Contas de serviço, usuário e segurança
Importante
Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que você atualize para o Operations Manager 2022.
Durante a instalação e as operações diárias do Operations Manager, você será solicitado a fornecer credenciais para várias contas. Este artigo fornece informações sobre cada uma dessas contas, incluindo as contas do SDK e Serviço de Configuração, Instalação do Agente, Gravação dr Data Warehouse e Leitor de Dados.
Observação
A instalação do Operations Manager provisionará todas as permissões SQL necessárias.
Se você usar contas de domínio e seu domínio Política de Grupo Object (GPO) tiver a política de expiração de senha padrão definida conforme necessário, você precisará alterar as senhas nas contas de serviço de acordo com o agendamento, usar contas do sistema ou configurar as contas para que as senhas nunca expirem.
Contas de Ação
No System Center Operations Manager, servidores de gerenciamento, servidores de gateway e agentes executam um processo chamado MonitoringHost.exe. O MonitoringHost.exe é usado para realizar atividades de monitoramento, como a execução de um monitor ou de uma tarefa. Os outros exemplos das ações que MonitoringHost.exe executa incluem:
- Monitoramento e coleta de dados do log de eventos do Windows
- Monitoramento e coleta de dados do contador de desempenho do Windows
- Monitoramento e coleta de dados do WMI (Instrumentação de Gerenciamento do Windows)
- Executando ações como scripts ou lotes
A conta na qual um processo MonitoringHost.exe é executado é denominada a conta de ação. MonitoringHost.exe é o processo que executa essas ações usando as credenciais que são especificadas na conta de ação. Uma nova instância de MonitoringHost.exe é criada para cada conta. A conta de ação do processo MonitoringHost.exe em execução em um agente é denominada Conta de Ação do Agente. A conta de ação usada pelo processo MonitoringHost.exe em um servidor de gerenciamento é denominada conta de Ação do Servidor de Gerenciamento. A conta de ação usada pelo processo MonitoringHost.exe em um servidor de gateway é denominada conta de Ação do Servidor de Gateway. Em todos os servidores de gerenciamento do grupo de gerenciamento, recomendamos que você conceda à conta direitos administrativos locais, a menos que o acesso menos privilegiado seja exigido pela política de segurança de TI da sua organização.
A menos que uma ação tenha sido associada a um perfil Executar como, as credenciais usadas para executar a ação serão aquelas definidas para a conta de ação. Para obter mais informações sobre contas Executar como e perfis Executar como, consulte a seção Contas Executar como. Quando um agente executa ações como a conta de ação padrão e/ou a conta Executar como, uma nova instância de MonitoringHost.exe é criada para cada conta.
Ao instalar o Operations Manager, você tem a opção de especificar uma conta de domínio ou usar LocalSystem. A estratégia mais segura é especificar uma conta de domínio que permita selecionar um usuário com o mínimo de privilégios necessários para o seu ambiente.
Você pode usar uma conta de privilégios mínimos para a conta de ação do agente. Em computadores que executam o Windows Server 2008 R2 ou posterior, a conta deve ter os seguintes privilégios mínimos:
- Membro de um grupo Usuários local
- Membro de um grupo Usuários de Monitor de Desempenho local
- Permissão Permitir logon localmente (SetInteractiveLogonRight) (não aplicável ao Operations Manager 2019 e versões posteriores).
Observação
Os privilégios mínimos descritos anteriormente são os privilégios mais baixos que o Operations Manager dá suporte para a conta de ação. Outras contas Executar como podem ter privilégios mais baixos. Os privilégios reais necessários para a conta de Ação e as contas Executar como dependerão de quais pacotes de gerenciamento estão em execução no computador e como eles estão configurados. Para obter mais informações sobre quais privilégios específicos são necessários, consulte o guia do pacote de gerenciamento apropriado.
A conta de domínio especificada para a conta de ação poderá receber a permissão Fazer logon como serviço (SeServiceLogonRight) ou Fazer logon como Lote (SeBatchLogonRight) se sua política de segurança não permitir que uma conta de serviço seja concedida a uma sessão de logon interativo, como quando a autenticação smart cartão for necessária. Modifique o valor do Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Serviço de Integridade:
A conta de domínio especificada para a conta de ação é concedida com a permissão Fazer Logon como Serviço (SeServiceLogonRight). Para alterar o tipo de logon para o serviço de integridade, modifique o valor do Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Nome: Tipo de Logon do Processo de Trabalho
- Tipo: REG_DWORD
- Valores: quatro (4) – Fazer logon como lote, dois (2) – Permitir logon localmente e cinco (5) – Fazer logon como serviço. O valor padrão é 2.
- Valores: quatro (4) – Fazer logon como lote, dois (2) – Permitir logon localmente e cinco (5) – Fazer logon como serviço. O valor padrão é 5.
Gerencie de forma centralizada usando a Política de Grupo copiando o arquivo ADMX healthservice.admx de um servidor de gerenciamento ou um sistema gerenciado por agente localizado na pasta C:\Windows\PolicyDefinitions e definindo a configuração healthservice.admx na pasta Computer Configuration\Administrative Templates\System Center - Operations Manager. Para saber mais sobre como trabalhar com arquivos ADMX da Política de Grupo, consulte Gerenciar arquivos ADMX da Política de Grupo.
Serviço de Configuração do System Center e conta do Serviço de Acesso a Dados do System Center
O serviço de Configuração do System Center e a conta de serviço de Acesso a Dados do System Center são usados pelos serviços de Acesso a Dados do System Center e Configuração de Gerenciamento do System Center para atualizar informações no banco de dados Operational. As credenciais usadas para a conta de ação serão atribuídas à função sdk_user no banco de dados Operacional.
A conta deve ser de Usuário do Domínio ou LocalSystem. A conta usada para o SDK e a conta do Serviço de Configuração devem receber direitos administrativos locais em todos os servidores de gerenciamento no grupo de gerenciamento. Não há suporte para o uso da conta de Usuário Local. Para aumentar a segurança, recomendamos que você use uma conta de usuário de domínio e é uma conta diferente daquela usada para a Conta de Ação do Servidor de Gerenciamento. Conta LocalSystem é a conta com mais privilégios em um computador com Windows, mais ainda do que o Administrador local. Quando um serviço é executado no contexto de LocalSystem, o serviço tem controle total dos recursos locais do computador e a identidade do computador é usada ao autenticar e acessar recursos remotos. O uso da conta LocalSystem é um risco à segurança porque não respeita o princípio de privilégios mínimos. Devido aos direitos exigidos na Instância do SQL Server que hospeda o banco de dados do Operations Manager, uma conta de domínio com permissões com privilégios mínimos é necessária para evitar qualquer risco de segurança, caso o servidor de gerenciamento no grupo de gerenciamento esteja comprometido. Os motivos são:
- LocalSystem não tem uma senha
- Ele não tem seu próprio perfil
- Ela tem privilégios extensos no computador local
- Ela apresenta as credenciais do computador para computadores remotos
Observação
Se o banco de dados do Operations Manager estiver instalado em um computador separado do servidor de gerenciamento, e LocalSystem for selecionado como a conta de serviço de Acesso a Dados e Configuração, a conta de computador no computador do servidor de gerenciamento receberá a função sdk_user no computador do banco de dados do Operations Manager.
Para obter mais informações, consulte sobre LocalSystem.
Conta de Gravação do Data Warehouse
A conta de Gravação do Data Warehouse é a conta usada para gravar dados do servidor de gerenciamento no data warehouse de Relatórios e lê dados do banco de dados do Operations Manager. A tabela a seguir descreve as funções e associações atribuídas à conta de usuário do domínio durante a instalação.
| Aplicativo | Banco de dados/função | Função/conta |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Função de usuário | Administradores de Segurança de Relatório do Operations Manager |
| Operations Manager | Conta Executar como | Conta de Ação do Data Warehouse |
| Operations Manager | Conta Executar como | Conta do Leitor de Sincronização de Configuração do Data Warehouse |
Conta do Leitor de Dados
A conta do Leitor de Dados é usada para implantar relatórios, definir qual usuário é utilizado pelo SQL Server Reporting Services para executar consultas no data warehouse de Relatórios e definir a conta do SQL Reporting Services a ser conectada ao servidor de gerenciamento. Essa conta de usuário de domínio é adicionada ao Perfil de Usuário do Administrador de Relatório. A tabela a seguir descreve as funções e associações atribuídas à conta durante a instalação.
| Aplicativo | Banco de dados/função | Função/conta |
|---|---|---|
| Microsoft SQL Server | Instância de instalação do Reporting Services | Conta de Execução do Servidor de Relatório |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Função de usuário | Operadores de Relatório do Operations Manager |
| Operations Manager | Função de usuário | Administradores de Segurança de Relatório do Operations Manager |
| Operations Manager | Conta Executar como | Conta de Implantação de Relatório do Data Warehouse |
| Serviço Windows | SQL Server Reporting Services | Conta de logon |
Verifique se a conta que você pretende usar para a conta do Leitor de Dados tem os direitos Fazer Logon como Serviço (para o 2019 e posterior) e Permitir Logon Localmente (para versões anteriores) para cada servidor de gerenciamento, bem como o SQL Server que hospeda a função de Servidor de Relatórios.
Conta de Instalação do Agente
Ao executar a implantação do agente baseada em descoberta, é necessária uma conta com privilégios de Administrador nos computadores de destino da instalação do agente. A conta de ação do servidor de gerenciamento é a conta padrão da instalação do agente. Se a conta de ação do servidor de gerenciamento não tiver direitos de administrador, o operador deverá fornecer uma conta de usuário e senha com direitos administrativos nos computadores de destino. Essa conta é criptografada antes de ser usada e depois é descartada.
Conta de Ação de Notificação
A conta de Ação de Notificação é a conta usada para criar e enviar notificações. Essas credenciais devem ter direitos suficientes para o servidor SMTP, o servidor de mensagens instantâneas ou o servidor SIP que será usado para notificações.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de