Account di servizio, utente e sicurezza
Durante l'installazione e le operazioni quotidiane di Operations Manager, verrà chiesto di fornire le credenziali per diversi account. Questo articolo fornisce informazioni su ognuno di questi account, inclusi l'SDK e il servizio di configurazione, l'installazione dell'agente, la scrittura del data warehouse e gli account lettore dati.
Nota
L'installazione di Operations Manager effettua il provisioning di tutte le autorizzazioni SQL necessarie.
Se si usano account di dominio e l'oggetto Criteri di gruppo di dominio ha impostato i criteri di scadenza password predefiniti in base alle esigenze, sarà necessario modificare le password negli account del servizio in base alla pianificazione, usare gli account di sistema o configurare gli account in modo che le password non scadano mai.
Account azione
In System Center Operations Manager, i server di gestione, i server gateway e gli agenti eseguono tutti un processo denominato MonitoringHost.exe. MonitoringHost.exe viene usato per eseguire attività di monitoraggio, ad esempio l'esecuzione di un monitoraggio o l'esecuzione di un'attività. Gli altri esempi delle azioni MonitoringHost.exe eseguite includono:
- Monitoraggio e raccolta di dati del registro eventi Windows;
- Monitoraggio e raccolta di dati del contatore prestazioni Windows;
- Monitoraggio e raccolta di dati di Strumentazione gestione Windows (WMI);
- Esecuzione di azioni come script o batch
Un processo MonitoringHost.exe esegue le attività come account azione. MonitoringHost.exe è il processo che esegue queste azioni usando le credenziali specificate nell'account azione. Per ogni account viene creata una nuova istanza di MonitoringHost.exe. L'account azione per il processo di MonitoringHost.exe in esecuzione in un agente è denominato Account azione agente. L'account azione utilizzato dal processo di MonitoringHost.exe in un server di gestione è denominato account azione del server di gestione. L'account azione usato dal processo di MonitoringHost.exe in un server gateway è denominato account azione del server gateway. In tutti i server di gestione del gruppo di gestione è consigliabile concedere all'account diritti amministrativi locali, a meno che l'accesso con privilegi minimi non sia richiesto dai criteri di sicurezza IT dell'organizzazione.
A meno che un'azione non sia stata associata a un profilo RunAs, le credenziali usate per eseguire l'azione saranno quelle definite per l'account azione. Per altre informazioni sugli account RunAs e sui profili RunAs, vedere la sezione Account RunAs. Quando un agente esegue azioni come account azione predefinito e/o account RunAs, viene creata una nuova istanza di MonitoringHost.exe per ogni account.
Quando si installa Operations Manager, è possibile specificare un account di dominio o usare LocalSystem. L'approccio più sicuro consiste nello specificare un account di dominio, che consente di selezionare un utente con i privilegi minimi necessari per l'ambiente.
È possibile usare un account con privilegi minimi per l'account azione dell'agente. Nei computer che eseguono Windows Server 2008 R2 o versione successiva, l'account deve disporre dei privilegi minimi seguenti:
- Membro del gruppo di utenti locale
- Membro del gruppo locale utenti monitoraggio prestazioni
- Consentire l'accesso in locale (SetInteractiveLogonRight) (non applicabile per Operations Manager 2019 e versioni successive).
Nota
I privilegi minimi descritti in precedenza sono i privilegi minimi supportati da Operations Manager per l'account azione. Altri account RunAs possono disporre di privilegi più limitati. I privilegi effettivi necessari per l'account Azione e gli account RunAs dipendono dai Management Pack in esecuzione nel computer e da come vengono configurati. Per ulteriori informazioni sui privilegi specifici necessari, vedere la guida del Management Pack appropriato.
All'account di dominio specificato per l'account azione è possibile concedere l'autorizzazione Accesso come servizio (SeServiceLogonRight) o Accesso come batch (SeBatchLogonRight) se i criteri di sicurezza non consentono a un account del servizio di concedere una sessione interattiva di accesso, ad esempio quando è necessaria l'autenticazione tramite smart card. Modificare il valore del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Servizio integrità:
All'account di dominio specificato per l'account azione viene concessa l'autorizzazione Accesso come servizio (SeServiceLogonRight). Per modificare il tipo di accesso per il servizio integrità, modificare il valore del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Servizio integrità:
- Nome: Tipo di accesso processo di lavoro
- Digitare: REG_DWORD
- Valori: Quattro (4) - Accesso come batch, Due (2) - Consenti accesso locale e Cinque (5) - Accedi come servizio. Il valore predefinito è 2.
- Valori: Quattro (4) - Accesso come Batch, Due (2) - Consenti accesso locale e Cinque (5) - Accesso come servizio. Il valore predefinito è 5.
È possibile gestire centralmente l'impostazione usando Criteri di gruppo copiando il file healthservice.admx ADMX da un server di gestione o da un sistema gestito dall'agente che si trova nella cartella C:\Windows\PolicyDefinitions e configurando l'impostazione Monitoring Action Account Logon Type (Tipo di accesso account azione di monitoraggio) nella cartella Computer Configuration\Administrative Templates\System Center - Operations Manager. Per altre informazioni sull'uso dei file ADMX di Criteri di gruppo, vedere Gestione dei file ADMX di Criteri di gruppo.
Servizio di configurazione di System Center e account del servizio di accesso ai dati di System Center
Il servizio di configurazione di System Center e l'account del servizio di accesso ai dati di System Center vengono usati dai servizi System Center Data Access e System Center Management Configuration per aggiornare le informazioni nel database operativo. Le credenziali usate per l'account azione verranno assegnate al ruolo sdk_user nel database operativo.
L'account deve essere un utente di dominio o LocalSystem. All'account usato per l'SDK e l'account del servizio di configurazione devono essere concessi diritti amministrativi locali su tutti i server di gestione nel gruppo di gestione. L'uso dell'account utente locale non è supportato. Per una maggiore sicurezza, è consigliabile usare un account utente di dominio ed è un account diverso da quello usato per l'account azione del server di gestione. L'account LocalSystem è l'account con privilegi più elevati in un computer Windows, anche superiore a quello dell'amministratore locale. Quando un servizio viene eseguito nel contesto di LocalSystem, il servizio ha il controllo completo delle risorse locali del computer e l'identità del computer viene usata durante l'autenticazione e l'accesso alle risorse remote. L'uso dell'account LocalSystem è un rischio per la sicurezza perché non rispetta il principio dei privilegi minimi. A causa dei diritti richiesti nell'istanza di SQL Server che ospita il database di Operations Manager, è necessario un account di dominio con autorizzazioni con privilegi minimi per evitare eventuali rischi di sicurezza se il server di gestione nel gruppo di gestione viene compromesso. I motivi sono:
- LocalSystem non ha password
- Non ha un proprio profilo
- Dispone di privilegi estesi nel computer locale
- Presenta le credenziali del computer ai computer remoti
Nota
Se il database di Operations Manager è installato in un computer separato dal server di gestione e LocalSystem è selezionato per l'account del servizio accesso ai dati e configurazione, all'account computer del server di gestione viene assegnato il ruolo sdk_user nel computer di database di Operations Manager.
Per altre informazioni, vedere LocalSystem.
Account scrittura data warehouse
L'account di scrittura del data warehouse è l'account usato per scrivere dati dal server di gestione al data warehouse di reporting e legge i dati dal database di Operations Manager. Nella tabella seguente vengono descritti i ruoli e l'appartenenza assegnati all'account utente di dominio durante l'installazione.
| Applicazione | Database/ruolo | Ruolo/account |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Ruolo utente | Amministratori sicurezza report di Operations Manager |
| Operations Manager | account RunAs | Account azione data warehouse |
| Operations Manager | account RunAs | Account lettore sincronizzazione configurazione data warehouse |
Account lettore dati
L'account lettore dati viene usato per distribuire i report, definire l'utente usato da SQL Server Reporting Services per eseguire query sul data warehouse di Reporting e definire l'account di report SQL Services per connettersi al server di gestione. Questo account utente di dominio viene aggiunto al profilo utente amministratore report. Nella tabella seguente vengono descritti i ruoli e l'appartenenza assegnati all'account durante l'installazione.
| Applicazione | Database/ruolo | Ruolo/account |
|---|---|---|
| Microsoft SQL Server | Istanza di installazione di Reporting Services | Account di esecuzione del server di report |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Ruolo utente | Operatori di report di Operations Manager |
| Operations Manager | Ruolo utente | Amministratori sicurezza report di Operations Manager |
| Operations Manager | account RunAs | Account distribuzione report data warehouse |
| servizio Windows | SQL Server Reporting Services | Account di accesso |
Verificare che all'account che si intende usare per l'account lettore dati venga concesso l'accesso come servizio (per 2019 e versioni successive) o Accedi come servizio e Consenti accesso locale (per la versione precedente), diritto per ogni server di gestione e SQL Server che ospita il ruolo Del server di report.
Account di installazione dell'agente
Quando si esegue la distribuzione dell'agente basata sull'individuazione, è necessario un account con privilegi di amministratore nei computer destinati all'installazione dell'agente. L'account azione del server di gestione è l'account predefinito per l'installazione dell'agente. Se l'account azione del server di gestione non dispone dei diritti di amministratore, l'operatore deve fornire un account utente e una password con diritti amministrativi nei computer di destinazione. L'account viene crittografato prima dell'utilizzo e quindi viene annullato.
Account azione di notifica
L'account azione di notifica è l'account usato per la creazione e l'invio di notifiche. Queste credenziali devono disporre di diritti sufficienti per il server SMTP, il server di messaggistica istantanea o il server SIP utilizzato per le notifiche.