznie az értesítésekhez használt SMTP-, azonnali üzenetküldési vagy SIP-kiszolgálóhoz.These credentials must have sufficient rights for the SMTP server, instant messaging server, or the SIP server that is used for notifications.