如果您使用过MOM 2005,那么当涉及到OpsMgr 2007的安全性时,您一定会大吃一惊。就像最近版本中的大多数东西一样,事情已经完全改变了。
MOM 2005安全是非常简单的。每个管理服务器使用本地安全组限制类型允许的MOM控制台内的操作,对范围没有限制。微软创建了一个管理服务器上的四组中创建管理服务器时:
- 妈妈管理员
- 作者的妈妈
- 妈妈的用户
- MOM服务
另外创建了两个组,尽管不是在管理服务器上创建的
- SC DW DTS(系统中心数据仓库数据转换服务) - 托管操作数据库的服务器上找到
- SC DW阅读器——在MOM报告数据库服务器上创建
当组件位于成员服务器上时,这些是本地Windows组,如果服务器是域控制器,则域本地查询。
第3组患者的访问是相当不言自明。管理员可以在MOM管理员和操作员控制台做任何事情,一个MOM作者可以编写管理CHINESE包,但不改变哪些计算机管理或计算机是如何管理的。这个小组的负责创建,定制,导入,导入和导出管理包的人。MOM用户可以查看和修改警报;MOM用户是典型的操作人员。
MOM服务组用于内部MOM服务和进程。SC DW DTS组的成员可以将数据从操作数据库传输到报告数据库。scdw阅读器的成员可以查看MOM报告。
有实际上这种模式一大缺陷。通过使用每个管理服务器上的本地组授予管理组访问,这是可能的,不同的管理服务器上的组成员可能会发生变化。有没有保证SusieQ,在MS_Server1一个MOM作者,自动是在MS_Server2一个MOM作者。要解决这一点,最好的办法是将用户帐户添加到Active Directory全局组,并添加这些全局组到适当的本地组的每个管理服务器上。
妈妈2005还使用了一些服务和行动帐户。我们将在这里集中于行动帐户:
- 管理服务器操作帐户用于安装和配置代理、为代理管理的计算机运行服务器端响应、运行计算机发现、从无代理系统收集操作数据,以及运行从MOM控制台发出的任务。每个管理服务器都有自己的操作帐户,您可以使用多个管理服务器指定相同的操作帐户,或者使用不同的帐户。
- 代理操作帐户在受管计算机上运行诸如脚本或管理代码响应之类的响应。它还用于从本地计算机收集性能数据和事件信息。默认情况下使用本地系统帐户。
那么,OpsMgr 2007安全性有什么不同呢?首先,这些不是本地团体。将组或单个用户添加到角色(通常从Active Directory)。此外,正如我在之前的文章中所指出的(//m.banksfrench.com/community/node/22613,安全是基于角色的。每个角色都是概要文件(功能)和范围(可以访问的数据和对象)的组合。MOM 2005安全实际上只是基于配置:管理员、作者和用户。此外,OpsMgr将作为配置文件和帐户运行。它们可以代替操作帐户来授予对管理包中特定操作的访问权,这样默认的操作帐户就不能访问世界。让我们看看opsmgr提供的角色定义:
- 运营经理管理员——可以做任何事情
- Operations Manager Advanced Operator -对OpsMgr配置的有限更改访问,能够在定义的范围内创建覆盖(可以通过添加您的组来定制Advanced Operator配置文件)
- 运营经理作者——类似于MOM 2005年的MOM作者组。同样,通过使用作者配置文件添加您自己的组来定制范围的能力)
- 运营经理运营商 - 类似于2005年的MOM MOM Users组,但通过创建使用运营商配置文件组自定义范围内的能力)
- 操作经理只读操作符-查看警报和访问基于范围的视图。
- Operations Manager报表操作 - 能够根据配置的作用域查看报表。
- Operations Manager报告安全管理员——将SQL报告服务安全与OpsMgr角色集成在一起。分配给此角色的用户可以访问数据仓库中的所有报表数据。不能确定此角色的作用域。
要进行范围访问,您可以根据提供的概要文件之一创建其他角色(管理员和报表安全管理员角色除外,它们不能确定范围)。
另一件事。在OpsMgr 2007中,角色是在SDK级别执行的。因为它包含了任何使用OpsMgr类库连接到SDK服务的内容,所以我们保护了控制台之外的访问——包括PowerShell cmdlet和自定义客户机。
一旦您理解了这一点,请记住:您希望计划谁可以访问哪个角色,以及如何最好地指定您自己的用户定义的角色并向这些角色授予成员资格。