Учетные записи и профили запуска от имени
Важно!
Поддержка этой версии Operations Manager завершена. Рекомендуется выполнить обновление до Operations Manager 2022.
Учетные записи запуска от имени определяют, какие учетные данные используются для определенных действий, выполняемых агентом Operations Manager. Управление этими учетными записями осуществляется централизованно с помощью консоли управления, кроме того, они назначаются разным профилям запуска от имени. Если профиль запуска от имени не назначен определенному действию, он выполняется в учетной записи действия по умолчанию. В среде с низким уровнем прав учетная запись по умолчанию может не иметь необходимых разрешений для выполнения определенного действия, и тогда профиль запуска от имени можно использовать для предоставления этих полномочий. Пакеты управления могут устанавливать профили запуска от имени и учетные записи запуска от имени для поддержки необходимых действий. Если да, их документация должна быть указана для любой требуемой конфигурации.
Учетные записи запуска от имени по умолчанию
В следующей таблице перечислены учетные записи запуска от имени по умолчанию, созданные Operations Manager во время установки.
| Имя | Описание | Учетные данные |
|---|---|---|
| Domain\ManagementServerActionAccount | Учетная запись пользователя, под которой по умолчанию выполняются все правила на серверах управления. | Учетная запись домена, указанная в качестве учетной записи действия сервера управления во время установки. |
| Учетная запись действия "Локальная система" | Встроенная системная учетная запись, используемая в качестве учетной записи действия. | Учетная запись "Локальная система" Windows |
| Учетная запись APM | Учетная запись наблюдения за производительностью приложений (APM), которая используется для предоставления ключей для шифрования защищенных данных, собираемых из приложений в процессе наблюдения. Эта учетная запись создается автоматически после создания первого Монитор производительности .NET. | Зашифрованная двоичная учетная запись |
| Учетная запись действия хранилища данных | Используется для проверки подлинности экземпляра SQL Server, на котором размещается база данных OperationsManagerDW. | Учетная запись домена, указанная во время установки в качестве учетной записи с правами записи в хранилище данных. |
| Учетная запись развертывания отчетов хранилища данных | Используется для проверки подлинности между сервером управления и экземпляром SQL Server, на котором размещаются службы отчетов Operations Manager. | Учетная запись домена, указанная во время установки в качестве учетной записи чтения данных. |
| Учетная запись "Локальная система" Windows | Встроенная СИСТЕМНАЯ учетная запись, используемая учетной записью действия агента. | Учетная запись "Локальная система" Windows |
| Учетная запись сетевой службы Windows | Встроенная учетная запись сетевой службы. | Учетная запись NetworkService Windows |
Профили запуска от имени по умолчанию
В следующей таблице перечислены профили запуска от имени, созданные Operations Manager во время установки.
Примечание
Если учетная запись запуска от имени для определенного профиля остается пустой, используется учетная запись действия по умолчанию (учетная запись действия сервера управления или учетная запись действия агента в зависимости от расположения действия).
| Имя | Описание | учетная запись запуска от имени |
|---|---|---|
| Учетная запись назначения агента на основе Active Directory | Учетная запись, используемая модулем назначения агента на основе Active Directory для публикации параметров назначения в Active Directory. | Учетная запись "Локальная система" Windows |
| Учетная запись автоматического управления агентом | Эта учетная запись используется для автоматической диагностики сбоев агента. | None |
| Учетная запись действия наблюдения за клиентами | Если указано, используется Operations Manager для выполнения всех модулей наблюдения за клиентами. Если она не указана, Operations Manager использует учетную запись действия по умолчанию. | None |
| Учетная запись подключенной группы управления | Учетная запись, используемая пакетом управления Operations Manager для отслеживания состояния подключения к подключенным группам управления. | None |
| Учетная запись хранилища данных | Если эта учетная запись указана, она используется для выполнения всех правил сбора данных и синхронизации в хранилище данных вместо учетной записи действия по умолчанию. Если эта учетная запись не переопределяется учетной записью проверки подлинности Data Warehouse SQL Server, она используется правилами сбора и синхронизации для подключения к базам данных Data Warehouse с помощью встроенной проверки подлинности Windows. | None |
| Учетная запись развертывания отчетов хранилища данных | Эта учетная запись используется процедурами автоматического развертывания отчетов хранилища данных для выполнения различных операций, связанных с развертыванием отчетов. | Учетная запись развертывания отчетов хранилища данных |
| Учетная запись проверки подлинности SQL Server для хранилища данных | Если они указаны, это имя и пароль для входа используются правилами сбора и синхронизации для подключения к базам данных Data Warehouse с помощью проверки подлинности SQL Server. | Учетная запись проверки подлинности SQL Server для хранилища данных |
| Учетная запись действия MPUpdate | Эта учетная запись используется средством уведомления MPUpdate. | None |
| Учетная запись уведомления | Учетная запись Windows, используемая правилами уведомлений. Используйте адрес электронной почты этой учетной записи как адрес отправителя для электронной почты и мгновенных сообщений. | None |
| Учетная запись рабочей базы данных | Эта учетная запись используется для считывания и записи сведений в базу данных Operations Manager. | None |
| Привилегированная учетная запись наблюдения | Этот профиль используется для наблюдения, которое может быть выполнено только при наличии привилегий высокого уровня для работы с системой (например, если для наблюдения требуются разрешения учетной записи локальной системы или локального администратора). По умолчанию используется учетная запись "Локальная система", если она специально не переопределена для целевой системы. | None |
| Учетная запись проверки подлинности SQL Server для отчетов службы SDK | Если они указаны, эти имя и пароль для входа используются службой SDK для подключения к базам данных Data Warehouse с помощью SQL Server проверки подлинности. | Учетная запись проверки подлинности SQL Server для отчетов службы SDK |
| Зарезервированное | Этот профиль зарезервирован и не должен использоваться. | None |
| Учетная запись проверки подписки на предупреждения | Учетная запись, используемая модулем проверки подписки на предупреждения, подтверждающим, что подписки на уведомления находятся в области действия. Этому профилю требуются права администратора. | Учетная запись "Локальная система" Windows |
| Учетная запись мониторинга SNMP | Эта учетная запись используется для мониторинга SNMP. | None |
| Учетная запись мониторинга SNMPv3 | Эта учетная запись используется для мониторинга SNMPv3. | None |
| Учетная запись действия UNIX или Linux | Эта учетная запись используется для доступа к системам UNIX и Linux с низким уровнем прав. | None |
| Учетная запись для обслуживания агента UNIX/Linux | Эта учетная запись используется для операций обслуживания агентов UNIX и Linux в привилегированном режиме. Без этой учетной записи операции обслуживания агента не работают. | None |
| Привилегированная учетная запись UNIX или Linux | Эта учетная запись используется для доступа к защищенным ресурсам UNIX и Linux, а также для действий, требующих высокого уровня прав. Без этой учетной записи некоторые правила, диагностика и восстановление не работают. | None |
| Учетная запись администрирования кластера Windows | Этот профиль используется во всех компонентах обнаружения и наблюдения кластеров Windows. Этот профиль по умолчанию использует учетные записи действий, если он не заполнен пользователем. | None |
| Учетная запись действия WS-Management | Этот профиль используется для доступа к WS-Management. | None |
Основные сведения о распространении и определении целевых объектов
Для надлежащей работы профилей запуска от имени атрибуты распространения и определения целевых объектов учетных записей запуска от имени должны быть правильно настроены.
При настройке профиля запуска от имени выберите учетную запись запуска от имени, которую требуется связать с профилем. После создания этой связи можно указать класс, группу или объект, для которых учетная запись запуска от имени будет использоваться для запуска задач, правил, мониторов и операций обнаружения.
Распространение — это атрибут учетной записи запуска от имени, и вы можете указать, какие компьютеры получают учетные данные учетной записи запуска от имени. Можно выбрать вариант распространения учетных данных на все управляемые агентами компьютеры либо только на выбранные компьютеры.
Пример назначения учетной записи запуска от имени. На физическом компьютере ABC размещаются два экземпляра Microsoft SQL Server: экземпляр X и экземпляр Y. Каждый экземпляр использует свой набор учетных данных для учетной записи sa. Создается учетная запись запуска от имени с учетными данными sa для экземпляра X и другая учетная запись запуска от имени с учетными данными sa для экземпляра Y. При настройке профиля запуска от имени SQL Server с профилем связываются учетные данные обеих учетных записей запуска от имени для экземпляров X и Y и указывается, что учетные данные запуска от имени экземпляра X будут использоваться экземпляром X SQL Server, а учетные данные запуска от имени Y — экземпляром Y SQL Server. Затем необходимо настроить каждый набор учетных данных для распространения на физический компьютер ABC.
Пример распространения учетной записи запуска от имени. SQL Server1 и SQL Server 2 — два разных физических компьютера. SQL Server1 использует набор учетных данных UserName1 и Password1 для учетной записи sa SQL. SQL Server2 использует набор учетных данных UserName2 и Password2 для учетной записи sa SQL. Пакет управления SQL включает один профиль запуска от имени SQL, используемый для всех экземпляров SQL Server. Затем можно определить одну учетную запись запуска от имени для набора учетных данных UserName1 и другую учетную запись запуска от имени для набора учетных данных UserName2. Обе эти учетные записи запуска от имени можно связать с одним профилем запуска от имени SQL Server и настроить для распространения на соответствующие компьютеры. То есть UserName1 распространяется в SQL Server1, а UserName2 — в SQL Server2. Сведения учетной записи, передаваемые между сервером управления и целевым компьютером, шифруются.
Безопасность учетной записи запуска от имени
В System Center Operations Manager учетные данные учетной записи запуска от имени распространяются только на указанные вами компьютеры (более безопасный вариант). Если Operations Manager автоматически распространяет учетную запись запуска от имени в соответствии с обнаружением устройств, то может возникнуть угроза безопасности среды, как показано в следующем примере. Именно поэтому параметр автоматического распространения не был включен в Operations Manager.
Например, Operations Manager по разделу реестра идентифицирует компьютер как содержащий SQL Server 2016. Этот же раздел реестра можно создать на компьютере, на котором фактически не запущен экземпляр SQL Server 2016. Если бы Operations Manager автоматически распространял учетные данные на все управляемые агентами компьютеры, идентифицированные как SQL Server 2016, учетные данные были бы отправлены на фальшивый SQL Server и могли стать доступными для любого лица с правами администратора на сервере.
При создании учетной записи запуска от имени с помощью Operations Manager вам будет предложено выбрать, следует ли использовать менее безопасный или более безопасный режим для учетной записи запуска от имени. Вариант "Более безопасное" означает, что при связывании учетной записи запуска от имени с профилем запуска от имени необходимо предоставить имена определенных компьютеров, на которые требуется распространить учетные данные запуска от имени. Определяя целевые компьютеры, вы предотвращаете описанный выше сценарий подмены. Если выбрать менее безопасный вариант, вам не придется предоставлять определенные компьютеры, и учетные данные будут распространены на все компьютеры, управляемые агентом.
Примечание
У учетных данных, выбираемых для учетной записи запуска от имени, должны быть как минимум права локального входа, в противном случае произойдет сбой модуля.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по