Bereitstellen des Operations Manager 2007-Agenten

Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1, System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2, System Center Operations Manager 2007

Der Operations Manager-Agent wird auf jedem Computer ausgeführt, der von Operations Manager überwacht wird. Informationen zum Anzeigen der Computergruppen, die vom Configuration Manager 2007-Management Pack überwacht werden, finden Sie im Abschnitt Computergruppen für das Configuration Manager 2007-Management Pack in diesem Handbuch. Der Operations Manager 2007-Agent sammelt Überwachungsdaten auf dem verwalteten Computer, wendet Regeln auf die gesammelten Daten an und sendet die resultierenden Daten anschließend an den DCAM (Data Consolidator Agent Manager). Die Überwachungsfunktionalität auf einem Agentcomputer wird durch den Operations Manager 2007-Dienst (HealthService.exe), den Operations Manager 2007-Host (MonitoringHost.exe) und das Agentaktionskonto bereitgestellt.

Zum Bereitstellen des Operations Manager 2007-Agenten können Sie den Installations-Assistenten für Operations Manager 2007 oder die Configuration Manager-Softwareverteilung verwenden. Einzelheiten zum Bereitstellen des Operations Manager 2007-Agenten und zum Verwenden des Installations-Assistenten für Operations Manager 2007 finden Sie im Abschnitt über das Ermitteln von Computern und Bereitstellen von Operations Manager-Agenten im Microsoft Operations Manager 2007-Bereitstellungshandbuch. Weitere Informationen finden Sie auf der Operations Manager 2007-Webseite (http://go.microsoft.com/fwlink/?LinkID=83259) (möglicherweise in englischer Sprache).

noteHinweis
Es ist empfehlenswert, den Operations Manager 2007-Agent auf den Configuration Manager-Providercomputern mithilfe des lokalen Systemkontos oder eines Kontos mit ausreichenden Rechten zum Zugriff auf die WMI-Namespaces root, root\cimv2 und root\sms von Configuration Manager sowie den SMS-Registrierungsschlüssel und dessen Unterschlüssel auszuführen.

Wenn Sie bestimmen möchten, ob eine Überwachung ohne Agenten in Ihrer Umgebung verwendet werden kann, finden Sie weitere Informationen im Abschnitt zur Unterstützung für die Überwachung ohne Agenten unter Management Pack-Überwachungsszenarien für Configuration Manager 2007.

Definieren der SMS-Umgebungsvariablen zur Unterstützung protokollbasierter Regeln

Einige Regeln im Configuration Manager-Management Pack überprüfen Configuration Manager-basierte Protokolldateien auf Fehler.

Die folgenden Regeln unter ConfigMgr-Standortserver – Allgemein basieren auf den Dateien Sender.log, Distmgr.log bzw. Policypv.log:

  • ConfigMgr 2007 – Komponente: Der Sender kann keine Verbindung über LAN zum Remotestandort herstellen (Standardsicherheit)

  • ConfigMgr 2007 – Komponente: Der Sender kann keine Verbindung über RAS zum Remotestandort herstellen

  • ConfigMgr 2007 – Komponente: Der Sender kann keine Verbindung über LAN zum Remotestandort herstellen (Erweiterte Sicherheit)

  • ConfigMgr 2007 – Komponente: Fehler beim Verarbeiten eines Pakets durch den Verteilungs-Manager

  • ConfigMgr 2007 – Komponente: Fehler beim Einfügen eines SMS-Pakets durch den Verteilungs-Manager, da in der CI_Contents-Tabelle kein Inhalt vom Typ SDM vorhanden ist

  • ConfigMgr 2007 – Komponente: Fehler beim Abrufen neuer Softwareupdaterichtlinien aus der SMS-Standortdatenbank durch den Richtlinienprovider

  • ConfigMgr 2007 – Komponente: Fehler beim Erstellen neuer Softwareupdaterichtlinien durch den Richtlinienprovider

  • ConfigMgr 2007 – Komponente: Fehler beim Abrufen neuer Kompatibilitätsrichtlinien aus der SMS-Standortdatenbank durch den Richtlinienprovider

  • ConfigMgr 2007 – Komponente: Fehler beim Erstellen neuer Kompatibilitätsrichtlinien durch den Richtlinienprovider

  • ConfigMgr 2007 – Komponente: Fehler beim Benachrichtigen des Hierarchie-Managers über eine Richtlinienänderung durch den Richtlinienprovider

Für die Überwachung dieser Protokolle muss der Speicherort des Configuration Manager-Installationsordners angegeben werden. Erstellen Sie dazu auf einem Standortserver die %SMS_INSTALL_DIR_PATH%-Systemumgebungsvariable, sodass der unter unter dem Kontext des lokalen Systems oder eines lokalen Administrators ausgeführte MOM-Agent Zugriff auf die Protokolldateien im Verzeichnis %SMS_INSTALL_DIR_PATH%\Logs erhält. Weitere Informationen zum Festlegen von Systemumgebungsvariablen finden Sie auf der Webseite zu Systemumgebungsvariablen (http://go.microsoft.com/fwlink/?LinkId=92316) (möglicherweise in englischer Sprache).

Unter Umständen muss der Configuration Manager-Standortserver neu gestartet werden, damit diese Umgebungsvariable vom Operations Manager-Integritäts-Agent verwendet wird.

Konfigurieren von Agentcomputern zum Ausführen in Szenarien mit geringen Rechten

Die Überwachungsfunktionalität auf einem Agentcomputer wird durch den Operations Manager 2007-Dienst (HealthService.exe), den Operations Manager 2007-Host (MonitoringHost.exe) und das Agentaktionskonto bereitgestellt. Unter Microsoft Windows® 2000 muss das Aktionskonto ein Mitglied der Gruppe Lokale Administratoren sein. Unter Microsoft Windows™ 2003 können Sie unter bestimmten Umständen ein Konto mit geringen Rechten für das Agentaktionskonto des Agenten verwenden. Für das Konfigurieren des Aktionskontos und des Benutzerkontexts, unter dem der Operations Manager 2007-Dienst und der Operations Manager 2007-Hostprozess ausgeführt werden, mit den erforderlichen Rechten und Berechtigungen zum Ausführen der Configuration Manager 2007-Management Pack-Features ist jedoch eine erhebliche manuelle Konfiguration auf dem Agentcomputer erforderlich. Unter Microsoft Windows Server™ 2003 muss das Agentaktionskonto mindestens über die folgenden Benutzerrechte und -berechtigungen verfügen:

  • Mitglied der Gruppe Lokale Benutzer

  • Zugriff auf Windows-Ereignisprotokolle

  • Berechtigung Verwalten von Überwachungs- und Sicherheitsprotokollen (SeSecurityPrivilege)

  • Berechtigung Generieren von Sicherheitsüberwachungen (SeAuditPrivilege)

  • Berechtigung Lokal anmelden zulassen (SeInteractiveLogonRight)

In einem Szenario mit geringen Rechten ist für das Configuration Manager 2007-Management Pack erforderlich, dass das für das Agentaktionskonto verwendete Konto über zusätzliche Rechte und Berechtigungen verfügt. In der folgenden Tabelle werden die Zugriffsrechte, die manuell konfiguriert werden müssen, ausführlicher beschrieben.

Für das Configuration Manager 2007-Management Pack erforderliche Zugriffstypen

 

Ressource

Zugriffstyp

Anweisungen

Windows-Ereignisprotokoll

Lesezugriff

Dem Aktionskonto muss das Recht Verwalten von Überwachungs- und Sicherheitsprotokollen mithilfe einer lokalen oder globalen Richtlinie erteilt werden.

SMS-Registrierungsschlüssel

Lesezugriff

HKLM\Software\Microsoft\SMS

Fügen Sie das Aktionskonto den Registrierungseigenschaften hinzu, und stellen Sie einen Lesezugriff bereit, der von allen Unterschlüsseln geerbt wird.

Registrierungsschlüssel für Win32-Dienste

Lesezugriff

HKLM\System\CurrentControlSet\Services

Fügen Sie das Aktionskonto der Gruppe Lokale Benutzer hinzu.

Von Skripts generierte temporäre Dateien

Lese- und Schreibzugriff

Der durch die TMP-Variable angegebene Pfad für den Aktions-Agent. Für das lokale Systemkonto lautet dieser %Windir%\Temp.

Fügen Sie das Aktionskonto der Gruppe Lokale Benutzer hinzu.

SMS-Protokolldateien

Lesezugriff

<ConfigMgr-Installationsordner> \Logs

Fügen Sie das Aktionskonto den Ordnereigenschaften hinzu.

WMI-Namespaces

Lesezugriff

root und root\cimv2

Es sollte keine Aktion erforderlich sein.

WMI-Namespaces von SMS

Lesezugriff

Es sollte keine Aktion erforderlich sein.

WMI-Klassen von SMS

Lesezugriff

SMS_Site

SMS_R_System

SMS_SiteControlFile

SMS_ProviderLocation

SMS_SCI_SiteDefinition

SMS_SystemResourceList

SMS_SystemResourceList SMS_SiteSystemSummarizer

Fügen Sie für alle Instanzen das Aktionskonto der Klasse hinzu.

Sicherheitsanmelderechte für die Standardinstanz

Zugriff gewähren

Für die Standardinstanz auf einem verwalteten Computer mit SQL Server müssen dem Aktionskonto Rechte zum Gewähren des Zugriffs für Sicherheitsanmeldungen erteilt werden. Fügen Sie in SQL Server Enterprise Manager das Aktionskonto dem folgenden Knoten hinzu: Instanzname\Security\Logins.

Zugriff auf die Masterdatenbank in der Standardinstanz (zur Identifizierung der SMS-Standortdatenbank erforderlich)

Zulassen

Für die Standardinstanz auf einem verwalteten Computer mit SQL Server muss dem Aktionskonto ein Zulassungszugriff auf die Masterdatenbank erteilt werden. Fügen Sie in SQL Server Enterprise Manager das Aktionskonto zum folgenden Knoten hinzu: Instanzname\Databases\Master\Users.

Behalten Sie alle diesem neuen Benutzer zugeordneten Standardberechtigungen.

Zugriff auf die SMS-Standortdatenbank in der Standardinstanz

Zulassen

Für die Standardinstanz auf einem verwalteten Computer mit SQL Server muss dem Aktionskonto ein Zulassungszugriff auf die SMS-Standortdatenbank erteilt werden. Fügen Sie in SQL Server Enterprise Manager das Aktionskonto zum folgenden Knoten hinzu: Instanzname\Databases\<SMS site>\Users.

Behalten Sie alle diesem neuen Benutzer zugeordneten Standardberechtigungen.

Siehe auch

Anzeigen: