La FIM requiere varias cuentas y grupos de servicio, cada uno con sus propios requisitos de configuración. Sin embargo, no he encontrado ningún documento que enumere todas las cuentas y el acceso que necesitan.
Esta es una recopilación de información de varios artículos de Microsoft con información sobre las cuentas de servicio FIM.
| Nombre y apellidos |
Nombre de usuario |
|
Descripción |
| Servicio FIM | FIMServicio | Requerida por FIM para ejecutar el Portal FIM. Si se utiliza PCNS, es necesario añadir SPN para esta cuenta. Setspn.exe -S FIMService/fim1CORP\FIMServiceSetspn.exe -S FIMService/fim1.corp.contoso.com CORP\FIMServiceSise utiliza Kerberos, es necesario activar la delegación.Si se utiliza PCNS, también es necesario configurar los SPN en esta cuenta para ello (véase la sección sobre PCNS debajo de esta tabla). | |
| Servicio de sincronización FIM | FIMSyncService | Requerido por FIM para ejecutar el Servicio de Sincronización FIM | |
| FIM MA | FIMMA | Requerido por la FIM para aprovisionar y desprovisionar desde el Portal FIM | |
| Servicio SharePoint | SPServicio | Servicio SharePoint accountSetspn.exe -SHTTP/fim1 CORP\SPServiceSetspn.exe -S HTTP/fim1.corp.contoso.com CORP\SPServiceSise utiliza Kerberos, es necesario activar la delegación. | |
| FIM ADMA | FIMADMA | Necesario para que FIM gestione objetos en Active Directory- Necesita permisos para replicar cambios en el directorio- Necesita control total sobre las OU que gestiona FIM- Necesita la función de gestión de organización para Exchange si se están aprovisionando buzones de correo.Puede encontrar una explicación completa de la configuración de la cuenta ADMA aquí: https://social.technet.microsoft.com/wiki/contents/articles/how-to-configure-the-adma-account.aspx | |
| Instalador FIM | FIMInstaller | Cuenta recomendada con derechos de administrador en los servidores FIM para instalar software. Debe ser una cuenta de administrador local en los servidores FIM y SCSM. También necesita sysadmin en SQL durante la instalación. Si se utiliza SCSM, la cuenta también necesita derechos de administrador local en el servidor SQL. Tras la instalación en desarrollo, los derechos pueden reducirse o la cuenta puede desactivarse. (Nota: durante las actualizaciones, puede ser necesario conceder este derecho mientras se instala la actualización). |
Encontrará instrucciones detalladas para configurar las cuentas del Servicio FIM aquí: https://technet.microsoft.com/en-us/library/hh322882(v=ws.10)
Encontrará información detallada sobre los SPN utilizados por la FIM aquí: https://technet.microsoft.com/en-us/library/jj134299(v=ws.10).aspx
Una cosa que hay que tener muy en cuenta es este paso:
Nota: Cuando la instalación se divide entre dos servidores, la cuenta de servicio para FIMService (la que ejecuta el servicio) no debe configurarse en el asunto seguro (denegar el inicio de sesión como trabajo por lotes, denegar el inicio de sesión localmente, denegar el acceso a este ordenador desde la red) en el servidor con el servicio de sincronización. La cuenta del Servicio FIM debe configurarse en el asunto seguro sólo en el servidor con el Servicio FIM y el Portal.
Restablecer contraseña SPNS
Si utiliza el portal de restablecimiento de contraseña, configure los SPN del siguiente modo:
Setspn.exe -S HTTP/Passwordreset.corp.contoso.com CORP\FIM2$
Setspn.exe -S HTTP/Passwordregistration.corp.contoso.com CORP\FIM2$
PCNS
Para configurar el SPN mediante Setspn.exe
- En el indicador command-line, escriba los comandos que se muestran en la siguiente sintaxis:
Setspn.exe -a <user defined named for target FIM Sync server>/<fully qualified domain name of the server running FIM Sync>\<domain\user name of the FIM Sync service account>
Por ejemplo:
Setspn.exe -a PCNSCLNT/fab-dev-01.usergroup.fabrikam.com fab-dev-01\MIISServAccount
El SPN debe ser único y no puede aparecer en ninguna otra cuenta de servicio. De lo contrario, la autenticación Kerberos falla y las solicitudes de cambio de contraseña no se envían a la FIM. Si hay varios SPN, puede eliminar los superfluos de la siguiente manera:
En ADUC, actualice el dominio. A continuación, asegúrese de que la opción "Funciones avanzadas" está activada en "Ver", vaya a "Sistema" y, a continuación, a "Servicio de notificación de cambio de contraseña". Se mostrará la lista de objetivos y podrá eliminar el incorrecto.
El uso del modificador -s con Setspn.exe ayuda a garantizar que no se crean duplicados al configurar los SPN. Este modificador establece el spn sólo después de verificar que no existen duplicados.
Para verificar la configuración SPN para MIIS 2003
- Inicie sesión en cada controlador de dominio de Active Directory donde se instaló PCNS con privilegios administrativos.
- At a command prompt, type setspn –L <FIM Sync service account>, and then press ENTER.
- Verify that the following SPN is registered for the <FIM Sync service account>: PCNSCLNT\<FIM Sync server host name>
PCNS utiliza grupos AD de inclusión y exclusión. Estos deben crearse en Active Directory (sólo es necesario el grupo de inclusión, el grupo de exclusión es opcional. Si un usuario está en el grupo de exclusión, el cambio de contraseña no se transmitirá aunque el usuario esté en el grupo de inclusión).
Para configurar el PCNS, ejecute la utilidad de configuración que se encuentra en el directorio de instalación del PCNS.
pcnscfg ADDTARGET /N:FIMserver1 /A:FIMserver1.contoso.edu /S:PCNSCLNT/FIMserver1.contoso.edu/FI: "Domain Users" /FE: "Domain Admins" /F:1 /I:600 /D:False /WL:20 /WI:60
Grupos
- FIMSyncAdmins
- FIMSyncOperators
- FIMSyncJoiners
- FIMSyncBrowse
- FIMSyncPasswordSet
- Grupos de inclusión y exclusión del PCNS
Aparte de los grupos PCNS, estos grupos son necesarios al instalar el Servicio FIM. Pueden ser grupos AD o grupos locales.
Los miembros deben serlo:
FIMSyncAdmins
- Servicio FIMSync
- Cuenta de instalador FIM
FIMInstaller necesita tener acceso de lectura a la OU en la que están los grupos si son grupos de Active Directory.
Para obtener más información sobre la configuración de grupos y permisos, consulte este artículo: https://technet.microsoft.com/en-us/library/jj590183(v=ws.10).aspx.
Cuentas SCSM
- Con el lanzamiento de FIM R2 llegó una nueva función de generación de informes que aprovecha System Center Service Manager (SCSM). Si utiliza esta función, necesitará las siguientes cuentas:
Cuenta de instalador de SCSM
Debe ser un administrador local en el servidor SCSM y SCSMDW.
Debe tener derechos en SQL para crear bases de datos y asignar roles de seguridad. (Nosotros utilizamos sysadmin).
Debe ser miembro del grupo local de Administradores en el Servidor SQL.
Tras la instalación, se puede reducir el acceso a la cuenta o desactivarla y volver a activarla si es necesario instalar actualizaciones.
También es posible utilizar la cuenta del instalador de FIM en lugar de crear una cuenta independiente del instalador de SCSM.
Grupo de administradores de SCSM
Grupo de seguridad en AD
La cuenta del instalador se añade automáticamente a este grupo.
El grupo se añade automáticamente a la función Administradores de Service Manager.
El grupo se añade automáticamente a la función Administradores del almacén de datos.
Gestor de servicios Cuenta de servicio
Usuario del dominio
Administrador local en el servidor SCSM y SCSMDW. (Utilice la misma cuenta para ambos servidores).
Tras la instalación, se convierte en la cuenta operativa del sistema y se asigna a la cuenta de inicio de sesión para System Center Data Access Service y System Center Management Configuration Service.
En SQL, se añade a los roles de base de datos sdk_users y configsvc_users en las bases de datos SCSM y SCSMDW se convierte en miembro del rol db_datareader para la base de datos DWRepository.
Tras la instalación, el almacén de datos se ejecuta como cuenta, se asigna a la cuenta SDK de Service Manager y a la cuenta Config de Service Manager.
Cuenta de flujo de trabajo
Usuario del dominio
Miembro del grupo de seguridad local Usuarios.
Si se requieren notificaciones por correo electrónico, esta cuenta debe tener habilitado el correo.
Cuenta de información
Usuario del dominio
Utilizado por SSRS para acceder a los datos de DWDataMart.
En SQL, se añade a los roles db_datareader y reportuser en la base de datos DWDataMart.
