Información de cuenta para Operations Manager
Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Durante la instalación y el uso de System Center 2012 – Operations Manager, se le pedirá que proporcione credenciales para varias cuentas. En esta sección se proporciona información acerca de las diferentes cuentas y cómo cambiar las credenciales o contraseñas para las cuentas después de una implementación.
Cuentas de acción
Cuentas de servicio
Cuenta de instalación de agente
Cuenta de escritura de almacenamiento de datos
Cuenta de lectura de datos
Cuentas de acción
El servidor de administración, el servidor de puerta de enlace y el agente de Operations Manager contienen un proceso llamado MonitoringHost.exe. MonitoringHost.exe se usa para llevar a cabo actividades de supervisión, como la ejecución de un monitor o una tarea. Por ejemplo, cuando un agente se suscribe al registro de eventos para leer los eventos, el proceso de MonitoringHost.exe ejecuta dichas actividades. La cuenta que ejecuta un proceso de MonitoringHost.exe se llama cuenta de acción. La cuenta de acción para el proceso de MonitoringHost.exe que se ejecuta en un agente se llama cuenta de acción del agente. La cuenta de acción utilizada por el proceso de MonitoringHost.exe en un servidor de administración se llama cuenta de acción del servidor de administración. La cuenta de acción utilizada por el proceso de MonitoringHost.exe en un servidor de puerta de enlace se llama cuenta de acción del servidor de puerta de enlace.
Cuando valida o cambia la cuenta de acción predeterminada, debe asegurarse de que la cuenta que utiliza para la cuenta de acción predeterminada se ha configurado para que sea miembro de tipo Rol del rol de base de datos ConfigServiceMonitoringUsers.
Para validar la cuenta de acción
-
En el servidor que hospeda la base de datos operativa, abra SQL Server Management Studio y conéctese al servidor local.
-
Expanda Bases de datos y, a continuación, expanda la base de datos operativa, cuyo valor predeterminado es OperationsManager.
-
Expanda seguridad, luego Roles y, a continuación, Roles de base de datos.
-
Compruebe que el rol ConfigServiceMonitoringUsers aparezca en la lista.
-
Si este rol no aparece en la lista, haga clic con el botón secundario en Roles de base de datos para agregarlo.
Cuenta de acción del agente
A menos que una acción se haya asociado con un perfil de ejecución, las credenciales utilizadas para realizar la acción son las definidas para la cuenta de acción. Para obtener más información sobre el perfil de ejecución, consulte Managing Run As Accounts and Run As Profiles (Administración de cuentas y perfiles de ejecución). Algunos ejemplos de acciones son:
Supervisión y recopilación de datos del registro de eventos de Windows
Supervisión y recopilación de datos del contador de rendimiento de Windows
Supervisión y recopilación de datos del Instrumental de administración de Windows (WMI)
Ejecución de acciones como archivos de script o por lotes
MonitoringHost.exe es el proceso que ejecuta estas acciones mediante el uso de las credenciales especificadas en la cuenta de acción. Se crea una nueva instancia de MonitoringHost.exe para cada cuenta.
Uso de cuentas con pocos privilegios
Al instalar Operations Manager, puede elegir una de estas dos opciones al asignar la cuenta de acción:
Sistema local
Cuenta de dominio o local
El método más común es especificar una cuenta de dominio que le permita seleccionar un usuario con la cantidad mínima de privilegios necesarios para el entorno.
La cuenta de acción predeterminada debe tener los siguientes privilegios mínimos:
Miembro del grupo Usuarios local
Miembro del grupo Usuarios del monitor de rendimiento local
Permiso Permitir el inicio de sesión local (SetInteractiveLogonRight)
Los privilegios mínimos descritos anteriormente son los privilegios más bajos que Operations Manager admite para la cuenta de acción. Otras cuentas de ejecución pueden tener privilegios más bajos. Los privilegios reales necesarios para las cuentas de ejecución dependen de los módulos de administración que se están ejecutando en el equipo y de cómo están configurados. Para obtener más información acerca de las credenciales específicas necesarias, consulte la guía del módulo de administración correspondiente.
Tenga en cuenta los siguientes puntos al elegir las credenciales para la cuenta de acción del agente:
Una cuenta con pocos privilegios es lo único necesario para los agentes que se utilizan para supervisar controladores de dominio.
Utilizar una cuenta de dominio requiere actualizar su contraseña de acuerdo con sus directivas de expiración de contraseñas.
Deberá parar e iniciar el servicio de administración de System Center si la cuenta de acción se ha configurado para utilizar una cuenta con pocos privilegios y dicha cuenta se agregó a los grupos requeridos mientras se ejecutaba el servicio de administración de System Center.
Cuenta de acción de notificación
La cuenta de acción de notificación es una cuenta de ejecución que el usuario crea para configurar las notificaciones. Es la cuenta de acción que se usa para crear y enviar notificaciones. Asegúrese de que las credenciales que usa para esta cuenta tengan suficientes derechos para el servidor SMTP, el servidor de mensajería instantánea o el servidor SIP que vaya a usar para las notificaciones.
Si cambia la contraseña de las credenciales que ha especificado para la cuenta de acción de notificación, deberá realizar los mismos cambios en la contraseña de la cuenta de ejecución.
Administración de las credenciales de cuenta de acción
Para la cuenta que elija, Operations Manager determina la fecha de expiración de la contraseña y genera una alerta 14 días antes de que expire la cuenta. Cuando cambia la contraseña en Active Directory, puede cambiar la contraseña para la cuenta de acción en Operations Manager en la pestaña Cuenta en la página Propiedades de la cuenta de ejecución. Para obtener más información acerca de cómo administrar las credenciales de cuenta de acción, consulte Cómo cambiar las credenciales de la cuenta de acción.
Cuentas de servicio
Los servicios de acceso a datos de System Center y de configuración de administración de System Center utilizan el juego de credenciales de los servicios de configuración de System Center y de acceso a datos de System Center para actualizar y leer la información de la base de datos operativa. Operations Manager se asegura de que las credenciales utilizadas para la cuenta de servicio del servicio de acceso a datos (DAS) se asignan al rol Sdk_user en la base de datos operativa. El servicio de configuración de System Center y la cuenta de servicio de acceso a datos de System Center pueden configurarse como una cuenta de sistema local o como una cuenta de dominio. No se admite una cuenta de usuario local.
Si el servidor de administración y la base de datos operativa están en equipos diferentes, el servicio de configuración de System Center y la cuenta de acceso a datos de System Center deberán cambiarse a una cuenta de dominio. Para mayor seguridad, recomendamos que utilice una cuenta distinta de la que se utilizó para la cuenta de acción del servidor de administración. Para cambiar estas cuentas, consulte Cómo cambiar credenciales para el servicio de configuración de administración de System Center y el servicio de acceso a datos de System Center.
Cuenta de instalación de agente
Al implementar el agente basado en detecciones, el sistema solicita una cuenta con derechos de administrador. Esta cuenta se usará para instalar el agente en el equipo y, por tanto, debe ser un administrador local en todos los equipos en los que va a implementar agentes. La cuenta de acción del servidor de administración es la cuenta predeterminada para la instalación del agente. Si la cuenta de acción del servidor de administración no tiene derechos de administrador, seleccione Cuenta de otro usuario y especifique una cuenta que tenga derechos de administrador. Esta cuenta se cifra antes de usarse y, a continuación, se descarta.
Cuenta de escritura de almacenamiento de datos
La cuenta de escritura de almacenamiento de datos escribe los datos desde el servidor de administración en el almacenamiento de datos de informes y lee los datos de la base de datos operativa. Las credenciales que proporciona para esta cuenta se convierten en miembros de los roles según la aplicación, tal como se describe en la tabla siguiente.
Nota
Para obtener más información sobre las configuraciones admitidas por System Center 2012 – Operations Manager, consulte Configuraciones admitidas para System Center 2012 - Operations Manager.
Aplicación |
Base de datos/Función |
Función/Cuenta |
|---|---|---|
Versiones admitidas de Microsoft SQL Server |
Base de datos operativa |
db_datareader |
Versiones admitidas de Microsoft SQL Server |
Base de datos operativa |
dwsync_user |
Versiones admitidas de Microsoft SQL Server |
Base de datos de almacenamiento de datos |
OpsMgrWriter |
Versiones admitidas de Microsoft SQL Server |
Base de datos de almacenamiento de datos |
db_owner |
Operations Manager |
Rol de usuario |
Cuenta de los administradores de seguridad de informes de Operations Manager |
Operations Manager |
Cuenta de ejecución |
Cuenta de acción de almacenamiento de datos |
Operations Manager |
Cuenta de ejecución |
Cuenta de lectura de sincronización de configuración de almacenamiento de datos |
Si cambia la contraseña de las credenciales que ha especificado para la cuenta de escritura de almacenamiento de datos, deberá realizar los mismos cambios en la contraseña de las siguientes cuentas:
Cuenta de ejecución denominada cuenta de acción de almacenamiento de datos
Cuenta de ejecución denominada cuenta de lectura de sincronización de configuración de almacenamiento de datos
Cuenta de lectura de datos
Esta cuenta se utiliza para implementar informes, para definir qué usuario utiliza SQL Server Reporting Services para realizar consultas en el almacenamiento de datos de informes, y para que la cuenta de grupo de aplicaciones de IIS de SQL Server Reporting Services se conecte al servidor de administración. Esta cuenta se agrega al perfil de usuario del administrador de informes.
Las credenciales que proporciona para esta cuenta se convierten en miembros de los roles según la aplicación, tal como se describe en la tabla siguiente.
Nota
Para obtener más información sobre las configuraciones admitidas por System Center 2012 – Operations Manager, consulte Configuraciones admitidas para System Center 2012 - Operations Manager.
Aplicación |
Base de datos/Función |
Función/Cuenta |
|---|---|---|
Versiones admitidas de Microsoft SQL Server |
Instancia de instalación del servidor de informes |
Cuenta de ejecución del servidor de informes |
Versiones admitidas de Microsoft SQL Server |
Base de datos de almacenamiento de datos |
OpsMgrReader |
System Center 2012 – Operations Manager |
Rol de usuario |
Administradores de seguridad de informes de Operations Manager |
System Center 2012 – Operations Manager |
Rol de usuario |
Operadores de informes de Operation Manager |
System Center 2012 – Operations Manager |
Cuenta de ejecución |
Cuenta de implementación de informes de almacenamiento de datos |
Internet Information Services (IIS) |
Grupo de aplicaciones |
ReportServer$<INSTANCIA> |
Servicio de Windows |
SQL Server Reporting Services |
Cuenta de inicio de sesión |
Si cambia la contraseña de las credenciales que ha especificado para la cuenta de lectura de datos, deberá realizar los mismos cambios en la contraseña de las siguientes cuentas:
Cuenta de ejecución del servidor de informes
La cuenta de servicio de SQL Server Reporting Services en el equipo que hospeda SQL Server Reporting Services (SSRS)
La cuenta de grupo de aplicaciones de IIS ReportServer$<INSTANCIA>
Cuenta de ejecución denominada cuenta de implementación de informes de almacenamiento de datos