Table of contents
TOC
Minimera innehållsförteckningen
Maximera innehållsförteckningen

Tjänst-, användar- och säkerhetskonton

Matt Goedtel|Senast uppdaterad: 2016-12-01
|
1 Medverkande

Gäller för: System Center 2016 – Operations Manager

Under installationen och driften av Operations Manager uppmanas du att ange autentiseringsuppgifter för flera konton. I början av det här avsnittet finns information om vart och ett av dessa konton, inklusive kontot för konfigurationstjänst och SDK, agentinstallationskontot, kontot för informationslagerskrivning och dataläsarkontot.

Om du använder domänkonton och om standardprincipen för lösenordets upphörande för domänens grupprincipobjekt har konfigurerats som obligatorisk, måste du antingen ändra lösenorden för tjänstkontona i enlighet med schemat, använda systemkonton med lågt underhåll eller konfigurera kontona så att lösenorden aldrig går ut.

Åtgärdskonton

I System Center 2016 – Operations Manager kör hanteringsservrar, gateway-server och agenter en process kallad MonitoringHost.exe. MonitoringHost.exe är vad varje serverroll använder för att utföra övervakningsaktiviteter, till exempel körningen av en övervakare eller en uppgift. Andra exempel på åtgärder som utförs av MonitoringHost.exe är:

  • Övervakning och insamling av Windows händelseloggdata.
  • Övervakning och insamling av data från Windows prestandaräknare.
  • Övervakning och insamling av data från WMI (Windows Management Instrumentation).
  • Köra åtgärder som skript eller batchar.

Det konto som körs av MonitoringHost.exe kallas för åtgärdskonto. MonitoringHost.exe är processen som kör de här åtgärderna med hjälp av autentiseringsuppgifterna som angetts i åtgärdskontot. För varje konto skapas en ny instans av MonitoringHost.exe. Åtgärdskontot för MonitoringHost.exe som körs på en agent kallas för åtgärdskonto för agent. Åtgärdskontot för MonitoringHost.exe som används på en hanteringsserver kallas för åtgärdskonto för hanteringsserver. Åtgärdskontot för MonitoringHost.exe som används på en gateway-server kallas för åtgärdskonto för gateway-server. Det rekommenderade alternativet är att tilldela det här kontot lokala administrativa rättigheter på alla hanteringsservrar i hanteringsgruppen, såvida inte lägsta åtkomstbehörighet krävs av din organisations IT-säkerhetsprincip.

Såvida ingen åtgärd har kopplats till en Kör som-profil är autentiseringsuppgifterna som används för åtgärden samma som de som angetts för åtgärdskontot. Mer information om Kör som-konton och Kör som-profiler finns i avsnittet Kör som-konton. När en agent kör åtgärder antingen som standardåtgärdskontot och/eller som Kör som-konton skapas en ny instans av MonitoringHost.exe för varje konto.

När du installerar Operations Manager kan du ange ett domänkonto eller använda Lokalt system. Den säkraste metoden är att ange ett domänkonto eftersom du då kan välja en användare med den minsta uppsättningen privilegier som krävs för miljön.

Du kan använda ett lågprivilegierat konto för agentens åtgärdskonto. På datorer som kör Windows Server 2008 R2 eller senare måste kontot minst ha följande privilegier:

  • Medlem i gruppen för lokala användare
  • Medlem i den lokala gruppen Prestandaövervakningsanvändare
  • Behörigheten Tillåt lokal inloggning (SetInteractiveLogonRight)
Information

De minsta privilegier som beskrivs ovan är de minsta privilegier som krävs för åtgärdskontot i Operations Manager. Andra Kör som-konton kan ha lägre privilegier. Vilka privilegier som faktiskt krävs för åtgärdskontot och Kör som-kontona beror på vilka hanteringspaket som körs på datorn och hur de konfigureras. Mer information om vilka specifika privilegier som krävs finns i lämplig handbok för hanteringspaketet.

Konto för System Center-tjänsten för konfiguration och System Center-tjänsten för dataåtkomst

Kontot för System Center-konfigurationstjänsten och System Center-dataåtkomsttjänsten används av dessa System Center-tjänster för att uppdatera information i driftdatabasen. Autentiseringsuppgifterna som används för åtgärdskontot tilldelas rollen sdk_user i driftdatabasen.

Kontot måste vara av typen Domänanvändare eller Lokalt system. Kontot som används för SDK- och konfigurationstjänsten måste ha lokala administratörsrättigheter på alla hanteringsservrar i hanteringsgruppen. Det går inte att använda kontot Lokal användare. Av säkerhetsskäl rekommenderar vi att du använder ett annat konto än det som du använder som hanteringsserverns åtgärdskonto.

Information

Om Operations Manager-databasen är installerad på en annan dator än hanteringsservern och Lokalt System har valts för kontot för dataåtkomst och konfigurationstjänst tilldelas datorkontot för hanteringsservern rollen sdk_user på Operations Manager-datorn.

Konto för informationslagerskrivning

Kontot för informationslagerskrivning är det konto som används för att skriva data från hanteringsservern till rapportinformationslagret, och kontot läser data från Operations Manager-databasen. I följande tabell beskrivs de roller och medlemskap som tilldelas domänanvändarkontot under installationen.

ProgramDatabas/rollRoll/konto
Microsoft SQL ServerOperationsManagerdb_datareader
Microsoft SQL ServerOperationsManagerdwsync_user
Microsoft SQL ServerOperationsManagerDWOpsMgrWriter
Microsoftg SQL ServerOperationsManagerDWdb_owner
Operations ManagerAnvändarrollSäkerhetsadministratörer för Operations Manager-rapport
Operations ManagerKör som-kontoÅtgärdskonto för informationslager
Operations ManagerKör som-kontoDataläsarkonto för synkronisering av informationslagerkonfiguration

Dataläsarkonto

Dataläsarkontot används för att distribuera rapporter, definiera vilken användare som SQL Server Reporting Services använder för att köra frågor mot rapportinformationslagret och definiera SQL Reporting Services-kontot för anslutning till hanteringsservern. Det här domänanvändarkontot läggs till i användarprofilen Rapportadministratör. I följande tabell beskrivs de roller och medlemskap som tilldelas kontot under installationen.

ProgramDatabas/rollRoll/konto
Microsoft SQL ServerInstans för Reporting Services-installationKörningskonto för rapportserver
Microsoft SQL ServerOperationsManagerDWOpsMgrReader
Operations ManagerAnvändarrollRapportoperatörer för Operations Manager
Operations ManagerAnvändarrollSäkerhetsadministratörer för Operations Manager-rapport
Operations ManagerKör som-kontoKonto för distribution av informationslagerrapporter
Windows-tjänstSQL Server Reporting ServicesInloggningskonto

Se till att det konto som du planerar att använda för dataläsarkontot har rättigheterna Logga in som en tjänst och Tillåt lokal inloggningen för varje hanteringsserver och SQL Server som värd för Reporting Server-rollen.

Konto för agentinstallation

När du utför identifieringsbaserad agentdistribution krävs ett konto med administratörsbehörighet för agentinstallationens måldatorer. Åtgärdskontot för hanteringsservern är standardkontot för agentinstallation. Om åtgärdskontot för hanteringsservern inte har administratörsbehörighet måste operatören ange ett användarkonto och lösenord med administratörsrättigheter på måldatorerna. Det här kontot krypteras innan det används. Därefter kastas det.

Konto för meddelandeåtgärd

Kontot för meddelandeåtgärder är det konto som används för att skapa och skicka aviseringar. Dessa autentiseringsuppgifter måste ha tillräcklig behörighet för SMTP-servern, snabbmeddelandeservern eller SIP-servern som används för aviseringar.

© 2017 Microsoft