SCOM Security 介绍 [SCOM 中文系列之七]

SCOM 的Security分两个部分,

  1. 一个是SCOM本身的用户角色,这个定义了谁可以使用SCOM,有什么样的权限。
  2. 一个是SCOM里面Workflow执行权限相关的用户角色,决定了SCOM里面的Workflow运行在什么权限之下。

关于SCOM本身的用户角色我们可以在管理版面下面找到:

SCOM Security 介绍 [SCOM 中文系列之七]_第1张图片

我们可以看到有管理员角色,高级操作角色,只读权限角色等。每个角色打开后可以添加用户,对应用户就有了对应的权限。

 

关于Workflow执行权限的用户角色比较复杂,下面详细讲解。

由于Workflow大部分定义在MP里面,大部分workflow工作在Agent运行的账号下。如果有特殊情况需要特殊的权限,我们不推荐将账号之类的信息写入MP里面,原因有以下两点:

  1. 这样账号会随MP明文存放在各个机器上的。
  2. 这样做不利于MP的传播和通用,也即是说换个地方就需要更改MP。

SCOM里面的策略是这样的,写MP时候Workflow不直接引用账号信息,而是引用Profile,这个Profile往往包含账号信息和MonitoringObject的对应关系。也就是说根据workflow引用的Profle能为workflow找到对应的账号信息。

Profile不直接包含Account信息,而是包含Account和MonitoringObject的对应关系。账号信息有专门的Account功能来管理,里面可以存储各种账号,如Windows账号,snmp账号,CommunityString账号,Simple Authentication, Digest Authentication, Binary Authentication,以及Action Account。

SCOM Security 介绍 [SCOM 中文系列之七]_第2张图片

SCOM Security 介绍 [SCOM 中文系列之七]_第3张图片

ActionAccount:SCOM内置的Workflow,或者是某些基础的workflow使用的账号类型,包含LocalSystem,NetworkService等账号,不哟功能输入密码。

WindowsAccount:某些workflow需要另外的WindowsAccount时用这个账号类型。

Simple Authentication:简单账号密码验证时使用。

CommunityString 和 SNMPv3:一些SNMP协议使用。

Digest Authentication 和 Binary Authentication我也不了解,需要自己查查。

 

正常的用法是定义MP时候workflow要用账号时引用Profile,有必要的话需要定义Profile,MP导入后使用时给创建Account,然后关联到相关的Profile上面,这个时候Workflow就能引用到正确的账号了。

 

你可能感兴趣的:(Security)