Operations Manager-Konten
Veröffentlicht: März 2016
Betrifft: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Für die Kommunikation mit verschiedenen Teilen der Überwachungsinfrastruktur werden von der Verwaltungsgruppe von System Center 2012 – Operations Manager zwei Konten benötigt: das Verwaltungsserver-Aktionskonto und das Konto des System Center-Konfigurationsdienst- und des System Center-Datenzugriffdiensts. Während der Installation werden Sie aufgefordert, Anmeldeinformationen für diese Konten anzugeben.
Bei der Installation der Berichterstattung müssen Sie Anmeldeinformationen für zwei weitere Konten angeben: das Data Warehouse-Schreibkonto und das Datenlesekonto.
Wenn Sie einen Agent installieren, werden Sie aufgefordert, Anmeldeinformationen für das Computerermittlungskonto und das Agentaktionskonto einzugeben. Zudem werden Sie aufgefordert, ein Konto anzugeben, das über Administratorrechte auf den Computern verfügt, auf denen der Agent installiert wird.
Aktionskonto
Mit dem Aktionskonto werden Informationen über den verwalteten Computer erfasst und Antworten auf diesem Computer ausgeführt. Bei dem verwalteten Computer handelt es sich entweder um einen Verwaltungsserver oder um einen Computer, auf dem ein Agent installiert ist. Die Prozesse MonitoringHost.exe werden mit dem Aktionskonto oder einem bestimmten ausführenden Konto ausgeführt. Unter Umständen werden jeweils mehrere MonitoringHost.exe-Prozesse auf dem Agent ausgeführt.
Zu den Aktionen, die MonitoringHost.exe durchführt, gehören u. a. folgende:
Überwachen und Sammeln von Windows-Ereignisprotokolldaten
Überwachen und Sammeln von Windows-Leistungsindikatordaten
Überwachen und Sammeln von WMI-Daten
Ausführen von Aktionen als Skripts oder Batches
Die Trennung von Integritätsdienstprozess und Prozess MonitoringHost.exe (in einfacher oder mehrfacher Verwendung) hat folgenden Vorteil: Vom Auftreten einer Verzögerung oder eines Fehlers bei der Ausführung eines Skripts auf einem verwalteten Computer sind weder die Funktionalität des Operations Manager-Diensts noch andere Antworten auf dem verwalteten Computer betroffen.
Das Aktionskonto kann durch das Standardaktionskonto verwaltet werden, das sich im Arbeitsbereich Verwaltung in Ausführende Profile befindet.
Verwenden eines gering privilegierten Kontos
Bei der Installation von Operations Manager haben Sie die Möglichkeit, ein Domänenkonto festzulegen oder sich für die Verwendung des lokalen Systems zu entscheiden. Sicherer ist die Verwendung eines Domänenkontos, mit dem Sie einen Benutzer auswählen können, der nur über die nötigsten Berechtigungen für Ihre Umgebung verfügt.
Für das Agentaktionskonto können Sie ein gering privilegiertes Konto verwenden. Auf Computern unter Windows Server 2003 und Windows Vista muss das Konto über folgende Mindestberechtigungen verfügen:
Mitgliedschaft in der lokalen Benutzergruppe
Mitgliedschaft in der lokalen Gruppe der Leistungsmonitorbenutzer
Berechtigung „Lokal anmelden zulassen“ (SeInteractiveLogonRight)
Wichtig |
---|
Bei den oben beschriebenen Mindestberechtigungen handelt es sich um die niedrigsten erforderlichen Berechtigungen, die von Operations Manager für das Aktionskonto unterstützt werden. Andere Ausführungen als Konten können niedrigere Berechtigungen haben. Welche Berechtigungen für das Aktionskonto und die ausführenden Konten tatsächlich erforderlich sind, hängt von den auf dem Computer ausgeführten Management Packs und deren Konfiguration ab. Weitere Informationen zu den jeweils erforderlichen Berechtigungen finden Sie im Handbuch des entsprechenden Management Packs. |
Beachten Sie bei der Festlegung der Anmeldeinformationen für das Verwaltungsserver-Aktionskonto Folgendes:
Ein gering privilegiertes Konto kann nur auf Computern unter Windows Server 2003 bzw. Windows Vista verwendet werden. Auf Computern unter Windows 2000 und Windows XP muss das Aktionskonto ein Mitglied der lokalen Sicherheitsgruppe Administratoren oder des lokalen Systems sein.
Die Verwendung eines gering privilegierten Kontos erfordert eine Kennwortaktualisierung, die mit Ihren Kennwortablaufrichtlinien übereinstimmt.
Die Ausnahmeüberwachung ohne Agent (AEM, Agentless Exception Monitoring) kann auf einem Verwaltungsserver nicht mit einem Aktionskonto mit geringen Rechten aktiviert werden.
Dem Aktionskonto muss über eine lokale oder globale Richtlinie die Berechtigung „Verwalten von Überwachungs- und Sicherheitsprotokollen“ zugewiesen werden, wenn ein Management Pack das Ereignis im Sicherheitsereignisprotokoll lesen soll.
Aktionskonten und die Operations Manager-Datenbank
Bei der Installation haben Sie Anmeldeinformationen für das Aktionskonto zugewiesen. Standardmäßig verfügt das Aktionskonto über Zugriff auf die Operations Manager-Datenbank. Um die Sicherheit zu erhöhen, können Sie dem Aktionskonto die Zugriffsrechte für die Operations Manager-Datenbank entziehen und ein neues separates ausführendes Konto für den Zugriff auf die Operations Manager-Datenbank erstellen.
System Center-Konfigurationsdienst- und System Center-Datenzugriffsdienst-Konto
Das System Center-Konfigurationsdienst- und System Center-Datenzugriffsdienstkonto wird vom System Center-Datenzugriffsdienst und vom System Center-Verwaltungskonfigurationsdienst verwendet, um Informationen in der Operations Manager-Datenbank zu aktualisieren. Die für das Aktionskonto verwendeten Anmeldeinformationen werden der Rolle „sdk_user“ in der Operations Manager-Datenbank zugewiesen.
Das SDK- und Konfigurationsdienstkonto muss auf dem Stammverwaltungsserver über lokale Administratorrechte verfügen. Bei dem Konto sollte es sich entweder um einen Domänenbenutzer oder um das lokale System handeln. Die Verwendung des lokalen Benutzerkontos wird nicht unterstützt. Es wird empfohlen, ein anderes Konto als das zu verwenden, das für das Verwaltungsserver-Aktionskonto verwendet wird.
Agentinstallationskonto
Wenn Sie die auf Ermittlung basierende Agentbereitstellung implementieren, werden Sie zur Eingabe eines Kontos mit Administratorprivilegien aufgefordert. Mit diesem Konto wird der Agent auf dem Computer installiert; daher muss es sich um einen lokalen Administrator auf allen Computern handeln, auf denen Sie Agents bereitstellen. Dieses Konto wird vor der Verwendung verschlüsselt und anschließend verworfen.
Benachrichtigungsaktionskonto
Dieses Aktionskonto wird zum Erstellen und Senden von Benachrichtigungen verwendet. Vergewissern Sie sich, dass die für dieses Konto verwendeten Anmeldeinformationen über ausreichende Berechtigungen für den SMTP-Server, den Instant Messaging-Server oder den SIP-Server verfügen, den Sie für Benachrichtigungen verwenden.
Siehe auch
Implementieren von Benutzerrollen
Verwalten des Zugriffs in Operations Manager
Erstellen Sie ein neues Aktionskonto in Operations Manager
Wie verwalten den Berichtsserver unbeaufsichtigte Ausführung in Operations Manager berücksichtigen
Steuern des Zugriffs mithilfe des Sperrtools des Integritätsdiensts von Operations Manager
Accessing UNIX and Linux Computers in Operations Manager (Zugriff auf UNIX- und Linux-Computer in Operations Manager)
Verwalten von ausführenden Konten und Profilen