Konta usług, użytkowników i zabezpieczeń
Ważne
Ta wersja programu Operations Manager osiągnęła koniec wsparcia technicznego. Zalecamy uaktualnienie do programu Operations Manager 2022.
Podczas instalacji i codziennych operacji programu Operations Manager zostanie wyświetlony monit o podanie poświadczeń dla kilku kont. Ten artykuł zawiera informacje o każdym z tych kont, w tym na kontach zestawu SDK i usługi konfiguracji, instalacji agenta, Data Warehouse zapisu i czytnika danych.
Uwaga
Instalacja programu Operations Manager aprowizuje wszystkie niezbędne uprawnienia SQL.
Jeśli używasz kont domeny i domeny zasady grupy Obiekt (GPO) ma domyślne zasady wygasania haseł ustawione zgodnie z wymaganiami, musisz zmienić hasła na kontach usług zgodnie z harmonogramem, użyć kont systemowych lub skonfigurować konta tak, aby hasła nigdy nie wygasały.
Konta działań
W programie System Center Operations Manager serwery zarządzania, serwery bramy i agenci wykonują proces o nazwie MonitoringHost.exe. MonitoringHost.exe służy do wykonywania działań monitorowania, takich jak wykonywanie monitora lub uruchamianie zadania. Inne przykłady akcji MonitoringHost.exe są następujące:
- Monitorowanie i zbieranie danych dziennika zdarzeń systemu Windows
- Monitorowanie i zbieranie danych licznika wydajności systemu Windows
- Monitorowanie i zbieranie danych instrumentacji zarządzania Windows (WMI)
- Uruchamianie akcji, takich jak skrypty lub partie
Konto uruchamiane przez proces MonitoringHost.exe jest nazywane kontem działania. MonitoringHost.exe to proces, który uruchamia te działania z zastosowaniem poświadczeń określonych w ramach konta działania. Dla każdego konta tworzone jest nowe wystąpienie procesu MonitoringHost.exe. Konto działania dla procesu MonitoringHost.exe uruchomionego na agencie jest nazywane kontem działania agenta. Konto działania używane przez proces MonitoringHost.exe na serwerze zarządzania jest nazywane kontem działania serwera zarządzania. Konto działania używane przez proces MonitoringHost.exe na serwerze bramy jest nazywane kontem działania serwera bramy. Na wszystkich serwerach zarządzania w grupie zarządzania zalecamy przyznanie konta lokalnych praw administracyjnych, chyba że dostęp z najniższymi uprawnieniami jest wymagany przez zasady zabezpieczeń IT organizacji.
Chyba że akcja została skojarzona z profilem Uruchom jako, poświadczenia używane do wykonania akcji będą tymi, które zostały zdefiniowane dla konta działania. Aby uzyskać więcej informacji o kontach Uruchom jako oraz profilach Uruchom jako, zobacz sekcję Konta Uruchom jako. Gdy agent uruchamia akcje jako domyślne konto działania i/lub konto/konta Uruchom jako, dla każdego konta tworzone jest nowe wystąpienie procesu MonitoringHost.exe.
Podczas instalowania programu Operations Manager możesz określić konto domeny lub użyć systemu lokalnego. Bardziej bezpieczne podejście polega na określeniu konta domeny, które umożliwia wybranie użytkownika z najmniejszymi uprawnieniami niezbędnymi dla danego środowiska.
Możesz użyć konta z najmniejszymi uprawnieniami dla konta działania agenta. Na komputerach z systemem Windows Server 2008 R2 lub nowszym konto musi mieć przynajmniej następujące uprawnienia:
- Członek lokalnej grupy użytkowników
- Członek lokalnej grupy użytkowników monitora wydajności
- Zezwalaj na logowanie lokalne (SetInteractiveLogonRight) (nie dotyczy programu Operations Manager 2019 i nowszych).
Uwaga
Opisane powyżej minimalne uprawnienia są najniższymi uprawnieniami konta działania obsługiwanymi przez program Operations Manager. Inne konta Uruchom jako mogą mieć niższe uprawnienia. Rzeczywiste uprawnienia wymagane dla konta działania i konta Uruchom jako będą zależeć od tego, które pakiety administracyjne są uruchomione na komputerze i jak są skonfigurowane. Więcej informacji o wymaganych uprawnieniach znajduje się w odpowiednim przewodniku po pakiecie administracyjnym.
Konto domeny określone dla konta działania może mieć przyznane uprawnienie Log on as a Service (SeServiceLogonRight) lub Log on as Batch (SeBatchLogonRight), jeśli zasady zabezpieczeń nie zezwalają na przyznanie interakcyjnego logowania do sesji, na przykład wtedy, gdy wymagane jest uwierzytelnianie kart inteligentnych. Zmodyfikuj wartość rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
Konto domeny określone dla konta działania ma uprawnienie Log on as a Service (SeServiceLogonRight). Aby zmienić typ logowania dla usługi kondycji, zmodyfikuj wartość rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Nazwa: Typ logowania procesu roboczego
- Typ: REG_DWORD
- Wartości: Cztery (4) — logowanie w partii, dwie (2) — zezwalaj na logowanie lokalne i pięć (5) — logowanie jako usługa. Wartość domyślna to 2.
- Wartości: Cztery (4) — logowanie w usłudze Batch, dwie (2) — zezwalanie na logowanie lokalne i pięć (5) — logowanie jako usługa. Wartość domyślna to 5.
Ustawienie można centralnie zarządzać za pomocą zasady grupy, kopiując plik healthservice.admx
ADMX z serwera zarządzania lub systemu zarządzanego przez agenta znajdującego się w folderze i konfigurując ustawienie Monitorowanie typu logowania konta działania w folderze Computer Configuration\Administrative Templates\System Center - Operations Manager
C:\Windows\PolicyDefinitions
. Aby uzyskać więcej informacji na temat pracy z plikami zasady grupy ADMX, zobacz Zarządzanie plikami zasady grupy ADMX.
Konto usług System Center Configuration i System Center Data Access
Konto usług System Center Configuration i System Center Data Access jest używane przez te usługi do aktualizowania informacji w operacyjnej bazie danych. Poświadczenia używane w ramach konta działania zostaną przypisane do roli sdk_user w operacyjnej bazie danych.
Konto powinno być użytkownikiem domeny lub systemem lokalnym. Konto używane dla zestawu SDK i konta usługi konfiguracji powinno mieć przyznane lokalne uprawnienia administracyjne na wszystkich serwerach zarządzania w grupie zarządzania. Korzystanie z konta użytkownika lokalnego nie jest obsługiwane. W celu zwiększenia bezpieczeństwa zalecamy użycie konta użytkownika domeny i jest to inne konto niż konto używane na koncie działania serwera zarządzania. Konto LocalSystem to konto najwyższego poziomu uprawnień na komputerze z systemem Windows, nawet wyższe niż administrator lokalny. Gdy usługa jest uruchamiana w kontekście systemu lokalnego, usługa ma pełną kontrolę nad zasobami lokalnymi komputera, a tożsamość komputera jest używana podczas uwierzytelniania i uzyskiwania dostępu do zasobów zdalnych. Korzystanie z konta LocalSystem jest zagrożeniem bezpieczeństwa, ponieważ nie uwzględnia zasady najniższych uprawnień. Ze względu na prawa wymagane w wystąpieniu SQL Server hostowania bazy danych programu Operations Manager konto domeny z uprawnieniami najmniejszymi uprawnieniami jest niezbędne, aby uniknąć ryzyka zabezpieczeń, jeśli serwer zarządzania w grupie zarządzania zostanie naruszony. Oto przyczyny:
- System lokalny nie ma hasła
- Nie ma własnego profilu
- Ma on szerokie uprawnienia na komputerze lokalnym
- Przedstawia poświadczenia komputera do komputerów zdalnych
Uwaga
Jeśli baza danych programu Operations Manager jest zainstalowana na komputerze oddzielonym od serwera zarządzania, a dla konta usługi Data Access and Configuration wybrano konto usługi Data Access and Configuration, konto komputera dla komputera serwera zarządzania ma przypisaną rolę sdk_user na komputerze bazy danych programu Operations Manager.
Aby uzyskać więcej informacji, zobacz temat LocalSystem.
Konto zapisu w magazynie danych
Konto zapisu w magazynie danych jest używane do zapisywania danych z serwera zarządzania do magazynu danych raportowania i odczytuje dane z bazy danych programu Operations Manager. W poniższej tabeli opisano role i członkostwa przypisane do konta użytkownika domeny podczas instalacji.
Aplikacja | Baza danych/rola | Rola/konto |
---|---|---|
Microsoft SQL Server | OperationsManager | db_datareader |
Microsoft SQL Server | OperationsManager | dwsync_user |
Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
Microsoft SQL Server | OperationsManagerDW | db_owner |
Operations Manager | Rola użytkownika | Administratorzy zabezpieczeń raportów programu Operations Manager |
Operations Manager | Konto Uruchom jako | Konto działania magazynu danych |
Operations Manager | Konto Uruchom jako | Konto czytnika danych synchronizacji konfiguracji magazynu danych |
Konto czytnika danych
Konto czytnika danych służy do wdrażania raportów, definiowania użytkownika używanego przez usługi SQL Server Reporting Services podczas wykonywania zapytań dotyczących magazynu danych raportowania, a także definiowania konta usług SQL Reporting Services do nawiązywania połączenia z serwerem zarządzania. To konto użytkownika domeny jest dodawane do profilu użytkownika administratora raportów. W poniższej tabeli opisano role i członkostwa przypisane do konta podczas instalacji.
Aplikacja | Baza danych/rola | Rola/konto |
---|---|---|
Microsoft SQL Server | Wystąpienie instalacji usług Reporting Services | Konto wykonywania serwera raportów |
Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
Operations Manager | Rola użytkownika | Operatorzy raportów programu Operations Manager |
Operations Manager | Rola użytkownika | Administratorzy zabezpieczeń raportów programu Operations Manager |
Operations Manager | Konto Uruchom jako | Konto wdrażania raportów magazynu danych |
Usługa systemu Windows | SQL Server Reporting Services | Konto logowania |
Sprawdź, czy konto, którego chcesz użyć dla konta czytelnika danych, ma przyznane logowanie jako usługa (dla wersji 2019 i nowszej) lub Logowanie jako usługa i Zezwalaj na logowanie lokalne (w przypadku wcześniejszej wersji), odpowiednie dla każdego serwera zarządzania oraz SQL Server hostowania roli serwera raportowania.
Konto instalacji agenta
Podczas wdrażania agenta opartego na odnajdywania konto jest wymagane z uprawnieniami administratora na komputerach przeznaczonych do instalacji agenta. Konto działania serwera zarządzania jest domyślnym kontem instalacji agenta. Jeśli konto działania serwera zarządzania nie ma uprawnień administratora, operator musi podać konto użytkownika i hasło z uprawnieniami administracyjnymi na komputerach docelowych. Przed rozpoczęciem używania tego konta zostaje ono zaszyfrowane, a następnie odrzucone.
Konto działania powiadomień
Konto działania powiadomień jest używane podczas tworzenia i wysyłania powiadomień. Te poświadczenia muszą zapewniać wystarczające uprawnienia na serwerze SMTP, serwerze wiadomości błyskawicznych lub serwerze SIP używanym do obsługi powiadomień.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla