本文件已封存並已停止維護。

Operations Manager 2007 的帳戶資訊

更新日期: 2009年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

在安裝和操作 Operations Manager 2007 期間,系統會要求您提供數個帳戶的認證。本節一開始將提供關於動作帳戶的資訊。本節也提供其他帳戶的相關資訊,例如 SDK 和設定服務、代理程式安裝、資料倉儲寫入以及資料讀取器帳戶。

什麼是動作帳戶?

各種 Operations Manager 2007 伺服器角色、Root Management Server、管理伺服器、閘道伺服器和代理程式均包含名為 MonitoringHost.exe 的處理序。每個伺服器角色都會使用 MonitoringHost.exe 來完成監視作業,例如執行監視或執行工作。例如,當代理程式訂閱事件記錄檔來讀取事件時,就是由 MonitoringHost.exe 處理序來執行這些作業。MonitoringHost.exe 處理序執行的帳戶便稱為動作帳戶。在代理程式上執行的 MonitoringHost.exe 處理序,其動作帳戶稱為代理程式動作帳戶。MonitoringHost.exe 處理序在管理伺服器上使用的動作帳戶稱為管理伺服器動作帳戶。MonitoringHost.exe 處理序在閘道伺服器上使用的動作帳戶稱為閘道伺服器動作帳戶。

代理程式動作帳戶

除非動作已與某個執行身分設定檔建立關聯,否則用來執行該動作的認證將是針對動作帳戶定義的認證。如需執行身分設定檔的詳細資訊,請參閱本指南中的Operations Manager 2007 中的執行身分帳戶與執行身分設定檔。動作的一些範例如下:

  • 監視與收集 Windows 事件記錄資料

  • 監視與收集 Windows 效能計數器資料

  • 監視與收集 Windows Management Instrumentation (WMI) 資料

  • 執行指令碼或批次等動作

MonitoringHost.exe 處理序會使用動作帳戶中指定的認證執行這些動作。系統會為每個帳戶建立一個新的 MonitoringHost.exe 執行個體。

使用低權限帳戶

當您安裝 Operations Manager 2007 時,可以選擇以下其中一個選項來指派動作帳戶:

  • 本機系統

  • 網域或本機帳戶

常見的作法是指定網域帳戶,讓您選取對您的環境具有最低必要權限的使用者。

在執行 Windows Server 2003、Windows Server 2003 R2 和 Windows Vista 作業系統的電腦上,預設動作帳戶必須具有下列最低權限:

  • 本機 Users 群組的成員

  • 本機 Performance Monitor Users 群組的成員

  • 允許本機登入權限 (SetInteractiveLogonRight)

Important重要事項
上述最低權限為 Operations Manager 2007 對於動作帳戶所能支援的最低權限。其他執行身分帳戶可具備較低權限。執行身分帳戶所需的實際權限,將依照電腦上正在執行的管理組件與管理組件的設定方式而定。有關所需特定權限的詳細資訊,請參閱適當的管理組件指南。

選擇動作帳戶的認證時,請牢記下列要點:

  • 低權限帳戶只能夠在執行 Windows Server 2003、Windows Server 2003 R2 和 Windows Vista 的電腦上使用。在執行 Windows 2000 和 Windows XP 的電腦上,動作帳戶必須是本機 Administrators 安全性群組或本機系統的成員。

  • 用來監視網域控制站的代理程式只需要低權限帳戶。

  • 使用網域帳戶時,需遵循貴企業的密碼到期原則更新密碼。

  • 如果動作帳戶設定使用低權限帳戶,且低權限帳戶是在 System Center 管理服務執行時新增至必要的群組,則您必須停止再啟動 System Center 管理服務。

通知動作帳戶

通知動作帳戶是使用者建立來設定通知的執行身分帳戶。此動作帳戶是用來建立及傳送通知。請確認您在此帳戶中使用的認證具有足夠的權限,能夠登入用於執行通知的 SMTP 伺服器、立即訊息伺服器或 SIP 伺服器。

如果您變更為通知動作帳戶輸入之認證的密碼,則必須針對執行身分帳戶進行相同的密碼變更。

管理動作帳戶認證

針對您選擇的帳戶,Operations Manager 會判斷密碼到期日,並在帳戶到期前 14 天產生警示。當您在 Active Directory 中變更密碼時,可以在 [執行身分帳戶內容] 頁面的 [帳戶] 索引標籤上,變更 Operations Manager 中動作帳戶的密碼。如需管理動作帳戶認證的詳細資訊,請參閱 How to Change the Credentials for the Action Account in Operations Manager (如何在 Operations Manager 中變更動作帳戶的認證) (http://go.microsoft.com/fwlink/?LinkId=88304)。

您可以使用 Windows PowerShell 指令碼 set-ActionAccount.ps1,在多台電腦上設定動作帳戶。如需詳細資訊,請參閱 SC Ops Mgr 2007 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=92596)。此指令碼可讓您在電腦群組中定義的所有電腦上設定動作帳戶。請參閱安全性指南中的<如何在 Operations Manager 2007 中於多台電腦上設定動作帳戶>。

SDK 和設定服務帳戶

SDK 和設定服務帳戶是一組認證,供 System Center 資料存取服務及 System Center 管理設定服務用來更新和讀取 Operations Manager 資料庫中的資訊。Operations Manager 會確認 SDK 和設定動作帳戶所使用的認證將指派到 Operations Manager 資料庫中的 sdk_user 角色。SDK 和設定服務帳戶可設定為本機系統或網域帳戶,但不支援本機使用者帳戶。

如果 Root Management Server 和 Operations Manager 資料庫位於不同電腦上,SDK 和設定服務帳戶將需要變更為網域帳戶。為了安全起見,建議您使用與管理伺服器動作帳戶不同的帳戶。若要變更這些帳戶,請參閱知識庫文章:如何在 Microsoft System Center Operations Manager 2007 中變更 OpsMgr SDK 服務和 OpsMgr 設定服務的認證 (http://go.microsoft.com/fwlink/?LinkId=112435) (此為機器翻譯文章)。

代理程式安裝帳戶

執行探索型代理程式部署時,系統會提示您使用具備系統管理員使用者權限的帳戶。此帳戶是用來在電腦上安裝代理程式,因此必須是您要部署代理程式的所有目標電腦上的本機系統管理員。管理伺服器動作帳戶是安裝代理程式的預設帳戶。如果管理伺服器動作帳戶不具備系統管理員權限,請選取 [其他使用者帳戶],然後鍵入具有系統管理員權限的帳戶。此帳戶在使用前會先經過加密,使用後即捨棄。

資料倉儲寫入帳戶

資料倉儲寫入帳戶會將資料從 Root Management Server 或管理伺服器寫入報表資料倉儲,並從 Operations Manager 資料庫讀取資料。您為此帳戶提供的認證將根據應用程式建立角色的成員,如下表所述。

 

應用程式 資料庫/角色 角色/帳戶

Microsoft SQL Server 2005

OperationsManager

db_datareader

Microsoft SQL Server 2005

OperationsManager

dwsync_user

Microsoft SQL Server 2005

OperationsManagerDW

OpsMgrWriter

Microsoft SQL Server 2005

OperationsManagerDW

db_owner

Operations Manager 2007

使用者角色

Operations Manager 報表安全性系統管理員

Operations Manager 2007

[執行身分帳戶]

資料倉儲動作帳戶

Operations Manager 2007

[執行身分帳戶]

資料倉儲設定同步處理讀取器帳戶

如果您變更為資料倉儲寫入帳戶輸入之認證的密碼,則必須針對下列帳戶進行相同的密碼變更:

  • 名為資料倉儲動作帳戶的執行身分帳戶

  • 名為資料倉儲設定同步處理讀取器帳戶的執行身分帳戶

資料讀取器帳戶

此帳戶可用來部署報表、定義 SQL Reporting Services 用來針對報表資料倉儲執行查詢的使用者,以及供 SQL Reporting Services IIS 應用程式集區帳戶連線到 Root Management Server。此帳戶會新增至報表系統管理員使用者設定檔。

您為此帳戶提供的認證將根據應用程式建立角色的成員,如下表所述。

 

應用程式 資料庫/角色 角色/帳戶

Microsoft SQL Server 2005

報表伺服器安裝執行個體

報表伺服器執行帳戶

Microsoft SQL Server 2005

OperationsManagerDW

OpsMgrReader

Operations Manager 2007

使用者角色

Operations Manager 報表安全性系統管理員

Operations Manager 2007

使用者角色

Operations Manager 報表操作員

Operations Manager 2007

[執行身分帳戶]

資料倉儲報表部署帳戶

IIS

應用程式集區

ReportServer$<INSTANCE>

Windows 服務

SQL Server Reporting Services

登入帳戶

如果您變更為資料讀取器帳戶輸入之認證的密碼,則必須針對下列帳戶進行相同的密碼變更:

  • 報表伺服器執行帳戶

  • 主控 SQL Server Reporting Services (SRS) 之電腦上的 SQL Server Reporting Services 服務帳戶

  • IIS ReportServer$<INSTANCE> 應用程式集區帳戶

  • 名為資料倉儲報表部署帳戶的執行身分帳戶

另請參閱

 
顯示: