Udostępnij za pośrednictwem

  • Artykuł

Konta programu Operations Manager

 

Opublikowano: marzec 2016

Dotyczy: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Grupa zarządzania programu System Center 2012 – Operations Manager wymaga do komunikacji z różnymi składnikami infrastruktury monitorowania dwóch kont: konta działania serwera zarządzania oraz konta usług System Center Configuration i System Center Data Access. Podczas instalacji należy określić poświadczenia dla tych kont.

W przypadku instalowania usługi raportowania należy określić poświadczenia dla dwóch dodatkowych kont: konta zapisu w magazynie danych oraz konta Czytnik danych.

Podczas instalowania agenta będzie wymagane podanie poświadczeń dla konta odnajdywania komputerów oraz konta działania agenta. Zostanie również wyświetlony monit o określenie konta z uprawnieniami administratora na komputerach, na których zostanie zainstalowany agent.

Konto działania

Konto działania służy do zbierania informacji o zarządzanym komputerze i uruchamiania na nim odpowiedzi (zarządzany komputer pełniący rolę serwera zarządzania lub komputer z zainstalowanym agentem). Procesy MonitoringHost.exe są uruchamiane przy użyciu konta działania lub określonego konta Uruchom jako. W danym momencie w agencie może działać więcej niż jeden proces MonitoringHost.exe.

Wyróżnia się następujące działania realizowane przez MonitoringHost.exe:

  • Monitorowanie i zbieranie danych dziennika zdarzeń systemu Windows

  • Monitorowanie i zbieranie danych licznika wydajności systemu Windows

  • Monitorowanie i zbieranie danych usługi Windows Management Instrumentation (WMI)

  • Uruchamianie działań, takich jak skrypty lub partie.

Rozdzielenie procesu usługi kondycji od jednego i wielu zastosowań procesu MonitoringHost powoduje, że w przypadku zatrzymania lub nieprawidłowego działania skryptu uruchomionego na zarządzanym komputerze nie wpłynie to na funkcjonalność usługi Operations Manager ani innych odpowiedzi.

Kontem działania można zarządzać za pomocą domyślnego konta działania dostępnego w części Profile Uruchom jako w obszarze roboczym Administracja.

Używanie kona z mniejszymi uprawnieniami

Podczas instalacji programu Operations Manager istnieje możliwość określenia konta domeny lub wybrania systemu lokalnego. Bardziej bezpieczną metodą jest określenie konta domeny, co umożliwia wybranie użytkownika z najmniejszą ilością uprawnień wymaganych w danym środowisku.

W ramach konta działania agenta można używać konta z niskimi uprawnieniami. Na komputerach z uruchomionym systemem Windows Server 2003 lub Windows Vista konto musi mieć co najmniej następujące uprawnienia:

  • Członek lokalnej grupy użytkowników

  • Członek lokalnej grupy użytkowników monitora wydajności

  • Uprawnienie „Zezwalaj na logowanie lokalne” (SetInteractiveLogonRight)

System_CAPS_importantWażne

Opisane powyżej minimalne uprawnienia są najniższymi uprawnieniami konta działania obsługiwanymi przez program Operations Manager. Inne konta Uruchom jako mogą mieć niższe uprawnienia. Rzeczywiste uprawnienia wymagane do konta działania i kont Uruchom jako będą zależeć od pakietów administracyjnych uruchomionych na komputerze oraz ich konfiguracji. Więcej informacji o wymaganych uprawnieniach znajduje się w odpowiednim przewodniku po pakiecie administracyjnym.

Wybierając poświadczenia dla konta działania serwera zarządzania, należy zwrócić uwagę na następujące punkty:

  • Konta z niskimi uprawnieniami można używać tylko na komputerach z systemami Windows Server 2003 i Windows Vista. Na komputerach z systemami Windows 2000 i Windows XP konto działania musi należeć do lokalnej grupy zabezpieczeń administratorów lub do systemu lokalnego.

  • W celu używania konta domeny z niskimi uprawnieniami należy zaktualizować hasło zgodnie z zasadami wygasania haseł.

  • Nie można włączyć funkcji monitorowania wyjątku bez agenta (AEM) na serwerze zarządzania z kontem działania z niskimi uprawnieniami.

  • Gdy pakiet administracyjny jest przeznaczony do odczytu zdarzeń w dzienniku zdarzeń zabezpieczeń, do konta działania należy przypisać przy użyciu lokalnych lub globalnych zasad uprawnienie Zarządzaj dziennikiem inspekcji i zabezpieczeń.

Konta działania i baza danych programu Operations Manager

Poświadczenia przypisuje się do konta działania podczas instalacji. Domyślnie konto działania ma dostęp do bazy danych programu Operations Manager. Aby zwiększyć poziom zabezpieczeń, można wyłączyć na koncie działania dostęp do bazy danych programu Operations Manager i utworzyć nowe, odrębne konto Uruchom jako przeznaczone do tego celu.

Konto usług System Center Configuration i System Center Data Access

Konto usług System Center Configuration i System Center Data Access jest używane przez te usługi do aktualizowania informacji w bazie danych programu Operations Manager. Poświadczenia używane w ramach konta działania zostaną przypisane do roli sdk_user w bazie danych programu Operations Manager.

Konto używane jako konto zestawu SDK i usługi konfiguracji musi mieć lokalne uprawnienia administracyjne na komputerze pełniącym rolę głównego serwera zarządzania. To konto powinno zostać skonfigurowane jako konto użytkownika domeny lub systemu lokalnego. Konto użytkownika lokalnego nie jest obsługiwane. Zalecamy używanie innego konta niż tego używanego w ramach konta działania serwera zarządzania.

Konto instalacji agenta

Podczas implementowania wdrożenia agenta opartego na odnajdywaniu zostanie wyświetlony monit o określenie konta z uprawnieniami administratora. To konto służy do instalowania agenta na komputerze, dlatego musi mieć uprawnienia administratora lokalnego na wszystkich komputerach, na których agenci są wdrażani. Przed rozpoczęciem używania tego konta zostaje ono zaszyfrowane, a następnie odrzucone.

Konto działania powiadomień

To jest konto działania używane do tworzenia i wysyłania powiadomień. Upewnij się, że poświadczenia tego konta zapewniają wystarczające uprawnienia na serwerze SMTP, serwerze wiadomości błyskawicznych lub serwerze SIP używanym do obsługi powiadomień.