Distribuzione e destinazione per account e profili RunAs
Gli account RunAs vengono associati ai profili RunAs per offrire le credenziali necessarie e consentire la corretta esecuzione dei flussi di lavoro che utilizzano un profilo RunAs. Per garantire il funzionamento appropriato del profilo RunAs, è necessario configurare correttamente la distribuzione e la definizione della destinazione degli account RunAs.
Quando si configura un profilo RunAs, è necessario selezionare gli account RunAs da associare al profilo. Per creare tale associazione, è necessario specificare la classe, il gruppo o l'oggetto che verrà gestito tramite l'account RunAs, come illustrato nella figura seguente. In tal modo si stabilisce la destinazione dell'account RunAs.
La distribuzione è un attributo dell'account RunAs che consente di specificare quali computer riceveranno le credenziali dell'account RunAs. È possibile scegliere di distribuire le credenziali dell'account RunAs a tutti i computer gestiti tramite agente o solo a computer selezionati.
Esempio di destinazione e distribuzione dell'account RunAs:
il computer fisico ABC ospita due istanze di Microsoft SQL Server, ovvero l'istanza X e l'istanza Y. Per ogni istanza viene utilizzato un diverso set di credenziali per l'account sa . Si crea un account RunAs con le credenziali sa per l'istanza X e un diverso account RunAs con le credenziali sa per l'istanza Y. Quando si configura il profilo RunAs SQL Server, si associano al profilo entrambe le credenziali dell'account RunAs per le istanze X e Y; quindi, si specifica di utilizzare le credenziali dell'istanza Y dell'account RunAs per l'istanza X di SQL Server e le credenziali Y dell'account RunAs per l'istanza Y di SQL Server. Infine, si configura ciascun set di credenziali dell'account RunAs affinché venga distribuito al computer fisico ABC.
Selezione di una destinazione per un account RunAs
Come illustrato nell'immagine precedente, le opzioni disponibili per la selezione di una destinazione per l'account RunAs sono Tutti gli oggetti di destinazione e Classe, gruppo o oggetto selezionato.
Quando si seleziona Tutti gli oggetti di destinazione, il profilo RunAs utilizzerà questo account RunAs per tutti gli oggetti dei flussi di lavoro in cui viene utilizzato il profilo RunAs.
Quando si seleziona Classe, gruppo o oggetto selezionato, è possibile limitare l'uso dell'account RunAs alla classe, al gruppo o all'oggetto specificato.
Nota
Le credenziali dell'account RunAs devono essere distribuite nei sistemi specifici gestiti dall'agente con cui deve essere autenticata la credenziale RunAs prima di configurare il profilo RunAs.
Confronto tra distribuzione più sicura e meno sicura
Operations Manager distribuisce le credenziali dell'account RunAs a tutti i computer gestiti dall'agente (opzione meno sicura) o solo ai computer specificati (opzione più sicura). L'eventuale distribuzione automatica dell'account RunAs in base all'individuazione comporterebbe un rischio per la sicurezza dell'ambiente, come illustrato di seguito. È per questo motivo che in Operations Manager non è disponibile un'opzione per la distribuzione automatica.
Ad esempio, Operations Manager identifica un computer come host di SQL Server 2014 in base alla presenza di una chiave del Registro di sistema. È possibile creare la stessa chiave del Registro di sistema in un computer che non esegue effettivamente un'istanza di SQL Server 2014. Se Operations Manager distribuisce automaticamente le credenziali a tutti i computer gestiti dall'agente identificati come computer SQL Server 2014, le credenziali verranno inviate all'impostante SQL Server e saranno disponibili per un utente con diritti di amministratore su tale server.
Quando si crea un account RunAs, viene richiesto di scegliere se l'account RunAs deve essere trattato in modo Meno protetto o Più protetto . Più protetto significa che quando si associa l'account RunAs a un profilo RunAs, è necessario specificare i nomi dei computer a cui distribuire le credenziali RunAs. La corretta identificazione dei computer di destinazione consente di evitare lo scenario di spoofing descritto in precedenza. Con l'opzione Meno protetto, invece, non è necessario specificare i singoli computer e le credenziali vengono distribuite a tutti i computer gestiti tramite agente.
Nota
Operations Manager esegue dei test per convalidare le credenziali RunAs, inclusa la verifica della possibilità di utilizzare le credenziali per effettuare l'accesso al computer in locale. Se l'account non dispone del diritto per l'accesso in locale, verrà generato un avviso.
Passaggi successivi
- Per informazioni su come creare un account RunAs, su come modificare un account RunAs esistente e su come configurare un profilo RunAs per l'uso di un account RunAs, vedere How to Create a RunAs Account (Come creare un account RunAs) e Associare a un profilo RunAs.