Konta usług, użytkowników i zabezpieczeń

Podczas instalacji i codziennych operacji programu Operations Manager zostanie wyświetlony monit o podanie poświadczeń dla kilku kont. Ten artykuł zawiera informacje o każdym z tych kont, w tym na kontach zestawu SDK i usługi konfiguracji, instalacji agenta, Data Warehouse zapisu i czytnika danych.

Uwaga

Instalacja programu Operations Manager aprowizuje wszystkie niezbędne uprawnienia SQL.

Jeśli używasz kont domeny i domeny zasady grupy Obiekt (GPO) ma domyślne zasady wygasania haseł ustawione zgodnie z wymaganiami, musisz zmienić hasła na kontach usług zgodnie z harmonogramem, użyć kont systemowych lub skonfigurować konta tak, aby hasła nigdy nie wygasały.

Konta działań

W programie System Center Operations Manager serwery zarządzania, serwery bramy i agenci wykonują proces o nazwie MonitoringHost.exe. MonitoringHost.exe służy do wykonywania działań monitorowania, takich jak wykonywanie monitora lub uruchamianie zadania. Inne przykłady akcji MonitoringHost.exe są następujące:

• Monitorowanie i zbieranie danych dziennika zdarzeń systemu Windows
• Monitorowanie i zbieranie danych licznika wydajności systemu Windows
• Monitorowanie i zbieranie danych instrumentacji zarządzania Windows (WMI)
• Uruchamianie akcji, takich jak skrypty lub partie

Konto uruchamiane przez proces MonitoringHost.exe jest nazywane kontem działania. MonitoringHost.exe to proces, który uruchamia te działania z zastosowaniem poświadczeń określonych w ramach konta działania. Dla każdego konta tworzone jest nowe wystąpienie procesu MonitoringHost.exe. Konto działania dla procesu MonitoringHost.exe uruchomionego na agencie jest nazywane kontem działania agenta. Konto działania używane przez proces MonitoringHost.exe na serwerze zarządzania jest nazywane kontem działania serwera zarządzania. Konto działania używane przez proces MonitoringHost.exe na serwerze bramy jest nazywane kontem działania serwera bramy. Na wszystkich serwerach zarządzania w grupie zarządzania zalecamy przyznanie konta lokalnych praw administracyjnych, chyba że dostęp z najniższymi uprawnieniami jest wymagany przez zasady zabezpieczeń IT organizacji.

Chyba że akcja została skojarzona z profilem Uruchom jako, poświadczenia używane do wykonania akcji będą tymi, które zostały zdefiniowane dla konta działania. Aby uzyskać więcej informacji o kontach Uruchom jako oraz profilach Uruchom jako, zobacz sekcję Konta Uruchom jako. Gdy agent uruchamia akcje jako domyślne konto działania i/lub konto/konta Uruchom jako, dla każdego konta tworzone jest nowe wystąpienie procesu MonitoringHost.exe.

Podczas instalowania programu Operations Manager możesz określić konto domeny lub użyć systemu lokalnego. Bardziej bezpieczne podejście polega na określeniu konta domeny, które umożliwia wybranie użytkownika z najmniejszymi uprawnieniami niezbędnymi dla danego środowiska.

Możesz użyć konta z najmniejszymi uprawnieniami dla konta działania agenta. Na komputerach z systemem Windows Server 2008 R2 lub nowszym konto musi mieć przynajmniej następujące uprawnienia:

• Członek lokalnej grupy użytkowników
• Członek lokalnej grupy użytkowników monitora wydajności
• Zezwalaj na logowanie lokalne (SetInteractiveLogonRight) (nie dotyczy programu Operations Manager 2019 i nowszych).

Uwaga

Opisane powyżej minimalne uprawnienia są najniższymi uprawnieniami konta działania obsługiwanymi przez program Operations Manager. Inne konta Uruchom jako mogą mieć niższe uprawnienia. Rzeczywiste uprawnienia wymagane dla konta działania i konta Uruchom jako będą zależeć od tego, które pakiety administracyjne są uruchomione na komputerze i jak są skonfigurowane. Więcej informacji o wymaganych uprawnieniach znajduje się w odpowiednim przewodniku po pakiecie administracyjnym.

Konto domeny określone dla konta działania ma uprawnienie Log on as a Service (SeServiceLogonRight). Aby zmienić typ logowania dla usługi kondycji, zmodyfikuj wartość rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

• Nazwa: Typ logowania procesu roboczego
• Typ: REG_DWORD

• Wartości: Cztery (4) — logowanie w usłudze Batch, dwie (2) — zezwalanie na logowanie lokalne i pięć (5) — logowanie jako usługa. Wartość domyślna to 5.

Ustawienie można centralnie zarządzać za pomocą zasady grupy, kopiując plik healthservice.admx ADMX z serwera zarządzania lub systemu zarządzanego przez agenta znajdującego się w folderze i konfigurując ustawienie Monitorowanie typu logowania konta działania w folderze Computer Configuration\Administrative Templates\System Center - Operations ManagerC:\Windows\PolicyDefinitions . Aby uzyskać więcej informacji na temat pracy z plikami zasady grupy ADMX, zobacz Zarządzanie plikami zasady grupy ADMX.

Konto usług System Center Configuration i System Center Data Access

Konto usług System Center Configuration i System Center Data Access jest używane przez te usługi do aktualizowania informacji w operacyjnej bazie danych. Poświadczenia używane w ramach konta działania zostaną przypisane do roli sdk_user w operacyjnej bazie danych.

Konto powinno być użytkownikiem domeny lub systemem lokalnym. Konto używane dla zestawu SDK i konta usługi konfiguracji powinno mieć przyznane lokalne uprawnienia administracyjne na wszystkich serwerach zarządzania w grupie zarządzania. Korzystanie z konta użytkownika lokalnego nie jest obsługiwane. W celu zwiększenia bezpieczeństwa zalecamy użycie konta użytkownika domeny i jest to inne konto niż konto używane na koncie działania serwera zarządzania. Konto LocalSystem to konto najwyższego poziomu uprawnień na komputerze z systemem Windows, nawet wyższe niż administrator lokalny. Gdy usługa jest uruchamiana w kontekście systemu lokalnego, usługa ma pełną kontrolę nad zasobami lokalnymi komputera, a tożsamość komputera jest używana podczas uwierzytelniania i uzyskiwania dostępu do zasobów zdalnych. Korzystanie z konta LocalSystem jest zagrożeniem bezpieczeństwa, ponieważ nie uwzględnia zasady najniższych uprawnień. Ze względu na prawa wymagane w wystąpieniu SQL Server hostowania bazy danych programu Operations Manager konto domeny z uprawnieniami najmniejszymi uprawnieniami jest niezbędne, aby uniknąć ryzyka zabezpieczeń, jeśli serwer zarządzania w grupie zarządzania zostanie naruszony. Oto przyczyny:

• System lokalny nie ma hasła
• Nie ma własnego profilu
• Ma on szerokie uprawnienia na komputerze lokalnym
• Przedstawia poświadczenia komputera do komputerów zdalnych

Uwaga

Jeśli baza danych programu Operations Manager jest zainstalowana na komputerze oddzielonym od serwera zarządzania, a dla konta usługi Data Access and Configuration wybrano konto usługi Data Access and Configuration, konto komputera dla komputera serwera zarządzania ma przypisaną rolę sdk_user na komputerze bazy danych programu Operations Manager.

Aby uzyskać więcej informacji, zobacz temat LocalSystem.

Konto zapisu w magazynie danych

Konto zapisu w magazynie danych jest używane do zapisywania danych z serwera zarządzania do magazynu danych raportowania i odczytuje dane z bazy danych programu Operations Manager. W poniższej tabeli opisano role i członkostwa przypisane do konta użytkownika domeny podczas instalacji.

Aplikacja	Baza danych/rola	Rola/konto
Microsoft SQL Server	OperationsManager	db_datareader
Microsoft SQL Server	OperationsManager	dwsync_user
Microsoft SQL Server	OperationsManagerDW	OpsMgrWriter
Microsoft SQL Server	OperationsManagerDW	db_owner
Operations Manager	Rola użytkownika	Administratorzy zabezpieczeń raportów programu Operations Manager
Operations Manager	Konto Uruchom jako	Konto działania magazynu danych
Operations Manager	Konto Uruchom jako	Konto czytnika danych synchronizacji konfiguracji magazynu danych

Konto czytnika danych

Konto czytnika danych służy do wdrażania raportów, definiowania użytkownika używanego przez usługi SQL Server Reporting Services podczas wykonywania zapytań dotyczących magazynu danych raportowania, a także definiowania konta usług SQL Reporting Services do nawiązywania połączenia z serwerem zarządzania. To konto użytkownika domeny jest dodawane do profilu użytkownika administratora raportów. W poniższej tabeli opisano role i członkostwa przypisane do konta podczas instalacji.

Aplikacja	Baza danych/rola	Rola/konto
Microsoft SQL Server	Wystąpienie instalacji usług Reporting Services	Konto wykonywania serwera raportów
Microsoft SQL Server	OperationsManagerDW	OpsMgrReader
Operations Manager	Rola użytkownika	Operatorzy raportów programu Operations Manager
Operations Manager	Rola użytkownika	Administratorzy zabezpieczeń raportów programu Operations Manager
Operations Manager	Konto Uruchom jako	Konto wdrażania raportów magazynu danych
Usługa systemu Windows	SQL Server Reporting Services	Konto logowania

Sprawdź, czy konto, którego chcesz użyć dla konta czytelnika danych, ma przyznane logowanie jako usługa (dla wersji 2019 i nowszej) lub Logowanie jako usługa i Zezwalaj na logowanie lokalne (w przypadku wcześniejszej wersji), odpowiednie dla każdego serwera zarządzania oraz SQL Server hostowania roli serwera raportowania.

Konto instalacji agenta

Podczas wdrażania agenta opartego na odnajdywania konto jest wymagane z uprawnieniami administratora na komputerach przeznaczonych do instalacji agenta. Konto działania serwera zarządzania jest domyślnym kontem instalacji agenta. Jeśli konto działania serwera zarządzania nie ma uprawnień administratora, operator musi podać konto użytkownika i hasło z uprawnieniami administracyjnymi na komputerach docelowych. Przed rozpoczęciem używania tego konta zostaje ono zaszyfrowane, a następnie odrzucone.

Konto działania powiadomień

Konto działania powiadomień jest używane podczas tworzenia i wysyłania powiadomień. Te poświadczenia muszą zapewniać wystarczające uprawnienia na serwerze SMTP, serwerze wiadomości błyskawicznych lub serwerze SIP używanym do obsługi powiadomień.