Table of contents
TOC
Minimera innehållsförteckningen
Maximera innehållsförteckningen

Konton och profiler för Kör som

Matt Goedtel|Senast uppdaterad: 2016-12-01
|
1 Medverkande

Gäller för: System Center 2016 – Operations Manager

Kör som-konton definierar vilka autentiseringsuppgifter som ska användas för särskilda åtgärder som utförs av Operations Manager-agenten. Dessa konton hanteras centralt via driftkonsolen och tilldelas till olika Kör som-profiler. Om en Kör som-profil inte har kopplats till en viss åtgärd utförs den under kontot för standardåtgärder. I en miljö med låga behörigheter kanske standardkontot inte har de behörigheter som krävs för en viss åtgärd, och en Kör som-profil kan användas för att tillhandahålla denna behörighet. Hanteringspaket kan installera Kör som-profiler och Kör som-konton för att ge stöd för de åtgärder som krävs. Om detta är aktuellt läser du dokumentationen som innehåller information om eventuella obligatoriska konfigurationer.

Kör som-standardkonton

Följande tabell innehåller de Kör som-standardkonton som skapas under installationen av Operations Manager.

NamnBeskrivningInloggningsuppgifter
Domain\ManagementServerActionAccountDet här är det användarkonto som alla regler körs under som standard på hanteringsservrarna.Domänkonto som anges som hanteringsserverns åtgärdskonto under installationen.
Åtgärdskonto i lokalt systemInbyggt systemkonto som används som ett åtgärdskonto.Lokalt systemkonto i Windows
APM-kontoKonto för övervakning av programprestanda som används för att generera nycklar för kryptering av information som har samlats in från programmet under övervakningen.Krypterat binärt konto
Åtgärdskonto för informationslagerAnvänds för att autentisera med en SQL Server som är värd för OperationsManagerDW-databasen.Domänkonto som anges som konto för informationslagerskrivning under installationen.
Konto för distribution av informationslagerrapporterAnvänds för att autentisera mellan hanteringsservern och en SQL Server som är värd för Operations Manager Reporting Services.Domänkonto som anges som dataläsarkonto under installationen.
Lokalt Windows-konto för systemInbyggt SYSTEM-konto som används av åtgärdskontot för agenten.Lokalt systemkonto i Windows
Windows-konto för nätverkstjänstIntegrerat konto för nätverkstjänstNetworkService-konto i Windows

Kör som-standardprofiler

Följande tabell innehåller de Kör som-profiler som skapas under installationen av Operations Manager. Observera att standardåtgärdskontot (åtgärdskontot för hanteringsservern eller för agenten, beroende på var åtgärden finns) används om Kör som-kontot lämnas tomt för den specifika profilen.

NamnBeskrivningKör som-konto
Active Directory-baserat konto för agenttilldelningKonto som används av den Active Directory-baserade agenttilldelningsmodulen för att publicera tilldelningsinställningar till Active Directory.Lokalt Windows-konto för system
Konto för automatisk agenthanteringDet här kontot används för att automatiskt diagnostisera agentrelaterade fel.Inga
Åtgärdskonto för klientövervakningOm det här kontot anges används det av Operations Manager 2016 för att köra alla klientövervakningsmoduler. Om det här kontot inte anges använder Operations Manager standardåtgärdskontot.Inga
Den anslutna hanteringsgruppens kontoKonto som används av Operations Manager-hanteringspaketet för att övervaka anslutningsstatusen för de anslutna hanteringsgrupperna.Inga
InformationslagerkontoOm det här kontot har angetts används det för att köra alla insamlings- och synkroniseringsregler för informationslagret (i stället för standardåtgärdskontot). Om det här kontot inte åsidosätts av kontot för SQL-autentisering för informationslager används det av insamlings- och synkroniseringsregler för att ansluta till informationslagerdatabaserna med Windows-integrerad autentisering.Inga
Konto för distribution av informationslagerrapporterDet här kontot används i processerna för automatisk distribution av informationslagerrapporter för att köra olika typer av distributionsrelaterade åtgärder.Konto för distribution av informationslagerrapporter
Konto för SQL Server-autentisering för informationslagerOm det här kontot anges används det här inloggningsnamnet och lösenordet av insamlings- och synkroniseringsregler för att ansluta till informationslagerdatabaserna med SQL Server-autentisering.Konto för SQL Server-autentisering för informationslager
MPUpdate-åtgärdskontoDet här kontot används av MPUpdate-meddelaren.Inga
MeddelandekontoWindowskonto som används med meddelandereglerna. Använd det här kontots e-postadress som ”Från”-adress för e-post- och snabbmeddelanden.Inga
Driftdatabasens kontoDet här kontot används för att läsa och skriva information till Operations Manager-databasen.Inga
Privilegierat övervakningskontoDen här profilen används för övervakning, som bara kan göras med hög behörighetsnivå i ett system, t.ex. övervakning som kräver behörigheterna Lokalt system eller Lokal administratör. Standardvärdet är Lokalt system om inställningen inte åsidosätts för ett målsystem.Inga
Konto för SQL Server-autentisering för Reporting SDKOm det här kontot anges används det här inloggningsnamnet och lösenordet av SDK Service för att ansluta till informationslagerdatabaserna med SQL Server-autentisering.Konto för SQL Server-autentisering för Reporting SDK
ReserveradDen här profilen är reserverad och får inte användasInga
Konto för verifiering av varningsprenumerationKonto som används av modulen för verifiering av varningsprenumeration, som kontrollerar att aviseringsprenumerationen finns inom omfånget. Den här profilen måste ha administratörsbehörighet.Lokalt Windows-konto för system
SNMP-övervakningskontoDet här kontot används för SNMP-övervakning.Inga
SNMPv3-övervakningskontoDet här kontot används för SNMPv3-övervakning.Inga
UNIX-/Linux-åtgärdskontoDet här kontot används för UNIX- och Linux-åtkomst med låg behörighet.Inga
UNIX/Linux agentunderhållskontoDet här kontot används för privilegierade underhållsuppgifter för UNIX- och Linux-agenter. Utan det här kontot fungerar inte kontoagentens underhållsåtgärder.Inga
UNIX-/Linux-behörighetskontoDet här kontot används för att ge tillgång till skyddade UNIX- och Linux-resurser och åtgärder som kräver högre behörighet. Utan det här kontot är det vissa regler, diagnosverktyg och återställningar som inte fungerar.Inga
Windows-klusteråtgärdskontoDen här profilen används för all identifiering och övervakning av Windows-klusterkomponenter. Den här profilen använder åtgärdskontot som standard, om det inte anges av användaren.Inga
Åtgärdskonto för WS-hanteringDen här profilen används för åtkomst till WS-Management.Inga

Så här fungerar distribution och mål

Både Kör som-kontodistributionen och Kör som-kontomålen måste vara korrekt konfigurerade för att Kör som-profilen ska fungera korrekt.

När du konfigurerar en Kör som-profil väljer du de Kör som-konton som du vill koppla till Kör som-profilen. När du har skapat kopplingen kan du ange vilken klass, vilken grupp eller vilket objekt som Kör som-kontot ska användas med och köra uppgifter, regler, övervakare och identifieringar mot.

Distribution är ett attribut för ett Kör som-konto och du kan ange vilka datorer som ska få Kör som-kontots autentiseringsuppgifter. Du kan välja att distribuera Kör som-kontots autentiseringsuppgifter till alla agenthanterade datorer eller bara till utvalda datorer.

Exempel på Kör som-kontomål: Den fysiska datorn ABC är värd för två instanser av Microsoft SQL Server, instans X och instans Y. Varje instans använder en egen uppsättning autentiseringsuppgifter för SA-kontot. Du skapar ett Kör som-konto med SA-autentiseringsuppgifterna för instans X, och ett annat Kör som-konto med SA-autentiseringsuppgifterna för instans Y. När du konfigurerar Kör som-profilen för SQL Server kopplar du autentiseringsuppgifterna för Kör som-kontona för både instans X och Y till profilen. Du anger att autentiseringsuppgifterna för Kör som-kontot X ska användas för SQL Server-instans X och att autentiseringsuppgifterna för Kör som-kontot Y ska användas för SQL Server-instans Y. Därefter måste du också konfigurera varje uppsättning autentiseringsuppgifter för Kör som-kontona så att de distribueras till den fysiska datorn ABC.

Exempel på Kör som-kontodistribution: SQL Server1 och SQL Server2 är två olika fysiska datorer. SQL Server1 använder autentiseringsuppgifterna Användarnamn1 och Lösenord1 för SA-kontot för SQL. SQL Server2 använder autentiseringsuppgifterna Användarnamn2 och Lösenord2 för SA-kontot för SQL. SQL-hanteringspaketet har en enda Kör som-profil för SQL som används för alla SQL-servrar. Du kan definiera ett Kör som-konto för Användarnamn1-autentiseringsuppgifterna och ett annat Kör som-konto för Användarnamn2-autentiseringsuppgifterna. Båda dessa Kör som-konton kan associeras med den enda Kör som-profilen för SQL Server och kan konfigureras så att de distribueras till lämpliga datorer. Användarnamn1 distribueras alltså till SQL Server1 och Användarnamn2 distribueras till SQL Server2. Kontoinformation som skickas mellan hanteringsservern och den angivna datorn krypteras.

Säkerhet för Kör som-konton

I System Center 2016 – Operations Manager distribueras autentiseringsuppgifterna för ett Kör som-konto endast till de datorer som du anger (det säkrare alternativet). Om Operations Manager skulle distribuera Kör som-kontot automatiskt medför detta en säkerhetsrisk för din miljö, som du ser i exemplet nedan. Det är därför det inte har tagits med något alternativ för automatisk distribution i Operations Manager.

Operations Manager kan till exempel identifiera en dator som värd för SQL Server 2016 baserat på förekomsten av en registernyckel. Det går att skapa samma registernyckel på en dator som inte kör en instans av SQL Server 2016. Om Operations Manager automatiskt skulle distribuera autentiseringsuppgifterna till alla agenthanterade datorer som har identifierats som SQL Server 2016-datorer, skulle autentiseringsuppgifterna skickas till den falska instansen av SQL Server och vara tillgängliga för alla användare med administratörsbehörighet på den servern.

När du skapar ett Kör som-konto med hjälp av Operations Manager 2016 uppmanas du att välja om Kör som-kontot ska hanteras på ett mindre säkert eller säkrare sätt. Säkrare innebär att du när du kopplar Kör som-kontot till en Kör som-profil måste ange de specifika datornamn som du vill att Kör som-autentiseringsuppgifterna ska distribueras till. Genom att helt säkert identifiera måldatorerna kan du förhindra den bedrägeristuation som beskrevs tidigare. Om du väljer det mindre säkra alternativet behöver du inte ange några specifika datorer och autentiseringsuppgifterna distribueras till alla agenthanterade datorer.

Information

De autentiseringsuppgifter som du väljer för Kör som-kontot måste minst ha behörighet för lokal inloggning. Annars returnerar modulen fel.

© 2017 Microsoft