Hizmet, Kullanıcı ve Güvenlik Hesapları
Operations Manager'ın kurulumu ve günlük işlemleri sırasında, birkaç hesap için kimlik bilgileri sağlamanız istenir. Bu makalede SDK ve Yapılandırma Hizmeti, Aracı Yükleme, Veri Ambarı Yazma ve Veri Okuyucusu hesapları da dahil olmak üzere bu hesapların her biri hakkında bilgi sağlanır.
Not
Operations Manager yüklemesi tüm gerekli SQL izinlerini sağlar.
Etki alanı hesaplarını kullanıyorsanız ve etki alanı Grup İlkesi Nesnenizin (GPO) varsayılan parola süre sonu ilkesi gerektiği gibi ayarlandıysa, hizmet hesaplarında parolaları zamanlamaya göre değiştirmeniz, sistem hesaplarını kullanmanız veya hesapları parolaların hiç dolmaması için yapılandırmanız gerekir.
Eylem hesapları
System Center Operations Manager'da yönetim sunucularının, ağ geçidi sunucularının ve aracıların tümü MonitoringHost.exe adlı bir işlem yürütür. MonitoringHost.exe, izleyici yürütme veya görev çalıştırma gibi izleme etkinliklerini gerçekleştirmek için kullanılır. MonitoringHost.exe gerçekleştirdiği eylemlere diğer örnekler şunlardır:
- Windows olay günlüğü verilerini izleme ve toplama
- Windows performansı sayaç verilerini izleme ve toplama
- Windows Yönetim Araçları (WMI) verilerini izleme ve toplama
- Betikler veya toplu işlemler gibi eylemleri çalıştırma
Bir MonitoringHost.exe işlemini çalıştıran hesaba eylem hesabı denir. MonitoringHost.exe, eylem hesabında belirtilen kimlik bilgilerini kullanarak bu eylemleri çalıştıran işlemdir. Her hesap için yeni MonitoringHost.exe örneği oluşturulur. Aracı üzerinde çalışan MonitoringHost.exe işleminin eylem hesabına Aracı Eylem Hesabı adı verilir. Bir yönetim sunucusunda MonitoringHost.exe işlemi tarafından kullanılan eylem hesabına Yönetim Sunucusu Eylem hesabı adı verilir. Ağ geçidi sunucusunda MonitoringHost.exe işlemi tarafından kullanılan eylem hesabına Ağ Geçidi Sunucusu Eylem Hesabı adı verilir. Yönetim grubundaki tüm yönetim sunucularında, kuruluşunuzun BT güvenlik ilkesi tarafından en az ayrıcalıklı erişim gerekmediği sürece hesaba yerel yönetim hakları vermenizi öneririz.
Bir eylem Farklı Çalıştır profiliyle ilişkilendirilmemişse, eylemi gerçekleştirmek için kullanılan kimlik bilgileri eylem hesabı için tanımladığınız kimlik bilgileridir. Farklı Çalıştır Hesapları ve Farklı Çalıştır Profilleri hakkında daha fazla bilgi için Farklı Çalıştır Hesapları bölümüne bakın. Aracı eylemleri varsayılan eylem hesabı ve/veya Farklı Çalıştır hesabı olarak çalıştırdığında, her hesap için yeni bir MonitoringHost.exe örneği oluşturulur.
Operations Manager'ı yüklediğinizde, bir etki alanı hesabı belirtme veya LocalSystem kullanma seçeneğiniz vardır. Daha güvenli bir yaklaşım, ortamınız için gereken en düşük ayrıcalıklara sahip bir kullanıcı seçmenize olanak tanıyan bir etki alanı hesabı belirtmektir.
Aracının eylem hesabı için en az ayrıcalıklı bir hesap kullanabilirsiniz. Windows Server 2008 R2 veya üzerini çalıştıran bilgisayarlarda hesabın aşağıdaki en düşük ayrıcalıklara sahip olması gerekir:
- Yerel Kullanıcı grubu üyesi
- Yerel Performans İzleyici Kullanıcı grubu üyesi
- Yerel olarak oturum açmaya izin ver (SetInteractiveLogonRight) izni (Operations Manager 2019 ve üzeri için geçerli değildir).
Not
Yukarıda açıklanan en düşük ayrıcalıklar, Operations Manager'ın eylem hesabı için desteklediği en düşük ayrıcalıklardır. Diğer Farklı Çalıştır hesaplarının ayrıcalıkları daha düşüktür. Eylem hesabı ve Farklı Çalıştır hesapları için gereken gerçek ayrıcalıklar, bilgisayarda hangi yönetim paketlerinin çalıştığına ve bunların nasıl yapılandırıldığına bağlıdır. Gerekli olan belli ayrıcalıklarla ilgili daha fazla bilgi için, ilgili yönetim paketi kılavuzuna bakın.
Güvenlik ilkeniz bir hizmet hesabına akıllı kart kimlik doğrulaması gerektiğinde olduğu gibi etkileşimli bir oturum açma oturumu verilmesine izin vermiyorsa, eylem hesabı için belirtilen etki alanı hesabına Hizmet Olarak Oturum Aç (SeServiceLogonRight) veya Batch Olarak Oturum Aç (SeBatchLogonRight) izni verilebilir. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Sistem Sağlığı Hizmeti kayıt defteri değerini değiştirin:
Eylem hesabı için belirtilen etki alanı hesabına Hizmet Olarak Oturum Aç (SeServiceLogonRight) izni verilir. Sistem sağlığı hizmetinin oturum açma türünü değiştirmek için HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Sistem Sağlığı Hizmeti kayıt defteri değerini değiştirin:
- Ad: Çalışan İşlemi Oturum Açma Türü
- Tür: REG_DWORD
- Değerler: Dört (4) - Toplu olarak oturum açın, İki (2) - Yerel olarak oturum açmaya izin ver ve Beş (5) - Hizmet olarak oturum açın. Varsayılan değer 2'dir.
- Değerler: Dört (4) - Toplu Olarak Oturum Aç, İki (2) - Yerel olarak oturum açmaya izin ver ve Beş (5) - Hizmet olarak oturum açın. Varsayılan değer 5'tir.
ADMX dosyasını healthservice.admx klasörde bulunan bir yönetim sunucusundan veya aracıyla yönetilen bir sistemden kopyalayıp klasörünün C:\Windows\PolicyDefinitions altındaki Computer Configuration\Administrative Templates\System Center - Operations Managerİzleme Eylem Hesabı Oturum Açma Türü ayarını yapılandırarak Grup İlkesi'ni kullanarak ayarı merkezi olarak yönetebilirsiniz. Grup İlkesi ADMX dosyalarıyla çalışma hakkında daha fazla bilgi için bkz . Grup İlkesi ADMX dosyalarını yönetme.
System Center Yapılandırma Hizmeti ve System Center Veri Erişim Hizmeti hesabı
System Center Yapılandırma hizmeti ve System Center Veri Erişimi hizmet hesabı, System Center Veri Erişimi ve System Center Yönetim Yapılandırma hizmetleri tarafından İşletimsel veritabanındaki bilgileri güncelleştirmek için kullanılır. Eylem hesabı için kullanılan kimlik bilgileri İşletimsel veritabanındaki sdk_user rolüne atanır.
Hesap bir Etki Alanı Kullanıcısı veya LocalSystem olmalıdır. SDK ve Yapılandırma Hizmeti hesabı için kullanılan hesaba, yönetim grubundaki tüm yönetim sunucularında yerel yönetim hakları verilmelidir. Yerel Kullanıcı hesabının kullanımı desteklenmez. Daha fazla güvenlik için bir etki alanı kullanıcı hesabı kullanmanızı öneririz ve bu, Yönetim Sunucusu Eylem Hesabı için kullanılan hesaptan farklı bir hesaptır. LocalSystem hesabı, Bir Windows bilgisayarındaki en yüksek ayrıcalık hesabıdır ve yerel Yönetici'den bile yüksektir. Bir hizmet LocalSystem bağlamında çalıştırıldığında, hizmet bilgisayarın yerel kaynakları üzerinde tam denetime sahiptir ve uzak kaynaklara kimlik doğrulaması yaparken ve bu kaynaklara erişirken bilgisayarın kimliği kullanılır. LocalSystem hesabının kullanılması, en az ayrıcalık ilkesine uymuyor olduğundan bir güvenlik riskidir. Operations Manager veritabanını barındıran SQL Server örneğinde gereken haklar nedeniyle, yönetim grubundaki yönetim sunucusu tehlikeye atılırsa herhangi bir güvenlik riskini önlemek için en az ayrıcalık izinlerine sahip bir etki alanı hesabı gerekir. Bunun nedenleri şunlardır:
- LocalSystem'ın parolası yok
- Kendi profili yok
- Yerel bilgisayarda kapsamlı ayrıcalıklara sahiptir
- Bilgisayarın kimlik bilgilerini uzak bilgisayarlara sunar
Not
Operations Manager veritabanı yönetim sunucusundan ayrı bir bilgisayara yüklenirse ve Veri Erişimi ve Yapılandırma hizmeti hesabı için LocalSystem seçilirse, yönetim sunucusu bilgisayarı için bilgisayar hesabına Operations Manager veritabanı bilgisayarında sdk_user rolü atanır.
Daha fazla bilgi için Bkz . LocalSystem.
Veri Ambarı Yazma hesabı
Veri Ambarı Yazma hesabı, yönetim sunucusundan Raporlama veri ambarı'na veri yazmak için kullanılan hesaptır ve Operations Manager veritabanındaki verileri okur. Aşağıdaki tabloda, kurulum sırasında etki alanı kullanıcı hesabına atanan roller ve üyelikler açıklanmaktadır.
| Uygulama | Veritabanı/rol | Rol/hesap |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Kullanıcı rolü | Operations Manager Rapor Güvenliği Yöneticileri |
| Operations Manager | Farklı Çalıştır hesabı | Veri Ambarı Eylem hesabı |
| Operations Manager | Farklı Çalıştır hesabı | Veri Ambarı Yapılandırma Eşitleme Okuyucusu hesabı |
Data Okuyucusu hesabı
Veri Okuyucusu hesabı raporları dağıtmak, SQL Server Reporting Services'ın Raporlama veri ambarı üzerinde sorgu yürütmek için hangi kullanıcıyı kullandığını tanımlamak ve yönetim sunucusuna bağlanmak için SQL Raporlama Services hesabını tanımlamak için kullanılır. Bu etki alanı kullanıcı hesabı Rapor Yöneticisi Kullanıcı Profili'ne eklenir. Aşağıdaki tabloda, kurulum sırasında hesaba atanan roller ve üyelik açıklanmaktadır.
| Uygulama | Veritabanı/rol | Rol/hesap |
|---|---|---|
| Microsoft SQL Server | Reporting Services Yükleme örneği | Rapor Sunucusu Yürütme hesabı |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Kullanıcı rolü | Operations Manager Rapor İşleçleri |
| Operations Manager | Kullanıcı rolü | Operations Manager Rapor Güvenliği Yöneticileri |
| Operations Manager | Farklı Çalıştır hesabı | Veri Ambarı Rapor Dağıtım hesabı |
| Windows hizmeti | SQL Server Reporting Services | Oturum açma hesabı |
Veri Okuyucusu hesabı için kullanmayı planladığınız hesaba Hizmet Olarak Oturum Aç (2019 ve üzeri için) veya Hizmet Olarak Oturum Aç ve Yerel Olarak Oturum Açmaya İzin Ver (önceki sürüm için), her yönetim sunucusu için ve Raporlama Sunucusu rolünü barındıran SQL Server'a verildiğini doğrulayın.
Aracı Yükleme hesabı
Bulma tabanlı aracı dağıtımı gerçekleştirirken, aracı yüklemesi için hedeflenen bilgisayarlarda Yönetici ayrıcalıklarına sahip bir hesap gerekir. Yönetim sunucusu eylem hesabı aracı yüklemede varsayılan hesaptır. Yönetim sunucusu eylem hesabının yönetici hakları yoksa, operatörün hedef bilgisayarlarda yönetici haklarına sahip bir kullanıcı hesabı ve parola sağlaması gerekir. Bu hesap kullanılmadan önce şifrelenir ve atılır.
Bildirim Eylemi hesabı
Bildirim Eylemi hesabı, bildirim oluşturmak ve göndermek için kullanılan hesaptır. Bu kimlik bilgilerinin SMTP sunucusu, anlık ileti sunucusu veya bildirimler için kullanılan SIP sunucusu için yeterli haklara sahip olması gerekir.