Account e profili RunAs
Gli account RunAs definiscono le credenziali usate per determinate azioni eseguite dall'agente di Operations Manager. Questi account vengono gestiti centralmente tramite la Console operatore e assegnati a profili RunAs diversi. Se un profilo RunAs non è assegnato a una determinata azione, viene eseguito con l'account Azione predefinita. In un ambiente con privilegi limitati, l'account predefinito potrebbe non avere le autorizzazioni necessarie per una determinata azione e un profilo RunAs può essere usato per fornire questa autorità. I Management Pack possono installare profili RunAs e account RunAs per supportare le azioni necessarie. In tal caso, è necessario fare riferimento alla relativa documentazione per qualsiasi configurazione richiesta.
Account RunAs predefiniti
Nella tabella seguente sono elencati gli account RunAs predefiniti creati da Operations Manager durante l'installazione.
| Nome | Descrizione | Credenziali |
|---|---|---|
| Domain\ManagementServerActionAccount | Account utente con cui tutte le regole vengono eseguite per impostazione predefinita nei server di gestione. | Account di dominio specificato come account azione del server di gestione durante l'installazione. |
| Account azione del sistema locale | Account di sistema predefinito usato come account azione. | Account di sistema locale di Windows |
| APM Account | Account di Monitor prestazioni dell'applicazione usato per fornire chiavi per crittografare informazioni sicure raccolte dall'applicazione durante il monitoraggio. Questo account viene creato automaticamente dopo aver creato il primo Monitor prestazioni .NET. | Account binario crittografato |
| Account azione data warehouse | Usato per eseguire l'autenticazione con SQL Server che ospita il database OperationsManagerDW. | Account di dominio specificato durante l'installazione come account di scrittura del data warehouse. |
| Account distribuzione report data warehouse | Usato per eseguire l'autenticazione tra il server di gestione e SQL Server che ospita Operations Manager Reporting Services. | Account di dominio specificato durante l'installazione come account lettore dati. |
| Account di Windows di sistema locale | Account SYSTEM predefinito usato dall'account azione dell'agente. | Account di sistema locale di Windows |
| Account windows del servizio di rete | Account del servizio di rete predefinito. | Account Windows NetworkService |
Profili RunAs predefiniti
Nella tabella seguente sono elencati i profili RunAs creati da Operations Manager durante l'installazione.
Nota
Se l'account RunAs viene lasciato vuoto per un profilo specifico, viene usato l'account Azione predefinita (l'account azione del server di gestione o l'account azione agente a seconda della posizione dell'azione).
| Nome | Descrizione | account RunAs |
|---|---|---|
| Account di assegnazione dell'agente basato su Active Directory | Account usato dal modulo di assegnazione dell'agente basato su Active Directory per pubblicare le impostazioni di assegnazione in Active Directory. | Account di Windows di sistema locale |
| Account di gestione automatica degli agenti | Questo account viene usato per diagnosticare automaticamente gli errori dell'agente. | None |
| Account azione di monitoraggio client | Se specificato, usato da Operations Manager per eseguire tutti i moduli di monitoraggio client. Se non specificato, Operations Manager usa l'account azione predefinito. | None |
| Account del gruppo di gestione connesso | Account usato dal Management Pack di Operations Manager per monitorare l'integrità delle connessioni ai gruppi di gestione connessi. | None |
| Data Warehouse Account | Se specificato, questo account viene usato per eseguire tutte le regole di sincronizzazione e raccolta del data warehouse anziché l'account azione predefinito. Se questo account non viene sottoposto a override dall'account di autenticazione di SQL Server di Data Warehouse, questo account viene usato dalle regole di raccolta e sincronizzazione per connettersi ai database del data warehouse usando l'autenticazione integrata di Windows. | None |
| Account distribuzione report data warehouse | Questo account viene usato dalle procedure di distribuzione automatica del report di Data Warehouse per eseguire varie operazioni correlate alla distribuzione del report. | Account distribuzione report data warehouse |
| account di autenticazione di SQL Server per il data warehouse | Se specificato, questo nome di accesso e la password vengono usati dalle regole di raccolta e sincronizzazione per connettersi ai database di Data Warehouse usando l'autenticazione di SQL Server. | account di autenticazione di SQL Server per il data warehouse |
| Account azione MPUpdate | Questo account viene usato dal notifier MPUpdate. | None |
| Account di notifica | Account di Windows usato dalle regole di notifica. Utilizzare l'indirizzo di posta elettronica dell'account come indirizzo di posta elettronica e messaggio istantaneo "Da". | None |
| Account database operativo | Questo account viene usato per leggere e scrivere informazioni nel database di Operations Manager. | None |
| Account di monitoraggio con privilegi | Questo profilo viene usato per il monitoraggio, che può essere eseguito solo con un livello elevato di privilegi per un sistema; Ad esempio, il monitoraggio che richiede autorizzazioni di sistema locale o amministratore locale. Per impostazione predefinita, questo profilo è Sistema locale, a meno che non venga sottoposto a override specifico per un sistema di destinazione. | None |
| Account di autenticazione di SQL Server per Reporting SDK | Se specificato, questo nome di accesso e la password vengono usati dal servizio SDK per connettersi ai database di Data Warehouse usando l'autenticazione di SQL Server. | Account di autenticazione di SQL Server per Reporting SDK |
| Prenotato | Questo profilo è riservato e non deve essere utilizzato. | None |
| Convalidare l'account di sottoscrizione degli avvisi | Account usato dal modulo convalida sottoscrizione di avviso che convalida che le sottoscrizioni di notifica sono nell'ambito. Questo profilo richiede diritti di amministratore. | Account di Windows di sistema locale |
| Account di monitoraggio SNMP | Questo account viene usato per il monitoraggio SNMP. | None |
| Account di monitoraggio SNMPv3 | Questo account viene usato per il monitoraggio SNMPv3. | None |
| Account azione UNIX/Linux | L'account THis viene usato per l'accesso UNIX e Linux con privilegi limitati. | None |
| Account di manutenzione dell'agente UNIX/Linux | Questo account viene usato per le operazioni di manutenzione con privilegi per gli agenti UNIX e Linux. Senza questo account, le operazioni di manutenzione dell'agente non funzionano. | None |
| Account con privilegi UNIX/Linux | Questo account viene usato per accedere alle risorse e alle azioni UNIX e Linux protette che richiedono privilegi elevati. Senza questo account, alcune regole, diagnostica e ripristini non funzionano. | None |
| Account azione cluster di Windows | Questo profilo viene usato per tutte le funzionalità di individuazione e monitoraggio dei componenti del cluster Windows. Questo profilo viene usato per impostazione predefinita per gli account azione, a meno che non venga popolato dall'utente. | None |
| Account azione WS-Management | Questo profilo viene usato per l'accesso a WS-Management. | None |
Informazioni sulla distribuzione e la destinazione
Sia la distribuzione dell'account RunAs che la destinazione dell'account RunAs devono essere configurate correttamente per il corretto funzionamento del profilo RunAs.
Quando si configura un profilo RunAs, è necessario selezionare gli account RunAs da associare al profilo. Dopo aver creato l'associazione, è possibile specificare la classe, il gruppo o l'oggetto per cui usare l'account RunAs per l'esecuzione di attività, regole, monitoraggi e individuazioni.
La distribuzione è un attributo di un account RunAs ed è possibile specificare quali computer ricevono le credenziali dell'account RunAs. È possibile scegliere di distribuire le credenziali dell'account RunAs a tutti i computer gestiti tramite agente o solo a computer selezionati.
Esempio di destinazione dell'account RunAs: computer fisico ABC ospita due istanze di Microsoft SQL Server: istanza X e istanza Y. Ogni istanza usa un set di credenziali diverso per l'account sa. Si crea un account RunAs con le credenziali sa per l'istanza X e si crea un account RunAs diverso con le credenziali sa per l'istanza Y. Quando si configura il profilo RunAs di SQL Server, si associano entrambe le credenziali dell'account RunAs, ad esempio X e Y, al profilo e si specifica che le credenziali X dell'istanza dell'account RunAs devono essere usate per l'istanza di SQL Server X e che le credenziali dell'account RunAs Y devono essere usate per l'istanza di SQL Server Y. È quindi necessario configurare ogni set di credenziali dell'account RunAs da distribuire al computer fisico ABC.
Esempio di distribuzione dell'account RunAs: SQL Server1 e SQL Server2 sono due computer fisici diversi. SQL Server1 usa il set di credenziali UserName1 e Password1 per l'account SA SQL. SQL Server2 usa il set di credenziali UserName2 e Password2 per l'account sa SQL. Il Management Pack SQL dispone di un singolo profilo RunAs SQL usato per tutti i server SQL. È quindi possibile definire un account RunAs per il set di credenziali UserName1 e un altro account RunAs per il set di credenziali UserName2. Entrambi questi account RunAs possono essere associati al profilo RunAs di SQL Server e possono essere configurati per essere distribuiti ai computer appropriati. Ovvero, UserName1 viene distribuito a SQL Server1 e UserName2 viene distribuito a SQL Server2. Le informazioni sull'account inviate tra il server di gestione e il computer designato vengono crittografate.
Sicurezza dell'account RunAs
In System Center Operations Manager le credenziali dell'account RunAs vengono distribuite solo ai computer specificati (opzione più sicura). Se Operations Manager ha distribuito automaticamente l'account RunAs in base all'individuazione, nell'ambiente verrà introdotto un rischio di sicurezza, come illustrato nell'esempio seguente. Ecco perché un'opzione di distribuzione automatica non è stata inclusa in Operations Manager.
Ad esempio, Operations Manager identifica un computer come host di SQL Server 2016 in base alla presenza di una chiave del Registro di sistema. È possibile creare la stessa chiave del Registro di sistema in un computer che non esegue effettivamente un'istanza di SQL Server 2016. Se Operations Manager distribuisce automaticamente le credenziali a tutti i computer gestiti dall'agente identificati come computer SQL Server 2016, le credenziali verrebbero inviate all'impostante SQL Server e saranno disponibili per chiunque disponga dei diritti di amministratore su tale server.
Quando si crea un account RunAs usando Operations Manager, viene richiesto di scegliere se l'account RunAs deve essere trattato in modo meno sicuro o più sicuro. "Più sicuro" significa che quando si associa l'account RunAs a un profilo RunAs, è necessario specificare i nomi di computer specifici a cui si desidera distribuire le credenziali RunAs. La corretta identificazione dei computer di destinazione consente di evitare lo scenario di spoofing descritto in precedenza. Se si sceglie l'opzione meno sicura, non sarà necessario fornire computer specifici e le credenziali verranno distribuite a tutti i computer gestiti dall'agente.
Nota
Le credenziali selezionate per l'account RunAs devono avere almeno diritti di accesso in locale; in caso contrario, il modulo avrà esito negativo.