В Operations Manager 2007 агенты используют учетную запись действия агента в качестве набора учетных данных по умолчанию для запуска правил, задач, мониторов и операций обнаружения на том компьютере, на котором установлены агенты. В некоторых случаях эта учетная запись может не иметь необходимых прав для успешного выполнения операции. В таком случае для правил, задач, мониторов и операций обнаружения автором пакета управления может быть запрограммировано использование профиля запуска от имени во время выполнения. Профиль запуска от имени предоставляет необходимые сведения службе управления System Center для успешного выполнения правила, задачи, монитора или операции обнаружения.
Профили запуска от имени определены в пакетах управления авторами пакетов. В некоторых случаях профиль запуска от имени импортируется в Operations Manager в процессе импорта пакета управления, в котором содержится этот профиль. В других случаях может потребоваться создать этот профиль вручную. Во всех случаях требуется ручная настройка профилей запуска от имени. В процедуре Создание и настройка профиля запуска от имени в Operations Manager 2007 описано создание и настройка профиля запуска от имени вручную.
- Учетная запись запуска от имени: учетная
запись запуска от имени состоит из трех частей. Первая часть —
отдельный набор учетных данных, которые хранятся в рабочей базе
данных Operations Manager 2007. Вторая часть — классификация
безопасности учетных данных учетной записи запуска от имени (более
безопасная или менее безопасная), которая может использоваться для
управления распространением учетных данных для использования. И
наконец, если выбрано более безопасное распространение учетных
данных, требуется настройка сопоставления компьютеров, на которые
будут распространяться эти учетные данные.
- Профиль запуска от имени: профиль запуска от
имени используется там, где активен его родительский пакет
управления. Например, пакет управления SQL Server 2005
содержит профиль запуска от имени SQL, поэтому профиль запуска от
имени SQL будет активен на всех серверах, на которых работает SQL
Server 2005, и мониторинг которых осуществляется с помощью
пакета управления SQL Server 2005. Профиль запуска от имени
представляет собой связь одной или нескольких учетных записей
запуска от имени и управляемых объектов, к которым должны
применяться учетные записи запуска от имени.
Понятие о распространении и целевой настройке
Распространение учетной записи запуска от имени и целевая настройка учетной записи от имени — две разные операции, которые должны быть правильно настроены для надлежащей работы профиля запуска от имени.
При настройке профиля запуска от имени выполняется выбор учетных записей запуска от имени, которые требуется связать с профилем запуска от имени. При создании этой связи также можно указать, для какого класса, группы или объекта должна использоваться учетная запись запуска от имени при выполнении задач, правил, мониторов и операций обнаружения.
Распространение представляет собой атрибут учетной записи запуска от имени и позволяет указать, какие компьютеры будут получать учетные данные учетной записи запуска от имени. Можно выбрать распространение учетных данных учетной записи запуска от имени на все управляемые агентом компьютеры или на выбранные компьютеры.
Ниже приведен пример целевой настройки учетной записи запуска от имени. На физическом компьютере ABC размещены два экземпляра Microsoft SQL Server: экземпляр X и экземпляр Y. Каждый экземпляр использует отдельный набор учетных данных для учетной записи sa . Следует создать учетную запись запуска от имени с учетными данными sa для экземпляра X и вторую учетную запись с учетными данными sa для экземпляра Y. При настройке профиля запуска от имени SQL Server следует связать учетные данные обеих учетных записей запуска от имени для экземпляров X и Y с профилем и указать использование учетных данных экземпляра X учетной записи запуска от имени для экземпляра X SQL Server и использование учетных данных экземпляра Y учетной записи запуска от имени для экземпляра Y SQL Server. После этого необходимо также настроить распространение каждого набора учетных данных учетной записи запуска от имени на физический компьютер ABC.
Ниже приведен пример распространения учетной записи запуска от имени. SQL Server1 и SQL Server2 представляют собой различные физические компьютеры. Сервер SQL Server1 использует для учетной записи sa SQL набор учетных данных UserName1 и Password1. Сервер SQL Server2 использует для учетной записи sa SQL набор учетных данных UserName2 и Password2. Пакет управления SQL содержит один профиль запуска от имени SQL, который используется для всех серверов SQL. Можно определить одну учетную запись запуска от имени для набора учетных данных UserName1 и вторую учетную запись запуска от имени для набора учетных данных UserName2. Обе эти учетные записи запуска от имени могут быть связаны с одним профилем запуска от имени SQL Server и могут быть настроены для распространения на соответствующие компьютеры. При этом UserName1 распространяется на сервер SQL Server1, а UserName2 распространяется на сервер SQL Server2. Сведения учетной записи, передаваемые между сервером управления и выбранным компьютером, шифруются.
Безопасность учетной записи запуска от имени
Operations Manager 2007 распространяет учетные данные учетной записи запуска от имени на все управляемые агентом компьютеры (вариант менее безопасного распространения) или только на выбранные компьютеры (более безопасный вариант распространения). При автоматическом распространении учетных записей запуска от имени Operations Manager в соответствии с результатами операции обнаружения в используемой среде возникает угроза безопасности, как показано на следующем примере. Поэтому вариант автоматического распространения не включен в Operations Manager.
Предположим, что Operations Manager 2007 определено размещение сервера SQL Server 2005 на компьютере на основе наличия раздела реестра. Можно создать тот же самый раздел реестра на компьютере, на котором в действительности не выполняется экземпляр сервера SQL Server 2005. Если бы Operations Manager автоматически распространял учетные данные на все управляемые агентом компьютеры, которые были идентифицированы как компьютеры SQL Server 2005, то учетные данные были бы отправлены на мнимый сервер SQL Server и стали доступны пользователю с правами администратора на этом сервере.
При создании учетной записи запуска от имени предоставляется возможность выбора работы с учетной записью от имени Менее безопасным или Более безопасным способом. Более безопасный способ означает, что при создании связи учетной записи запуска от имени с профилем запуска от имени необходимо указывать конкретные имена компьютеров, на которые должны быть распространены учетные данные запуска от имени. Принудительное указание целевых компьютеров позволяет предотвратить ситуацию подделки, описанную выше. При выборе менее безопасного варианта не потребуется указывать конкретные компьютеры, а учетные данные будут распространены на все управляемые агентом компьютеры.
Note |
---|
У учетных данных, выбираемых для учетной записи запуска от имени, должны быть права локального входа, в противном случае произойдет сбой модуля. |
See Also
Была ли данная информация полезной? Отправляйте нам свои пожелания и комментарии, касающиеся данной документации.