Для взаимодействия с различными компонентами Operations Manager 2007 корневому серверу управления Operations Manager 2007 требуются две учетные записи: учетная запись действия сервера управления и учетная запись SDK и службы настройки. Во время установки для этих учетных записей необходимо указать учетные данные. При переносе агента от пользователя потребуется предоставить учетные данные учетной записи подсистемы обнаружения компьютеров и учетной записи действия агента.

При установке модуля создания отчетов Operations Manager 2007 необходимо указать учетные данные для двух учетных записей: учетная запись для записи в хранилище данных и учетная запись чтения данных.

При развертывании агента запрашивается учетная запись с правами администратора на тех компьютерах, куда устанавливается агент.

Учетная запись действия

Учетная запись действия используется для сбора сведений об управляемом компьютере (сервере управления или компьютере с установленным агентом) и для обработки ответов на нем. Процессы MonitoringHost.exe выполняются в контексте учетной записи действия или конкретной учетной записи запуска от имени. В любой момент времени на агенте может выполняться несколько процессов MonitoringHost.exe.

Операции, которые могут выполняться программой MonitoringHost.exe, включают в себя следующие:

  • наблюдение и сбор данных журнала событий Windows;

  • наблюдение и сбор данных счетчика производительности Windows;

  • наблюдение и сбор данных инструментария управления Windows (WMI);

  • выполнение таких действий как сценарии или пакеты.

Отделение процесса службы работоспособности от однократного и многократного использования процесса MonitoringHost означает, что в случае остановки или сбоя сценария, выполняющегося на управляемом компьютере, функциональность данной службы Operations Manager и обработка других ответов на данном управляемом компьютере не будут затронуты.

Данной учетной записью действия можно управлять с помощью учетной записью действия по умолчанию из профилей запуска от имени. Дополнительные сведения см. в разделе Изменение учетных данных учетной записи действия в Operations Manager 2007.

Использование учетной записи с низким уровнем привилегий

При установке Operations Manager 2007 можно выбрать учетную запись домена или использовать учетную запись "Локальная система". Более безопасный подход — указать учетную запись домена, которая позволяет выбрать пользователя с минимально необходимыми привилегиями для данной среды.

Учетную запись с низким уровнем привилегий можно использовать в качестве учетной записи действия агента. На компьютерах с операционной системой Windows Server 2003 и Windows Vista у такой учетной записи должна быть следующие минимальные привилегии:

  • член локальной группы "Пользователи",

  • член локальной группы "Пользователи системного монитора",

  • разрешение "Локальный вход в систему" (SetInteractiveLogonRight).

Important
Эти минимальные привилегии являются привилегиями самого низкого уровня, которые Operations Manager 2007 поддерживает для учетной записи действия. У других учетных записей запуска от имени могут быть привилегии более низкого уровня. Фактические права, необходимые учетной записи действия и учетным записям запуска от имени, зависят от того, какие пакеты управления запущены на данном компьютере и как они настроены. Дополнительные сведения о том, какие конкретно привилегии требуются, см. в соответствующем руководстве по пакету управления.

Выбирая учетные данные для учетной записи действия сервера управления, учитывайте следующее.

  • Учетную запись с низким уровнем прав можно использовать только на компьютерах с операционной системой Windows Server 2003 и Windows Vista. На компьютерах с операционной системой Windows 2000 и Windows XP учетная запись действия должна быть членом локальной группы безопасности "Администраторы" или "Локальная система".

  • Для использования доменной учетной записи с низким уровнем прав требуется обновление пароля в соответствии с политиками срока действия пароля.

  • Безагентное отслеживание исключений нельзя включить на сервере управления при использовании учетной записи действия с низким уровнем привилегий.

  • Если пакет управления должен считать данное событие из журнала событий безопасности, то соответствующей учетной записи действия должна быть назначено право управления журналами аудита и безопасности. Это можно сделать с помощью локальной или глобальной политики.

  • Если корневой сервер управления и база данных Operations Manager находятся на разных компьютерах и выбрана Учетная запись домена или локального компьютера, то необходимо указывать пользователя с учетной записью домена. У учетной записи локального пользователя нет прав доступа к базе данных Operations Manager, поэтому установка не будет выполнена.

Important
Безагентное отслеживание исключений нельзя включить на сервере управления при использовании учетной записи действия с низким уровнем привилегий.

Учетные записи действия и база данных Operations Manager

Учетные данные назначены учетной записи действия при установке Operations Manager 2007. По умолчанию у учетной записи действия есть право доступа к базе данных Operations Manager. Для повышения безопасности учетную запись действия можно лишить прав доступа к базе данных Operations Manager и создать для этой цели отдельную учетную запись запуска от имени. Дополнительные сведения см. в разделах Создание новой учетной записи запуска от имени для доступа к базе данных Operations Manager в Operations Manager 2007 и Создание новой учетной записи действия в Operations Manager 2007.

Учетная запись SDK и службы настройки

Данная учетная запись используется службой доступа к данным System Center и службой настройки управления System Center для обновления сведений в базе данных Operations Manager. Учетные данные, используемые учетной записью действия SDK и службы настройки, будут назначены роли "sdk_user" в базе данных Operations Manager.

У учетной записи SDK и службы настройки должны быть права локального администратора на компьютере корневого сервера управления. В качестве такой учетной записи следует использовать "Пользователь домена" или "Локальная система". Использование учетной записи "Локальная пользователь" не поддерживается. В качестве учетной записи действия сервера управления рекомендуется использовать другую учетную запись.

Note
Если база данных Operations Manager устанавливается на компьютер, не являющийся корневым сервером управления, а для SDK и службы настройки выбирается учетная запись Local System, то учетная запись компьютера с сервера управления будет назначена роли "sdk_user" на компьютере базы данных Operations Manager.

Учетная запись установки агента

При развертывании агента на основе обнаружения запрашивается учетная запись с правами администратора. Эта учетная запись используется для установки агента на компьютере, и поэтому она должна соответствовать локальному администратору на всех компьютерах, на которых развертываются агенты. Эта учетная запись перед использованием шифруется, а затем удаляется.

Учетная запись действия уведомления

Это учетная запись действия, которая используется для создания и отправки уведомлений. Убедитесь, что у учетных данных, используемых для этой учетной записи, достаточно прав для SMTP-сервера, сервера обмена мгновенными сообщениями или SIP-сервера, которые будут использоваться для уведомлений.

See Also


Была ли данная информация полезной? Отправляйте нам свои пожелания и комментарии, касающиеся данной документации.