Распределение и определение целевых объектов для учетных записей и профилей запуска от имени
Опубликовано: Март 2016
Применимо к:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Учетные записи запуска от имени связаны с профилями запуска от имени и служат для предоставления необходимых учетных данных для успешного выполнения рабочих процессов, использующих профили запуска от имени. Для надлежащей работы профилей запуска от имени атрибуты распространения и определения целевых объектов учетных записей запуска от имени должны быть правильно настроены.
При настройке профиля запуска от имени выберите учетную запись запуска от имени, которую требуется связать с профилем. При создании связывания указывается класс, группа или объект, который учетная запись запуска от имени будет использовать для управления, как отражено на следующем рисунке. С помощью этого действия устанавливается целевой объект учетной записи запуска от имени.
.jpeg "Выбор целевых объектов для профиля и учетной записи запуска от имени")
Распространение является атрибутом учетной записи запуска от имени, в котором указываются компьютеры, получающие учетные данные запуска от имени. Можно выбрать вариант распространения учетных данных на все управляемые агентами компьютеры либо только на выбранные компьютеры.
Ниже приведен пример распространения и определения целевых объектов учетной записи запуска от имени.
На физическом компьютере ABC размещены два экземпляра Microsoft SQL Server, экземпляр X и экземпляр Y. Для каждого экземпляра используются различные наборы учетных данных для учетной записи sa. Создается учетная запись запуска от имени с учетными данными sa для экземпляра X и другая учетная запись запуска от имени с учетными данными sa для экземпляра Y. При настройке профиля запуска от имени SQL Server, связываются учетные данные запуска от имени для экземпляров X и Y с профилем и указывается, что учетные данные запуска от имени экземпляра X будут использоваться экземпляром X SQL Server, а учетные данные запуска от имени Y — экземпляром Y SQL Server. Затем настраивается распространение обеих учетных записей запуска от имени на физический компьютер ABC.
Выбор целевого объекта для учетной записи запуска от имени
Как показано на предыдущем рисунке, имеются следующие варианты выбора целевого объекта для учетной записи запуска от имени: Все целевые объекты и Выбранный класс, группа или объект.
При выборе варианта Все целевые объекты профиль запуска от имени будет использовать учетную запись запуска от имени для всех объектов рабочего процесса, который использует профиль запуска от имени. …
При выборе варианта Выбранный класс, группа или объект можно ограничить использование учетной записи запуска от имени указанным классом, группой или объектом. …
.jpeg "System_CAPS_note") Примечание |
|---|
Учетные данные запуска от имени должны быть распространены между... |
Сравнение более безопасного и менее безопасного вариантов распространения
Operations Manager распространяет учетные данные запуска от имени либо на все управляемые агентами компьютеры (менее безопасный вариант), либо только на указанные компьютеры (более безопасный вариант). Если Operations Manager автоматически распространяет учетную запись запуска от имени в соответствии с обнаружением устройств, то может возникнуть угроза безопасности среды, как показано в следующем примере. Именно поэтому вариант автоматического распространения не был включен в Operations Manager.
Например, Operations Manager по разделу реестра идентифицирует компьютер как содержащий SQL Server 2005. Можно создать такой же раздел реестра на компьютере, на котором в действительности не будет выполняться экземпляр SQL Server 2005. Если бы Operations Manager автоматически распространял учетные данные на все управляемые агентами компьютеры, идентифицированные как SQL Server 2005, то учетные данные были бы отправлены на фальшивый SQL Server и могли бы быть доступны для лица с правами администратора на сервере.
При создании учетной записи запуска от имени запрашивается выбор последующего варианта ее использования — Менее безопасное или Более безопасное. Более безопасный вариант означает, что при связывании учетной записи запуска от имени с профилем запуска от имени необходимо предоставить имена определенных компьютеров, на которые требуется распространить учетные данные запуска от имени. Определяя целевые компьютеры, вы предотвращаете описанный выше сценарий подмены. При выборе менее безопасного варианта необязательно предоставлять имена никаких компьютеров, учетные данные будут распространяться на все управляемые агентами компьютеры.
| Примечание |
|---|
Operations Manager выполняет проверки учетных данных запуска от имени, включая проверку возможности их использования для локального входа на компьютер. Если учетная запись не обладает правами локального входа на компьютер, будет создано предупреждение. |
См. также
Управление учетными записями и профилями запуска от имени
Создание учетной записи запуска от имени
Связывание записи запуска от имени учетной записи для запуска от имени профиля
Как создать новый набор в качестве учетной записи для доступа к базе данных диспетчера операций
Настройка выполнения как учетные записи и профили для UNIX и Linux доступ