Статья
06/15/2016

Учетные записи Operations Manager

Опубликовано: Март 2016

Применимо к:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Для взаимодействия с разными частями инфраструктуры мониторинга группе управления System Center 2012 — Operations Manager требуются две учетные записи: учетная запись действия сервера управления и учетная запись службы конфигурации System Center и службы доступа к данным System Center. Во время установки для этих учетных записей необходимо указать учетные данные.

При установке компонента отчетности необходимо ввести учетные данные двух дополнительных учетных записей: учетной записи для записи в хранилище данных и учетной записи чтения данных.

При установке агента потребуется ввести учетные данные учетной записи обнаружения компьютеров и учетной записи действия агента. Также запрашиваются данные для учетной записи с правами администратора на компьютерах, на которых будет установлен агент.

Учетная запись действия

Учетная запись действия используется для сбора сведений об управляемом компьютере и выполнения действия на нем (управляемый компьютер — это сервер управления или компьютер с установленным агентом). Процессы MonitoringHost.exe выполняются под учетной записью действия или определенной учетной записью запуска от имени. В любой момент времени на агенте может выполняться несколько процессов MonitoringHost.exe.

Операции, которые могут выполняться программой MonitoringHost.exe, включают в себя следующие:

наблюдение и сбор данных журнала событий Windows;
наблюдение и сбор данных счетчика производительности Windows;
наблюдение и сбор данных инструментария управления Windows (WMI);
выполнение таких действий как сценарии или пакеты.

Отделение процесса службы работоспособности от однократных и многократных использования процесса MonitoringHost означает, что если скрипт, выполняемый на управляемом компьютере, зависает или вызывает ошибку, функциональность службы Operations Manager или другие ответы на управляемом компьютере не будут затронуты.

Учетной записью действия можно управлять с помощью учетной записи действия по умолчанию в разделе Профили запуска от имени в рабочей области Администрирование.

Использование учетной записи с низким уровнем привилегий

При установке Operations Manager вы можете указать учетную запись домена или использовать локальную системную учетную запись. Более безопасный подход — указать учетную запись домена, которая позволяет выбрать пользователя с минимально необходимыми привилегиями для данной среды.

Учетную запись с низким уровнем привилегий можно использовать в качестве учетной записи действия агента. На компьютерах с операционной системой Windows Server 2003 и Windows Vista у такой учетной записи должна быть следующие минимальные привилегии:

быть членом локальной группы "Пользователи";
быть членом локальной группы "Пользователи системного монитора";
разрешение "Локальный вход в систему" (SetInteractiveLogonRight).

Важно
Минимальные привилегии, описанные выше — это самый низкий уровень привилегий, поддерживаемых Operations Manager для учетной записи действия. У других учетных записей запуска от имени могут быть привилегии более низкого уровня. Фактические привилегии, необходимые для учетной записи действия и учетных записей запуска от имени, зависят от того, какие пакеты управления запущены на компьютеры и как они настроены. Дополнительные сведения о требуемых привилегиях см. в руководстве соответствующего пакета управления.

Минимальные привилегии, описанные выше — это самый низкий уровень привилегий, поддерживаемых Operations Manager для учетной записи действия. У других учетных записей запуска от имени могут быть привилегии более низкого уровня. Фактические привилегии, необходимые для учетной записи действия и учетных записей запуска от имени, зависят от того, какие пакеты управления запущены на компьютеры и как они настроены. Дополнительные сведения о требуемых привилегиях см. в руководстве соответствующего пакета управления.

Выбирая учетные данные для учетной записи действия сервера управления, учитывайте следующее.

Учетную запись с низким уровнем прав можно использовать только на компьютерах с операционной системой Windows Server 2003 и Windows Vista. На компьютерах с операционной системой Windows 2000 и Windows XP учетная запись действия должна быть членом локальной группы безопасности "Администраторы" или "Локальная система".
Для использования доменной учетной записи с низким уровнем прав требуется обновление пароля в соответствии с политиками срока действия пароля.
Безагентное отслеживание исключений нельзя включить на сервере управления при использовании учетной записи действия с низким уровнем привилегий.
Если пакет управления должен считать данное событие из журнала событий безопасности, то соответствующей учетной записи действия должна быть назначено право управления журналами аудита и безопасности. Это можно сделать с помощью локальной или глобальной политики.

Учетные записи действия и база данных Operations Manager

Вы назначили учетные данные учетной записи действия при установке. По умолчанию у учетной записи действия есть доступ к базе данных Operations Manager. Чтобы улучшить безопасность, вы можете удалить доступ к базе данных Operations Manager для учетной записи действия и создать отдельную учетную запись запуска от имени для доступа к базе данных Operations Manager.

Учетная запись службы конфигурации System Center и службы доступа к данным System Center

Учетная запись службы конфигурации System Center и службы доступа к данным System Center используется службами доступа к данным System Center и конфигурации System Center Management для обновления базы данных Operations Manager. Учетные данные, используемые для учетной записи действия, буду назначены роли sdk_user в базе данных Operations Manager.

Учетная запись, используемая для учетной записи SDK и службы конфигурации, должна обладать правами локального администратора на корневом сервере управления. В качестве такой учетной записи следует использовать "Пользователь домена" или "Локальная система". Использование учетной записи "Локальная пользователь" не поддерживается. В качестве учетной записи действия сервера управления рекомендуется использовать другую учетную запись.

Учетная запись установки агента

При развертывании агента на основе обнаружения запрашивается учетная запись с правами администратора. Эта учетная запись используется для установки агента на компьютере, и поэтому она должна соответствовать локальному администратору на всех компьютерах, на которых развертываются агенты. Эта учетная запись перед использованием шифруется, а затем удаляется.

Учетная запись действия уведомления

Это учетная запись действия, которая используется для создания и отправки уведомлений. Убедитесь, что у учетных данных, используемых для этой учетной записи, достаточно прав для SMTP-сервера, сервера обмена мгновенными сообщениями или SIP-сервера, которые будут использоваться для уведомлений.

См. также

Реализация ролей пользователей
Управление доступом в Operations Manager
Как создать новую учетную запись действия в Operations Manager
Как управлять сервером отчетов учетной записи автоматического выполнения в Operations Manager
Управление доступом с помощью средства блокировки службы работоспособности в Operations Manager
Accessing UNIX and Linux Computers in Operations Manager (Доступ к компьютерам под управлением ОС UNIX и Linux в Operations Manager)
Управление учетными записями и профилями запуска от имени

Поделиться через