Windows-Anmeldeinformationen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Windows-Anmeldeinformationen ermöglichen den Zugriff auf Windows-Computer. Dieser Anmeldeinformationstyp ist für Discovery und Orchestration verfügbar.

    Anforderungen für Anmeldeinformationen

    Für Discovery und Orchestration gelten die folgenden Anforderungen für Windows-Anmeldeinformationen:
    • Installieren Sie einen MID Server auf einem Windows-Host als Service.
    • Fügen Sie einer der folgenden Stellen Windows-Anmeldeinformationen hinzu:
      • Einem Eintrag in der Tabelle „Anmeldeinformationen“ [windows_credentials]
      • Einem MID Server-Service-Account, der als bestimmter Windows-Benutzer oder als Domänen-Account ausgeführt werden soll.

    Richtige Berechtigungen erteilen

    Um ausreichende Berechtigungen bereitzustellen, müssen Windows-Anmeldeinformationen eines der folgenden sein:
    • Ein Domänenbenutzer mit lokalem Administratorzugriff auf Windows-Zielhosts
    • Ein lokaler Account mit Administratorrechten und deaktivierter Benutzerzugriffssteuerung (User Access Control, UAC) auf demselben Zielhost
    • Ein Benutzer, der die Anforderungen von Windows Probes und Berechtigungen erfüllt (nurDiscovery ).
    • Ein Benutzer, der die Anforderungen der auszuführenden Orchestration-Aktivität erfüllt (nur Orchestration)
    Hinweis:
    Es sind keine Anmeldeberechtigungen erforderlich. Account muss NICHT interaktiv sein.

    Die Sicherheit bei der Gewährung privilegierter Zugriffsrechte kann durch die Verwendung von JEA-Profilen zum Ausführen von Discoveryerhöht werden. Weitere Informationen finden Sie unter Microsoft Just Enough Administration (JEA) for Discovery.

    Arbeitsgruppencomputer

    Konfigurieren Sie die MID Server-Anmeldeinformationen für einen dieser Benutzer, um PowerShell-Befehle zum Ermitteln eines Arbeitsgruppencomputers auszuführen:
    • Integrierter Administrator-Account auf dem Arbeitsgruppencomputer
    • Domänenbenutzer auf dem Arbeitsgruppencomputer

    Konfiguration für mehrere Domänen

    Stellen Sie sicher, dass Sie die richtigen Namensformate und die richtige MID-Server-Konfiguration verwenden, damit Windows-Anmeldeinformationen für mehrere Domänen genutzt werden können.

    Discovery und Orchestration unterstützen Windows-Domänenanmeldeinformationen der Benutzernamensformate Benutzerprinzipalname und Kompatibler Anmeldename. Zum Beispiel: Domäne\Benutzername oder Benutzername@beispiel.domäne.com. Sie können Anmeldeinformationen für Windows-Arbeitsgruppen im folgenden Format angeben: ARBEITSGRUPPE\Benutzername.

    Hinweis:
    Sie können auch einen lokalen Account angeben, indem Sie den Benutzernamen .\ verwenden.
    Diese zusätzlichen Aktionen sind erforderlich, damit die Anmeldeinformationen für mehrere Windows-Domänen verwendet werden können.
    Bedingung Zusätzlich erforderliche Aktionen
    MID Server-Host in derselben Domäne wie das Windows-Ziel Keine
    MID Server-Host in einer anderen Domäne als das Windows-Ziel Stellen Sie sicher, dass PowerShell 3.0 (oder höher bis 5.1) auf dem MID Server-Host installiert ist.
    MID Server-Host in einer anderen Domäne als das Microsoft SQL Server-Ziel Weitere Informationen finden Sie unter MSSQL-Server-Discovery.

    Windows-Anmeldeinformationstyp

    Diese Felder sind im Anmeldeinformationsformular für Windows verfügbar:
    Feld Beschreibung

    Name

    Geben Sie einen eindeutigen und beschreibenden Namen für diese Anmeldeinformationen ein.

    Aktiv

    		Aktivieren oder deaktivieren Sie diese Anmeldeinformationen.

    Benutzername

    		Geben Sie den zu erstellenden Benutzernamen in die Tabelle „Berechtigungsnachweise“ ein. Vermeiden Sie führende oder nachgestellte Leerzeichen in Benutzernamen. Eine Warnung wird angezeigt, wenn die Plattform führende oder nachgestellte Leerzeichen im Benutzernamen erkennt. Für die CIM-Erkennung muss der Benutzer über die Administratorrolle verfügen.
    Passwort Geben Sie das Passwort ein.
    Nachweis-ID Geben Sie den für externe Anmeldeinformationen konfigurierten eindeutigen Schlüssel in der JAR-Datei ein, die für ein externes Anmeldeinformationssystem auf den MID Server hochgeladen wurde. Das Feld Nachweis-ID darf maximal 40 Zeichen lang sein.

    Dieses Feld ist nur sichtbar, wenn das Kontrollkästchen Externer Anmeldeinformationsspeicher aktiviert ist.
    Alias für Anmeldeinformationen Erlauben Sie Workflow-Erstellern, jeder Aktivität in einem Orchestration-Workflow einzelne Anmeldeinformationen zuzuweisen, oder weisen Sie jedem Vorkommen desselben Aktivitätstyps in einem Orchestration-Workflow unterschiedliche Anmeldeinformationen zu.

    Geben Sie den Tabellennamen für den CI-Typ ein, zu dem das CI gehört (z. B. cmdb_ci_apache_web_server), um die Anmeldeinformationen zur Erkennung von CIs zu verwenden, die nicht zu diesem CI-Typ gehören und dafür Service Mapping- und Discovery-Muster nutzen.
    Externer Anmeldeinformationsspeicher Aktivieren Sie dieses Kontrollkästchen, um ein externes Speichersystem für Anmeldeinformationen zu verwenden. Wenn Sie diese Option auswählen, werden die Felder Benutzername und Passwort durch das Feld Nachweis-ID ersetzt. Externe Anmeldeinformationsspeicher stehen nur zur Verfügung, wenn dasPlugin „Externer Anmeldeinformationsspeicher“ aktiviert ist.
    Hinweis:
    Derzeit ist CyberArk das einzige unterstützte externe Speichersystem.
    Betrifft

    Wählen Sie aus, ob diese Anmeldeinformationen für Alle MID-Server in Ihrem Netzwerk oder für Spezielle MID-Server angewendet werden sollen. MID Servers angeben, der diese Anmeldeinformationen im Feld „ MID-Server “ verwenden soll.
    MID Server verwenden Wählen Sie einen oder mehrere MID Server aus der Liste der verfügbaren MID Server aus. Die in diesem Datensatz konfigurierten Anmeldeinformationen stehen den MID Servern in dieser Liste zur Verfügung. Dieses Feld ist nur verfügbar, wenn Sie Spezifische MID-Server im Feld Gilt für auswählen.
    Hinweis:
    Die Auswahl von Spezifischen Spezifischen MID-Servern hat keine Auswirkungen auf die Auswahl der MID-Server. Es wird nur verwendet, um zu entscheiden, welche MID-Server für die Anmeldeinformationen sichtbar sein sollen. Bestimmte MID-Server werden in Orchestration-Aktivitäten nicht unterstützt.
    Bestellung

    Reihenfolge (Reihenfolge), in der Discovery diese Anmeldeinformationen bei dem Versuch, sich bei Geräten anzumelden, ausprobiert. Je kleiner die Zahl, desto höher werden die Anmeldeinformationen in der Liste angezeigt. Richten Sie die Reihenfolge der Berechtigungsnachweise ein, wenn Sie eine große Anzahl von Berechtigungsnachweisen verwenden oder wenn die Sicherheitsvorkehrung nach drei fehlgeschlagenen Anmeldeversuchen Benutzer sperrt. Wenn alle Anmeldeinformationen dieselbe (oder keine) Reihenfolgennummer haben, werden die Anmeldeinformationen von der Instanz in zufälliger Reihenfolge ausprobiert.

    Windows-MID-Server-Servicekonto

    Wenn sie aktiv sind, stellen die definierten Anmeldeinformationen das MID-Server-Servicekonto dar.

    Windows-Anmeldeinformationen für den MID Server konfigurieren

    Konfigurieren Sie den MID Server für die Verwendung der Anmeldeinformationen seines Windows-Service oder der Anmeldeinformationen aus der Tabelle „Anmeldeinformationen“ [discovery_credentials].

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Konfigurieren Sie den MID Server für die Verwendung von Anmeldeinformationen aus dem Service-Account des MID Servers.
      1. Legen Sie die Anmeldeinformationen für den Service MID-Server-Konfiguration für einen Benutzer fest, der die Berechtigungsanforderungen erfüllt.
      2. Stellen Sie sicher, dass der Benutzername den Namensformatanforderungen entspricht.
      3. Füllen Sie die entsprechenden Felder im Formular aus.
      4. Stellen Sie sicher, dass die Anmeldeinformationen den Anforderungen der Domäne entsprechen.
    2. Konfigurieren Sie den MID Server für die Verwendung der Anmeldeinformationen aus der Tabelle „Anmeldeinformationen“ [discovery_credentials].
      1. Fügen Sie der Tabelle „Anmeldeinformationen“ [windows_credentials] Windows-Anmeldeinformationen hinzu.
        • Stellen Sie sicher, dass jede Anmeldeinformation die Berechtigungsanforderungen erfüllt.
        • Stellen Sie sicher, dass jeder Benutzername den Namensformatanforderungen entspricht.
        • Stellen Sie sicher, dass jede Anmeldeinformation den Windows-Domänenanforderungen entspricht.
      2. Wahlweise: Konfigurieren Sie den MID-Server für die Verwendung von PowerShell, indem Sie den Parameter mid.use_powershell auf den Wert truefestlegen.
        Weitere Informationen finden Sie unter MID-Server konfigurieren.
      3. Aktivieren Sie das Kontrollkästchen Windows-MID-Server-Service-Account, um Anmeldeinformationen zu erstellen, die den Windows-MID-Server-Service-Account so darstellen, dass er als bestimmter Windows-Anwender oder Domänen-Account ausgeführt wird.