Управление учетными записями и профилями запуска от имени

Для выполнения на целевом агенте или компьютере рабочим процессам в System Center Operations Manager, таким как правила, задачи, мониторы и обнаружения, требуются учетные данные. По умолчанию рабочие процессы используют учетную запись действия по умолчанию для агента или компьютера. Учетные данные для учетной записи действия по умолчанию настраиваются при установке Operations Manager.

Если рабочему процессу требуются права и привилегии, которые не может предоставить учетная запись действия по умолчанию, рабочий процесс может быть записан для использования профиля запуска от имени. С профилем запуска от имени можно связать несколько учетных записей запуска от имени. Учетные записи запуска от имени позволяют указывать необходимые учетные данные для конкретных компьютеров. Один профиль запуска от имени может использоваться несколькими рабочими процессами. На следующем рисунке иллюстрируется взаимосвязь между рабочими процессами, профилями запуска от имени и учетными записями запуска от имени.

На рисунке один профиль запуска от имени используется тремя рабочими процессами. С профилем запуска от имени связано три учетных записи запуска от имени. В данном примере каждый рабочий процесс, использующий профиль запуска от имени, будет запускаться на компьютере A с помощью учетных данных для учетной записи запуска от имени 1, на компьютерах B и C с помощью учетных данных для учетной записи запуска от имени 2, и на компьютере D с помощью учетных данных учетной записи запуска от имени 3.

Профили запуска от имени определяются в пакетах управления разработчиком пакета управления. Профиль запуска от имени используется везде, где действует его родительский пакет управления. Например, пакет управления SQL Server 2014 содержит профиль запуска от имени SQL, поэтому профиль запуска от имени SQL будет действительным на всех серверах под управлением SQL Server 2014, наблюдение за которыми осуществляется пакетом управления SQL Server 2014. Профиль запуска от имени представляет собой связь одной или нескольких учетных записей запуска от имени и управляемых объектов, к которым должны применяться эти учетные записи запуска от имени.

В некоторых ситуациях профиль запуска от имени импортируется в Operations Manager при импорте пакета управления, который содержит этот профиль. В других ситуациях может потребоваться создать его вручную. Во всех ситуациях профили запуска от имени необходимо вручную связывать с учетными записями запуска от имени.

Учетная запись запуска от имени содержит один набор учетных данных, которые хранятся в операционной базе данных Operations Manager. Каждая учетная запись запуска от имени имеет категорию защиты (с большей или меньшей степенью безопасности), которая управляет порядком распределения этих учетных данных для использования. Если выбирается более безопасное распределение учетных данных, то необходимо настроить сопоставление компьютеров, на которые распределяются эти учетные данные.

Отключение учетных записей запуска от имени

В Operations Manager 2022 администраторы могут управлять учетными данными пользователей, необходимыми для выполнения задач в консоли Operations Manager.

В более ранних выпусках по умолчанию для пользователей с ограниченными разрешениями был включен параметр Использовать предварительно заданную учетную запись запуска от имени. Теперь администраторы могут отключить этот параметр. Если этот параметр отключен, всем пользователям без прав администратора потребуется предоставить учетные данные для выполнения задач с помощью консоли или командлета PowerShell Start-SCOMTask.

Чтобы отключить этот параметр, администраторы должны перейти в раздел Параметры>Разноевыполнение задач>, а затем выбрать Отключено.

Вы можете подключить несколько групп управления друг к другу и просматривать оповещения из разных групп управления в одной консоли операций.

Пользователи также могут выполнять задачи на компьютерах в других группах управления. Параметры будут действовать в группе управления, из которой выполняется консоль управления или сеанс PowerShell.

Например, если для группы управления 1 (MG1) параметр имеет значение Включено, а для группы управления 2 (MG2) этот параметр имеет значение Отключено, то пользователи могут запускать задачу из консоли в MG1 без учетных данных независимо от того, находится ли целевой объект в MG1 или в MG2.

Аналогично, если пользователь выполняет задачу из PowerShell в MG2, ему понадобятся учетные данные для задачи, если целевой объект находится в MG1.

Дальнейшие действия

• Распределение и определение целевых объектов для учетных записей и профилей запуска от имени

  В этой статье объясняется разница между распределением и целевым назначением, варианты распространения учетных записей запуска от имени и параметры выбора целевых объектов для профилей запуска от имени.

• Как создать учетную запись запуска от имени и связать ее с профилем запуска от имени

  В этой статье объясняется, как создать учетную запись запуска от имени, изменить существующую учетную запись запуска от имени и настроить профиль запуска от имени для использования учетной записи запуска от имени.

• Как создать учетную запись действия

  В этой статье объясняется, как создать учетную запись действия запуска от имени, которая будет использоваться серверами управления в группе управления.