如果你已经使用MOM 2005,你在为一个巨大的惊喜就像在最近发布的大多数事情,事情已经完全改变了,当涉及到安全的OpsMgr 2007年。
MOM 2005安全是非常简单的。每个管理服务器使用本地安全组限制类型允许的MOM控制台内的操作,对范围没有限制。微软创建了一个管理服务器上的四组中创建管理服务器时:
- MOM管理员
- MOM作者
- MOM用户
- MOM服务
其余两组创造,虽然没有在管理服务器上
- SC DW DTS(系统中心数据仓库数据转换服务) - 托管操作数据库的服务器上找到
- SC DW读取器 - MOM报告数据库服务器上创建
这些都是本地Windows组时,该组件是在成员服务器和域本地grops一起,如果该服务器是域控制器。
第3组患者的访问是相当不言自明。管理员可以在MOM管理员和操作员控制台做任何事情,一个MOM作者可以编写管理CHINESE包,但不改变哪些计算机管理或计算机是如何管理的。这个小组的负责创建,定制,导入,导入和导出管理包的人。MOM用户可以查看和修改警报;MOM用户是典型的操作人员。
用于内部MOM服务和流程的MOM服务组。该SC DW DTS组的成员可以从操作数据库数据传送到报告数据库。SC DW读者的成员可以查看MOM报告。
有实际上这种模式一大缺陷。通过使用每个管理服务器上的本地组授予管理组访问,这是可能的,不同的管理服务器上的组成员可能会发生变化。有没有保证SusieQ,在MS_Server1一个MOM作者,自动是在MS_Server2一个MOM作者。要解决这一点,最好的办法是将用户帐户添加到Active Directory全局组,并添加这些全局组到适当的本地组的每个管理服务器上。
MOM 2005还采用了一些服务和行动账户。这里我们将重点放在行动帐户:
- 管理服务器操作帐户是用来安装和配置代理,运行代理管理的计算机,运行计算机发现服务器端的响应,从无代理系统收集运行数据,并运行MOM控制台发出的任务。每个管理服务器都有自己的操作帐户,你可以指定与多个管理服务器或使用不同的帐户相同的操作帐户。
- 代理操作帐户运行,如管理计算机上的脚本或管理代码响应响应。它也被用来从本地计算机收集性能数据和事件信息。本地系统帐户默认情况下使用。
那么,什么是对的OpsMgr 2007安全有什么不同?对于初学者来说,这些都不是本地组。您添加组或单个用户角色,通常是从Active Directory。此外,正如我指出我在以前的文章(//m.amiribrahem.com/community/node/22613),安全性是基于角色。每个角色是一个配置文件(功能)和范围的组合(数据和对象一个可以访问)。MOM 2005的安全性真的只是个人资料为基础:管理员,作者和用户。此外,OpsMgr的使用运行方式配置文件和运行方式帐户。这些可以代替操作帐户访问权限授予特定的操作在管理包的使用,所以默认操作帐户没有访问到世界各地。让我们看看OpsMgr的提供的角色定义:
- Operations Manager管理员 - 可以做的一切
- 运营经理高级操作员 - 有限变化访问OpsMgr的配置,能够创造出定义的范围之内覆盖(这可以通过添加组完成uwing高级操作员配置文件来定制)
- Operations Manager作者 - 类似于MOM 2005再次MOM作者组,通过使用简介和添加您自己的组自定义范围内的能力)
- 运营经理运营商 - 类似于2005年的MOM MOM Users组,但通过创建使用运营商配置文件组自定义范围内的能力)
- 运营经理只读操作员 - 查看警报和基于范围访问视图。
- Operations Manager报表操作 - 能够根据配置的作用域查看报表。
- Operations Manager报表安全管理员 - 集成SQL Reporting Services的安全与OpsMgr的角色。分配给该角色的用户可以访问所有报表数据在数据仓库中。这个角色不能作用域。
为了范围的访问,您可以根据所提供的一个配置文件创建其他角色(与管理和报表安全管理员的角色外,不能作用域)。
还有一两件事。2007年OpsMgr的,角色是在SDK水平执行。因为使用OpsMgr的类库,它包括任何连接到SDK服务,控制台之外,我们的安全访问 - 包括PowerShell命令和定制的客户端。
一旦你消化这一点,记住这一点:你要计划谁有权访问哪些角色,以及如何最好地指定自己的用户定义角色并授予会员资格给这些角色。