Distributie en doelen instellen voor Run As-Accounts en -profielen
Gepubliceerd: maart 2016
Van toepassing op: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Run As-accounts zijn gekoppeld aan Run As-profielen om zo te voorzien in de referenties die nodig zijn voor werkstromen die het desbetreffende Run As-profiel gebruiken om goed te kunnen worden uitgevoerd. Een Run As-profiel werkt alleen goed als zowel de distributie als de doelen van Run As-accounts op de juiste manier zijn geconfigureerd.
Als u een Run As-profiel configureert, selecteert u de Run As-accounts die u aan het Run As-profiel wilt koppelen. Bij het maken van die koppeling geeft u op voor het beheren van welke klasse of groep of welk object het Run As-account wordt gebruikt, zoals wordt aangeven in de volgende afbeelding. Hiermee wordt het doel van het Run As-account vastgelegd.
.jpeg "Select target for Run As profile and account")
Distributie is een kenmerk van een Run As-account waarin u opgeeft welke computers de referenties van het Run As-account krijgen. U kunt ervoor kiezen de referenties van het Run As-account te distribueren naar alle door agents beheerde computers of alleen naar bepaalde computers.
Voorbeeld van doelen en distributie van een Run As account:
Op een fysieke computer ABC worden twee instanties van Microsoft SQL Server gehost: instantie X en instantie Y. Elke instantie gebruikt een andere set referenties voor het sa-account. U maakt een Run As-account met de sa-referenties voor instantie X, en een ander Run As-account met de sa-referenties voor instantie Y. Als u het SQL Server Run As-profiel configureert, koppelt u beide Run As-accountreferenties voor instantie X en Y aan het profiel en geeft u op dat de Run As-accountreferenties voor instantie X moeten worden gebruikt voor SQL Server-instantie X en dat de Run As-accountreferenties voor instantie Y moeten worden gebruikt voor SQL Server-instantie Y. Vervolgens configureert u beide Run As-account zodanig dat ze worden gedistribueerd naar de fysieke computer ABC.
Een doel selecteren voor een Run As-Account
Zoals in de voorgaande afbeelding wordt aangegeven, kunt u bij het selecteren van een doel voor een Run As-account kiezen tussen Alle doelobjecten en Een geselecteerde klasse, groep of object.
Als u Alle doelobjecten selecteert, gebruikt het Run As-profiel dit Run As-account voor alle objecten voor de werkstromen die het Run As-profiel gebruiken. …
Als u Een geselecteerde klasse, groep of object selecteert, kunt u het gebruik van het Run As-account beperken tot de klasse, de groep of het object dat u opgeeft. …
Notitie
De Run As-accountreferenties moeten worden gedistribueerd naar...
Veiliger en minder veilige distributie vergelijken
Operations Manager distribueert de Run As-accountreferenties naar alle door agents beheerde computers (de minder veilige optie) of alleen naar door u opgegeven computers (de veiligere optie). Als Operations Manager het Run As-account automatisch zou distribueren op basis van detectie, zou er een beveiligingsrisico ontstaan in uw omgeving, zoals wordt geïllustreerd in het volgende voorbeeld. Daarom is er geen optie voor automatische distributie opgenomen in Operations Manager.
Operations Manager identificeert een computer bijvoorbeeld als host van SQL Server 2005 op basis van de aanwezigheid van een registersleutel. Het is mogelijk om diezelfde registersleutel op een computer te maken waarop niet daadwerkelijk een instantie van SQL Server 2005 wordt uitgevoerd. Als Operations Manager de referenties automatisch zou distribueren naar alle door agents beheerde computers die zijn geïdentificeerd als SQL Server 2005-computers, zouden de referenties naar de bedriegende SQL Server worden verzonden en zouden ze beschikbaar zijn voor iemand met beheerdersrechten op die server.
Als u een Run As-account maakt, wordt u gevraagd om te kiezen of het Run As-account moet worden behandeld met een Lager beveiligingsniveau of een Hoger beveiligingsniveau. Een hoger beveiligingsniveau betekent dat u als u het Run As-account aan een Run As-profiel koppelt, de specifieke computernamen moet opgeven waarnaar u de Run As-referenties wilt distribueren. Door de doelcomputers positief te identificeren, kunt u het hierboven beschreven bedriegersscenario voorkomen. Als u de optie met een lager beveiligingsniveau kiest, hoeft u geen specifieke computers op te geven en worden de referenties naar alle door agents beheerde computers gedistribueerd.
Notitie
Operations Manager voert tests uit om de Run As-referenties te valideren, bijvoorbeeld of de referenties kunnen worden gebruikt voor lokale aanmelding bij de computer. Als het account niet het recht heeft voor lokaal aanmelden, wordt er een waarschuwing gegenereerd.
Zie ook
Run As-accounts en -profielen beheren
Het maken van een Run As-Account
Het koppelen van een Run As-Account aan een Run As-profiel
Het maken van een nieuwe uitvoeren als-Account voor toegang tot de Operations Manager-Database
How to Configure Run As Accounts and Profiles for UNIX and Linux Access (Run As-accounts en -profielen maken voor UNIX- en Linux-toegang)