• Artikel

Operations Manager-accounts

 

Gepubliceerd: maart 2016

Van toepassing op: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

De beheergroep van System Center 2012 – Operations Manager heeft twee accounts nodig voor de communicatie met de diverse onderdelen van de bewakingsinfrastructuur: het actie-account van de beheerserver en het serviceaccount van de System Center Configuration-service en de System Center Data Access-service. Tijdens de installatie moet u referenties voor deze accounts opgeven.

Als u de rapportageservice installeert, moet u referenties voor twee extra accounts opgeven: het Datawarehouse-schrijfaccount en het Gegevenslezer-account.

Bij de installatie van een agent moet u referenties opgeven voor het account van de computerdetectie en het actie-account van de agent. U wordt ook gevraagd om een account op te geven met beheerrechten op de computers waarop u de agent installeert.

Actie-account

Het actie-account wordt gebruikt om informatie over de beheerde computer te verzamelen en hierop reacties uit te voeren (een beheerde computer is een beheerserver of computer met een agent). De MonitoringHost.exe-processen worden uitgevoerd met het actie-account of een bepaald Run As-account. Er kan meer dan een MonitoringHost.exe-proces tegelijk worden uitgevoerd op de agent.

MonitoringHost.exe voert onder meer de volgende acties uit:

  • Windows-gebeurtenislogboekgegevens bewaken en verzamelen.

  • Windows-prestatiemeteritemgegevens bewaken en verzamelen.

  • WMI-gegevens (Windows Management Instrumentation) bewaken en verzamelen.

  • Acties zoals scripts of batch-bestanden uitvoeren.

De scheiding tussen het Health-serviceproces en het enkelvoudige en meervoudige gebruik van het MonitoringHost-proces zorgt ervoor dat het vastlopen of mislukken van een script dat wordt uitgevoerd op de beheerde computer geen effect heeft op de de functionaliteit van de Operations Manager-service of andere reacties op de beheerde computer.

U kunt het actie-account beheren via het standaardactie-account in Run As-profielen in de werkruimte Beheer.

Een account met beperkte bevoegdheden gebruiken

Bij de installatie van Operations Manager kunt u een domeinaccount opgeven of het lokale systeemaccount gebruiken. Uit veiligheidsoverwegingen kunt u het beste een domeinaccount opgeven, waarbij u een gebruiker met zo min mogelijk bevoegdheden voor uw omgeving kunt selecteren.

U kunt een account met beperkte bevoegdheden gebruiken voor het actie-account van de agent. Op computers met Windows Server 2003 en Windows Vista moet het account de volgende minimale bevoegdheden hebben:

  • Lid van de lokale groep Gebruikers

  • Lid van de lokale groep Prestatiemetergebruikers

  • Lokaal aanmelden toestaan (SetInteractiveLogonRight)

System_CAPS_importantBelangrijk

De minimale bevoegdheden die hierboven worden beschreven, zijn de minimale bevoegdheden die Operations Manager ondersteunt voor het actie-account. Andere Run As-accounts kunnen nog minder bevoegdheden hebben. De werkelijke bevoegdheden die zijn vereist voor het actie-account en de Run As-accounts, zijn afhankelijk van de management packs die op de computer worden uitgevoerd en de configuratie hiervan. Zie de handleiding bij een management pack voor meer informatie over de vereiste bevoegdheden.

Denk aan de volgende punten als u referenties kiest voor het actie-account van de beheerserver:

  • U kunt alleen een account met beperkte bevoegdheden gebruiken op computers met Windows Server 2003 en Windows Vista. Op computers met Windows 2000 en Windows XP moet het actie-account lid zijn van de lokale beveiligingsgroep Administrators of het lokale systeem.

  • Als u een domeinaccount met beperkte bevoegdheden gebruikt, moet u uw wachtwoord bijwerken in overeenstemming met uw wachtwoordverloopbeleid.

  • U kunt uitzonderingsbewaking zonder agents niet inschakelen op een beheerserver met een actie-account met beperkte bevoegdheden.

  • Als een management pack gebeurtenissen in het beveiligingslogboek moet kunnen lezen, moet u de bevoegdheid Controlebeleid en beveiligingslogboek beheren toewijzen aan het actie-account door lokaal of globaal beleid te gebruiken.

Actie-accounts en de Operations Manager-database

U wijst referenties aan het actie-account toe bij de installatie. Het actie-account heeft standaard toegang tot de Operations Manager-database. Als u de beveiliging wilt vergroten, kunt u de toegang tot de Operations Manager-database verwijderen uit het actie-account en een nieuw, afzonderlijk Run As-account maken voor toegang tot de Operations Manager-database.

Serviceaccount van de System Center Configuration-service en System Center Data Access-service

Het serviceaccount van de System Center Configuration-service en de System Center Data Access-service wordt door de System Center Data Access-service en de System Center Management Configuration-service gebruikt om informatie in de Operations Manager-database bij te werken. De referenties van het actie-account worden toegewezen aan de gebruikersrol Sdk_user in de Operations Manager-database.

Het account dat wordt gebruikt als SDK en Config-serviceaccount moet lokale beheerrechten voor de computer met de hoofdbeheerserver hebben. Het account moet een domeingebruiker of het lokale systeem zijn. Lokale gebruikersaccounts worden niet ondersteund. U kunt het beste een ander account gebruiken dan het account dat u gebruikt als actie-account van de beheerserver.

Account voor agentinstallatie

Bij agentimplementatie op basis van detectie wordt u gevraagd om een account met beheerrechten. Dit account wordt gebruikt om de agent op de computer te installeren en moet daarom een lokale beheerder zijn op alle computers waarop u de agents implementeert. Dit account wordt versleuteld vóór gebruik en vervolgens verwijderd.

Actie-account voor meldingen

Met dit actie-account worden meldingen gemaakt en verzonden. Zorg ervoor dat de gebruikte referenties voor dit account voldoende rechten hebben voor de SMTP-server, chatberichtenserver of SIP-server die u gebruikt voor de meldingen.