Überprüfen von Kontoberechtigungen

Damit der Enterprise Manager-Server mit den untergeordneten Client Security-Bereitstellungen kommunizieren kann, müssen Sie sicherstellen, dass die in Enterprise Manager verwendeten Installations- und Dienstkonten über die entsprechenden Berechtigungen verfügen.

Das Benutzerkonto, mit dem Sie sich zur Installation von Enterprise Manager anmelden, wird als Installationskonto bezeichnet. Dieses Konto muss auf dem Client Security-Server, der als Enterprise Manager-Server fungieren soll, über Administratorrechte verfügen. Darüber hinaus muss es auf folgenden Systemen die EXECUTE-Berechtigung für SQL Server haben:

  • Die Sammlungs- (OnePoint) und -Berichtsdatenbank (SystemCenterReporting) von Enterprise Manager
  • Die untergeordnete Sammlungs- und Berichtsdatenbank von Client Security
So gewähren Sie SQL Server-Berechtigungen
  1. Starten Sie auf dem SQL Server SQL Server Management Studio, und erweitern Sie im Bereich Objekt-Explorer den Abschnitt Sicherheit.

  2. Klicken Sie mit der rechten Maustaste auf Anmeldungen, und klicken Sie dann auf Neue Anmeldung.

  3. Klicken Sie im Feld Anmeldung – Neu auf Suchen.

  4. Klicken Sie im Feld Benutzer oder Gruppe auswählen auf Speicherorte, wählen Sie den zu durchsuchenden Speicherort aus, und klicken Sie auf OK.

  5. Geben Sie im Feld Geben Sie den zu verwendenden Objektnamen ein den Benutzernamen des Kontos ein, das Sie den Anmeldungen hinzufügen, und klicken Sie auf OK. Klicken Sie im Feld Anmeldung – Neu auf OK.

  6. Erweitern Sie im Bereich Objekt-Explorer nacheinander die Knoten Datenbanken, OnePoint und Sicherheit.

  7. Klicken Sie mit der rechten Maustaste auf Benutzer, und klicken Sie dann auf Neuer Benutzer.

  8. Klicken Sie im Dialogfeld Datenbankbenutzer auf die Schaltfläche mit den Auslassungspunkten.

  9. Geben Sie im Feld Anmeldenamen auswählen unter Geben Sie die Namen der auszuwählenden Objekte ein den Anmeldenamen ein, und klicken Sie auf OK.

  10. Geben Sie im Dialogfeld Datenbankbenutzer im Feld Benutzername einen Namen für den Datenbankbenutzer ein, und klicken Sie auf OK.

  11. Klicken Sie im Bereich Objekt-Explorer mit der rechten Maustaste auf OnePoint, und klicken Sie dann auf Eigenschaften.

  12. Klicken Sie auf der Seite Datenbankeigenschaften unter Seite auswählen auf Berechtigungen.

  13. Wählen Sie den Benutzer aus, dem Sie Berechtigungen zuweisen, aktivieren Sie unter Explizite Berechtigungen für Benutzername bei Ausführen das Kontrollkästchen für Erteilen, und klicken Sie dann auf OK.

  14. Wiederholen Sie die Schritte 5 bis 12 für die SystemCenterReporting-Datenbank.

Das zum Installieren der Enterprise Manager-Komponenten für untergeordnete Bereitstellungen verwendete Konto muss auf den Client Security-Servern über Administratorrechte verfügen. Zusätzlich benötigt dieses Konto die SQL Server-EXECUTE-Berechtigung für die Berichtsdatenbank des Enterprise Manager-Servers.

Vor der Installation der Enterprise Manager-Komponenten müssen Sie die für das Setup von Client Security erforderlichen Benutzerkonten erstellen. Weitere Informationen finden Sie unter Erstellen von Installations- und Dienstkonten (http://go.microsoft.com/fwlink/?LinkID=86650).

Das Datenzugriffskonto (DAS-Konto) in Enterprise Manager

Das Datenzugriffskonto (DAS-Konto) auf dem Enterprise Manager-Server benötigt für folgende Systeme die SQL Server-EXECUTE-Berechtigung:

  • Die Sammlungs- (OnePoint) und -Berichtsdatenbank (SystemCenterReporting) von Enterprise Manager
  • Die untergeordnete Sammlungs- und Berichtsdatenbank von Client Security

Die DAS-Konten für die Enterprise Manager untergeordneten Server müssen der MOM-Dienstgruppe auf dem Enterprise Manager-Server hinzugefügt werden, damit die Warnungsweiterleitung an den Enterprise Manager-Server aktiviert werden kann.

Der Enterprise Manager-Administrator benötigt Berechtigungen für alle Active Directory®-Domänen, die untergeordnete Client Security-Server und verwaltete Computer enthalten.

Wenn ein einzelner Benutzer als Enterprise Manager-Administrator fungiert, muss dieser über alle Berechtigungen verfügen, die in der Dokumentation zu den Arbeitsvorgängen in Client Security unter Arbeiten mit Benutzerrollen beschrieben sind (http://go.microsoft.com/fwlink/?LinkID=86555).

Bei jeder Aufteilung der Rollen für die Enterprise Manager-Administratoren müssen die für diese Rollen erforderlichen Berechtigungen berücksichtigt werden, die sich auf Umgebungen mit mehreren Domänen beziehen. So kann zum Beispiel einem separaten Benutzer die Möglichkeit zur Erstellung von Client Security-Richtlinien gewährt werden. Dieser Benutzer ist dann ein Richtlinienbereitsteller. Die von einem Richtlinienbereitsteller benötigten Berechtigungen sind in der folgenden Tabelle aufgeführt.

Bereitstellungsziel Erforderliche Berechtigungen
  • Domänen
  • Organisationseinheiten
  • Sicherheitsgruppen

Richtlinienbereitsteller benötigen Berechtigungen zum Erstellen, Bearbeiten, Löschen und Verknüpfen von Gruppenrichtlinienobjekten (GPOs). Für die Bereitstellung von Richtlinien auf Domänen- und Organisationseinheitsebene benötigen Richtlinienbereitsteller diese Berechtigungen auf der jeweiligen Ebene, also der Domänenebene für Domänenrichtlinien oder der Organisationseinheitsebene für Organisationseinheitsrichtlinien. Für die Sicherheitsgruppenbereitstellung benötigen Richtlinienbereitsteller diese Berechtigungen auf Domänenebene.

Wenn die Bereitstellung an Remotedomänen, -organisationseinheiten und -sicherheitsgruppen erfolgt, benötigen Richtlinienbereitsteller für jede einzelne Domäne Berechtigungen zum Erstellen, Bearbeiten, Löschen und Verknüpfen von Gruppenrichtlinienobjekten. Allerdings können Richtlinienbereitsteller aus der Enterprise Manager-Domäne nicht der globalen Gruppe „Richtlinien-Ersteller-Besitzer“ in Remotedomänen hinzugefügt werden. Statt dessen sollten Sie wie folgt vorgehen:

  • Fügen Sie die Richtlinienbereitsteller der Gruppe „Gruppenrichtlinien-Ersteller-Besitzer“ in der Enterprise Manager-Domäne hinzu.
  • Führen Sie dann in jeder Remotedomäne folgende Schritte aus:
    • Erstellen Sie eine lokale Gruppe für die Domäne.
    • Delegieren Sie die Erstellungsrechte für Gruppenrichtlinienobjekte über die Gruppenrichtlinien-Verwaltungskonsole an die neue lokale Domänengruppe.
    • Fügen Sie die Gruppe „Gruppenrichtlinien-Ersteller-Besitzer“ aus der Enterprise Manager-Domäne der lokalen Domänengruppe hinzu, die Sie gerade in der Remotedomäne erstellt haben.

Gruppenrichtlinienobjekte (GPOs)

Richtlinienbereitsteller benötigen Berechtigungen zum Bearbeiten der Gruppenrichtlinienobjekte, mit denen die Client Security-Richtlinien an Clientcomputer verteilt werden.

Informationen zur Verwendung der anderen Benutzerrollen finden Sie unter Arbeiten mit Benutzerrollen in der Dokumentation zu den Arbeitsvorgängen in Client Security (http://go.microsoft.com/fwlink/?LinkID=86555).

Der Enterprise Manager-Administrator muss auf folgenden Systemen über die SQL Server-EXECUTE-Berechtigung verfügen:

  • Die Sammlungs- (OnePoint) und -Berichtsdatenbank (SystemCenterReporting) von Enterprise Manager
  • Die untergeordnete Sammlungs- und Berichtsdatenbank von Client Security

Das Enterprise Manager-Dashboard wird mit einem geplanten Auftrag auf dem neuesten Stand gehalten, der standardmäßig alle fünf Minuten ausgeführt wird. Dieser Auftrag ist als Auftrag des SQL Server-Agents implementiert und fragt Dashboard-Daten von den untergeordneten Client Security-Datenbanken ab.

Das Benutzerkonto, unter dem der SQL Server-Agent-Dienst ausgeführt wird, benötigt für die untergeordneten Client Security-Datenbanken die SQL Server-Berechtigungen CONNECT, SELECT und EXECUTE.

Anzeigen: