Perfis e Contas Executar como
Importante
Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que você atualize para o Operations Manager 2022.
As contas Executar como definem quais credenciais são usadas para determinadas ações executadas pelo agente do Operations Manager. Essas contas são gerenciadas centralmente por meio do console de Operações e atribuídas a diferentes perfis Executar como. Se um perfil Executar como não for atribuído a uma ação específica, ele será executado na conta Ação Padrão. Em um ambiente de baixo privilégio, a conta padrão pode não ter as permissões necessárias para uma determinada ação e um perfil Executar como pode ser usado para fornecer essa autoridade. Pacotes de gerenciamento podem instalar perfis e contas Executar como para dar suporte a ações necessárias. Nesse caso, a documentação deve ser referenciada para qualquer configuração necessária.
Contas Executar como padrão
A tabela a seguir lista as contas Executar como padrão criadas pelo Operations Manager durante a instalação.
Nome | Descrição | Credenciais |
---|---|---|
Domain\ManagementServerActionAccount | A conta de usuário sob a qual todas as regras são executadas por padrão em servidores de gerenciamento. | Conta de domínio especificada como a conta de ação do Servidor de Gerenciamento durante a instalação. |
Conta de ação Sistema Local | Conta de sistema interna usada como uma conta de ação. | Conta do Sistema Local do Windows |
Conta de APM | Conta de Monitoramento do Desempenho de Aplicativos utilizada para fornecer chaves para criptografia de informações seguras coletadas do aplicativo durante o monitoramento. Essa conta é criada automaticamente depois que você cria seu primeiro Monitor de Desempenho do .NET. | Conta binária criptografada |
Conta de ação do Data Warehouse | Usada para autenticar no SQL Server que hospeda o banco de dados OperationsManagerDW. | Conta de domínio especificada durante a instalação como conta de Gravação do Data Warehouse. |
Conta de Implantação de Relatório do Data Warehouse | Usada para autenticar entre o servidor de gerenciamento e o SQL Server que hospeda o Operations Manager Reporting Services. | Conta de domínio especificada durante a instalação como conta do Leitor de Dados. |
Conta do Sistema Local do Windows | Conta de SISTEMA interna usada pela conta de ação do agente. | Conta do Sistema Local do Windows |
Conta de Serviço de Rede do Windows | Conta de serviço de rede interna. | Conta NetworkService do Windows |
Perfis Executar como padrão
A tabela a seguir lista os perfis Executar como criados pelo Operations Manager durante a instalação.
Observação
Se a conta Executar como for deixada em branco para um perfil específico, a conta Ação Padrão (a conta de Ação do Servidor de Gerenciamento ou a conta de Ação do Agente dependendo do local da ação) será usada.
Nome | Descrição | Conta Executar como |
---|---|---|
Conta de Atribuição de Agente baseada no Active Directory | Conta usada pelo módulo de atribuição de agentes baseado no Active Directory para publicar configurações de atribuição no Active Directory. | Conta do Sistema Local do Windows |
Conta de Gerenciamento Automático de Agente | Essa conta é usada para diagnosticar automaticamente falhas do agente. | Nenhum |
Conta de Ação de Monitoramento de Clientes | Se for especificada, será usada pelo Operations Manager para executar todos os módulos de monitoramento de clientes. Se não for especificada, o Operations Manager usará a conta de ação padrão. | Nenhum |
Conta do Grupo de Gerenciamento Conectado | Conta usada pelo pacote de gerenciamento do Operations Manager para monitorar a integridade de conexão com os grupos de gerenciamento conectados. | Nenhum |
Conta do Data Warehouse | Se especificada, essa conta é usada para executar todas as regras de sincronização e coleta do Data Warehouse em vez da conta da ação padrão. Se essa conta não for substituída pela conta de Autenticação Data Warehouse SQL Server, essa conta será usada por regras de coleta e sincronização para se conectar aos bancos de dados Data Warehouse usando a autenticação integrada do Windows. | Nenhum |
Conta de Implantação de Relatório do Data Warehouse | Essa conta é usada pelos procedimentos de relatório de implantação automática do Data Warehouse para executar diversas operações relativas à implantação de relatórios. | Conta de Implantação de Relatório do Data Warehouse |
Conta de Autenticação do SQL Server do Data Warehouse | Se especificado, esse nome de entrada e senha são usados por regras de coleta e sincronização para se conectar aos bancos de dados Data Warehouse usando SQL Server autenticação. | Conta de Autenticação do SQL Server do Data Warehouse |
Conta de Ação MPUpdate | Esta conta é usada pelo notificador MPUpdate. | Nenhum |
Conta de Notificação | Conta do Windows usada por regras de notificação. Usar o endereço de email desta conta como o endereço "De" do email e de mensagens instantâneas. | Nenhum |
Conta de Banco de Dados Operacional | Esta conta é usada para ler e gravar informações no banco de dados do Operations Manager. | Nenhum |
Conta de Monitoramento Privilegiada | Este perfil é usado para monitoramento, o que só pode ser feito com um alto nível de privilégio em um sistema. Por exemplo, monitoramento que exige permissões de Sistema Local ou Administrador Local. O padrão desse perfil é Sistema Local, a menos que seja especificamente substituído para um sistema de destino. | Nenhum |
Conta de Autenticação no SQL Server do SDK de Relatórios | Se especificado, esse nome de entrada e senha são usados pelo Serviço SDK para se conectar aos bancos de dados Data Warehouse usando SQL Server autenticação. | Conta de Autenticação no SQL Server do SDK de Relatórios |
Reservado | Este perfil está reservado e não deve ser usado. | Nenhum |
Conta de Inscrição de Alerta de Validação | Conta usada pelo módulo de assinatura de alerta de validação que valida que as inscrições de notificação estão no escopo. Este perfil precisa de direitos de administrador. | Conta do Sistema Local do Windows |
Conta de Monitoramento SNMP | Essa conta é usada para o monitoramento SNMP. | Nenhum |
Conta de Monitoramento SNMPv3 | Essa conta é usada para o monitoramento SNMPv3. | Nenhum |
Conta de Ação de UNIX/Linux | Esta conta é usada para acesso de baixo privilégio a UNIX e Linux. | Nenhum |
Conta de Manutenção do Agente UNIX/Linux | Esta conta é usada para operações de manutenção privilegiadas para agentes UNIX e Linux. Sem essa conta, as operações de manutenção do agente não funcionam. | Nenhum |
Conta com privilégios UNIX/Linux | Esta conta é usada para acessar recursos protegidos do UNIX e do Linux e ações que exigem altos privilégios. Sem essa conta, algumas regras, diagnóstico e recuperações não funcionam. | Nenhum |
Conta de Ação do Cluster do Windows | Esse perfil é usado para todas as descobertas e os monitoramentos dos componentes do Cluster do Windows. Esse perfil usa como padrão contas de ação usadas, a menos que seja preenchido pelo usuário. | Nenhum |
Conta de Ação do WS-Management | Este perfil é usado para acesso ao WS-Management. | Nenhum |
Noções básicas sobre distribuição e direcionamento
A distribuição e o direcionamento das contas Executar como devem ser configurados corretamente para que o perfil Executar como funcione corretamente.
Ao configurar um perfil Executar como, selecione as contas de Executar como que deseja associar a esse perfil. Depois de criar essa associação, você pode especificar a classe, o grupo ou o objeto para o qual a conta Executar como será usada para executar tarefas, regras, monitores e descobertas.
A distribuição é um atributo de uma conta Executar como e você pode especificar quais computadores recebem as credenciais da conta Executar como. Você pode optar por distribuir as credenciais da conta Executar como a todos os computadores gerenciados por agentes ou apenas aos computadores selecionados.
Exemplo de direcionamento de conta Executar como: o computador físico ABC hospeda duas instâncias do Microsoft SQL Server: instância X e instância Y. Cada instância usa um conjunto diferente de credenciais para a conta sa. Crie uma conta Executar como com as credenciais SA para a instância X e uma conta Executar como diferente, com as credenciais SA, para a instância Y. Ao configurar o perfil Executar como do SQL Server, você associa as credenciais da conta Executar como das instâncias – por exemplo, X e Y – ao perfil e especifica que as credenciais da instância X da conta Executar como precisam ser usadas para a instância X do SQL Server e que as credenciais da instância Y da conta Executar como precisam ser usadas para a instância Y do SQL Server. Em seguida, você também deve configurar cada conjunto de credenciais de contas Executar como a serem distribuídas ao computador físico ABC.
Exemplo de distribuição de conta Executar como: SQL Server1 e SQL Server2 são dois computadores físicos diferentes. SQL Server1 usa o conjunto de credenciais UserName1 e Password1 para a conta SA do SQL. SQL Server2 usa o conjunto de credenciais UserName2 e Password2 para a conta SA do SQL. O pacote de gerenciamento do SQL tem um único perfil Executar como SQL que é usado para todos os SQL Servers. Em seguida, você pode definir uma conta Executar como para o conjunto userName1 de credenciais e outra conta Executar como para o conjunto de credenciais UserName2. Essas duas contas Executar como podem ser associadas ao perfil Executar como do SQL Server e podem ser configuradas para serem distribuídas para os computadores adequados. Ou seja, UserName1 é distribuído para o SQL Server1 e UserName2 é distribuído para o SQL Server2. As informações de conta enviadas entre o servidor de gerenciamento e o computador designado são criptografadas.
Segurança de conta Executar como
No System Center Operations Manager, as credenciais da conta Executar como são distribuídas somente para os computadores especificados (a opção mais segura). Se o Operations Manager distribuir automaticamente a conta Executar como de acordo com a descoberta, um risco de segurança será introduzido no ambiente, como ilustrado no seguinte exemplo. É por isso que uma opção de distribuição automática não foi incluída no Operations Manager.
Por exemplo, o Operations Manager identifica um computador como hospedando o SQL Server 2016 com base na presença de uma chave do Registro. É possível criar essa mesma chave do Registro em um computador que não está realmente executando uma instância do SQL Server 2016. Se o Operations Manager distribuísse automaticamente as credenciais aos computadores gerenciados por todos os agentes identificados como computadores SQL Server 2016, as credenciais seriam enviadas ao SQL Server impostor e estariam disponíveis para qualquer pessoa com direitos de administrador para esse servidor.
Ao criar uma conta Executar como usando o Operations Manager, você será solicitado a escolher se a conta Executar como deve ser tratada de forma menos segura ou mais segura. "Mais seguro" significa que quando a conta Executar como é associada a um perfil Executar como, você precisa fornecer os nomes de computador específicos aos quais deseja distribuir as credenciais de Executar como. Ao identificar positivamente os computadores de destino, você pode impedir o cenário de falsificação que foi descrito antes. Se você escolher a opção menos segura, não precisará fornecer nenhum computador específico e as credenciais serão distribuídas para todos os computadores gerenciados por agente.
Observação
As credenciais selecionadas para a conta Executar como devem ter, no mínimo, direitos de logon localmente, caso contrário, o módulo falhará.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de