Operations Manager 帐户
发布时间: 2016年3月
适用对象:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
为了与监视基础结构的各个部件通信,System Center 2012 – Operations Manager 管理组需要两个帐户:管理服务器操作帐户,以及 System Center Configuration 服务和 System Center Data Access 服务帐户。 在安装过程中,需要为这些帐户指定凭据。
如果你安装报表功能,则需要指定其他两个帐户的凭据:数据仓库写入帐户和数据读取器帐户。
在安装代理时,需要为计算机发现帐户和代理操作帐户提供凭据。 系统还会提示你使用对要安装代理的计算机拥有管理员权限的帐户。
操作帐户
操作帐户用于收集有关托管计算机的信息以及在上面运行响应,托管计算机可能是安装了代理的管理服务器或计算机。 MonitoringHost.exe 进程在操作帐户或特定的运行方式帐户下运行。 在任意给定时间,都可能有多个 MonitoringHost.exe 进程在代理上运行。
MonitoringHost.exe 执行的操作包括:
监视和收集 Windows 事件日志数据。
监视和收集 Windows 性能计数器数据。
监视和收集 Windows 管理规范 (WMI) 数据。
运行脚本或批处理等操作。
将运行状况服务进程与使用的单个和多个 MonitoringHost 进程分开,意味着在托管计算机上运行的脚本停止或失败时,Operations Manager 服务的功能或托管计算机上的其他响应不会受到影响。
可以通过位于“管理”工作区内的“运行方式配置文件”中的默认操作帐户来管理操作帐户。
使用低特权帐户
在安装 Operations Manager 时,你可以选择指定域帐户或使用本地系统。 更安全的方法是指定一个域帐户,以便允许你选择对你的环境具有必需的最少特权的用户。
对于代理的操作帐户,你可以使用低特权帐户。 在运行 Windows Server 2003 和 Windows Vista 的计算机上,帐户必须至少具备下列特权:
本地用户组的成员
本地性能监视器用户组的成员
“允许本地登录”权限 (SetInteractiveLogonRight)
.jpeg "System_CAPS_important"){kind=icon} 重要事项 |
|---|
以上描述的最小特权是指 Operations Manager 对操作帐户支持的最低特权。 其他运行方式帐户的特权可以更低。 操作帐户和运行方式帐户所需的实际特权将取决于计算机上运行的管理包及其配置方式。 有关所需的特定特权的详细信息,请参阅合适的管理包指南。 |
在为管理服务器操作帐户选择凭据时,请紧记以下注意事项:
低特权帐户只能在运行 Windows Server 2003 和 Windows Vista 的计算机上使用。 在运行 Windows 2000 和 Windows XP 的计算机上,操作帐户必须是本地管理员安全组或本地系统的成员。
使用低特权域帐户要求密码的更新与密码过期策略保持一致。
不能使用低特权操作帐户在管理服务器上启用无代理异常监视 (AEM)。
如果管理包要读取安全事件日志中的事件,则必须使用本地或全局策略为操作帐户分配“管理审核和安全日志”特权。
操作帐户和 Operations Manager 数据库
你在安装时为操作帐户分配了凭据。 默认情况下,操作帐户对 Operations Manager 数据库具有访问权限。 为提高安全性,你可以删除操作帐户对 Operations Manager 数据库的访问权限,并创建新的单独运行方式帐户用于访问 Operations Manager 数据库。
System Center Configuration 服务和 System Center Data Access 服务帐户
System Center Data Access 和 System Center Management Configuration 服务使用 System Center Configuration 服务和 System Center Data Access 服务帐户更新 Operations Manager 数据库中的信息。 对操作帐户使用的凭据将被分配到 Operations Manager 数据库中的 sdk_user 角色。
对 SDK 和配置服务帐户使用的帐户必须对根管理服务器计算机具有本地管理特权。 该帐户应该是域用户或本地系统。 不支持使用本地用户帐户。 建议使用与管理服务器操作帐户所使用的帐户不同的帐户。
代理安装帐户
在实施基于发现的代理部署时,系统会提示你使用具有管理员特权的帐户。 此帐户用于在计算机上安装代理,因此它必须是要部署代理的所有计算机上的本地管理员帐户。 在使用之前加密此帐户,使用之后删除。
通知操作帐户
这是创建和发送通知时使用的操作帐户。 确保对此帐户使用的凭据对你用于通知的 SMTP 服务器、即时消息服务器或 SIP 服务器拥有足够的权限。