Operations Manager アカウント
発行: 2016年3月
適用対象: System Center 2012 R2 Operations Manager,System Center 2012 - Operations Manager,System Center 2012 SP1 - Operations Manager
System Center 2012 – Operations Manager 管理グループは、監視インフラストラクチャの各部と通信するために、管理サーバー アクション アカウントと System Center 構成サービスと System Center データ アクセス サービスのアカウントと呼ばれる 2 種類のアカウントを必要とします。 インストール中に、これらのアカウントの資格情報を指定する必要があります。
レポートをインストールする場合は、これ以外に、データ ウェアハウス書き込みアカウントおよびデータ リーダー アカウントという 2 つのアカウントの資格情報を指定する必要があります。
エージェントのインストール時に、コンピューター検出アカウントとエージェント アクション アカウントの資格情報を入力する必要があります。 さらに、エージェントをインストールするコンピューターに対して管理者権限を持つアカウントの入力も求められます。
アクション アカウント
アクション アカウントは、管理されたコンピューター (管理サーバーであるコンピューターまたはエージェントがインストールされたコンピューター) に関する情報を収集し、そのコンピューターで応答を実行するために使用されます。 MonitoringHost.exe プロセスは、アクション アカウントまたは特定の実行アカウントで実行されます。 エージェントでは、常に複数の MonitoringHost.exe プロセスが実行されている可能性があります。
MonitoringHost.exe によって実行されるアクションには、次のものがあります。
Windows イベント ログ データの監視と収集
Windows パフォーマンス カウンター データの監視と収集
Windows Management Instrumentation (WMI) データの監視と収集
スクリプトやバッチなどのアクションの実行。
ヘルス サービス プロセスを、MonitoringHost プロセスの 1 つおよび複数の使用から分離すると、管理されたコンピューターで実行しているスクリプトが停止するかエラーが発生した場合、管理されたコンピューターでの Operations Manager サービスまたは他の応答は影響を受けません。
アクション アカウントは、[管理] ワークスペースの [実行プロファイル] にある既定のアクション アカウントを通じて管理できます。
低い特権のアカウントを使用する
Operations Manager をインストールする場合、ドメイン アカウントを指定するかローカル システムを使用する 2 つのオプションがあります。 セキュリティを高めるには、ドメイン アカウントを指定します。この場合、環境で必要な最低限の特権があるユーザーを選択できます。
エージェントのアクション アカウントに低い特権のアカウントを使用できます。 Windows Server 2003 および Windows Vista を実行するコンピューターでは、アカウントに次の最小限の特権が必要です。
ローカルの Users グループのメンバー
ローカルの Performance Monitor Users グループのメンバー
"ローカル ログオンを許可する" アクセス許可 (SetInteractiveLogonRight)
.jpeg "System_CAPS_important") 重要 |
|---|
上記の最小限の特権は、Operations Manager がアクション アカウントに対してサポートする最も低い特権です。 他の実行アカウントでは、さらに低い特権を指定できます。 アクション アカウントと実行アカウントに必要な実際の特権は、コンピューターで実行されている管理パックとその構成によって異なります。 必要な特定の特権の詳細については、適切な管理パック ガイドを参照してください。 |
管理サーバー アクション アカウントの資格情報を選択する場合は、次の点に留意します。
低い特権のアカウントは、Windows Server 2003 または Windows Vista を実行するコンピューターでのみ使用できます。 Windows 2000 および Windows XP を実行するコンピューターでは、アクション アカウントは、ローカルの管理者セキュリティ グループまたはローカル システムのメンバーである必要があります。
低い特権のドメイン アカウントを使用する場合は、パスワードの有効期限ポリシーと整合性のあるパスワード更新が必要です。
低い特権のアクション アカウントを持つ管理サーバーでは、エージェントレスの例外監視 (AEM) を有効にできません。
管理パックでセキュリティ イベント ログのイベントを読む場合は、ローカル ポリシーまたはグローバル ポリシーを使用して、アクション アカウントに "監視とセキュリティ ログの管理" 特権を割り当てる必要があります。
アクション アカウントと Operations Manager データベース
アクション アカウントの資格情報はインストール時に割り当てます。 既定では、アクション アカウントは Operations Manager データベースにアクセスすることができます。 セキュリティを高めるために、アクション アカウントから Operations Manager データベースへのアクセス権を削除し、Operations Manager データベースにアクセスするための新しい実行アカウントを別途作成できます。
System Center 構成サービスと System Center データ アクセス サービス アカウント
System Center データ アクセス サービスと System Center 管理構成サービスでは、Operations Manager データベースの情報の更新のために、System Center 構成サービスと System Center データ アクセス サービスのアカウントを使用します。 アクション アカウントに使用される資格情報は、Operations Manager データベースの sdk_user ロールに割り当てられます。
SDK と Config サービス アカウントに使用されるアカウントは、ルート管理サーバー コンピューターでローカル管理者権限を持っている必要があります。 アカウントはドメイン ユーザーかローカル システムのいずれかでなければいけません。 ローカル ユーザー アカウントの使用はサポートされていません。 管理サーバー アクション アカウントで使ったものとは異なるアカウントを使用することを推奨します。
エージェント インストール アカウント
検出ベースのエージェント展開を実装する場合は、管理者特権を持つアカウントの入力を求められます。 このアカウントは、コンピューターにエージェントをインストールするのに使用されるため、エージェントの展開先にするすべてのコンピューターのローカル管理者でなければなりません。 このアカウントは、使用前に暗号化され、その後破棄されます。
通知アクション アカウント
通知の作成と送信に使用されるアクション アカウントです。 このアカウントに使用する資格情報に、通知に使用する SMTP サーバー、Instant Messaging Server、または SIP サーバーに必要な権限が含まれていることを確認してください。
参照
ユーザー ロールの実装
Operations Manager でのアクセスの管理
Operations Manager で新しいアクション アカウントを作成する方法
Operations Manager でレポート サーバーの無人実行アカウントを管理する方法
Operations Manager のヘルス サービス ロックダウン ツールを使用したアクセス制御
Accessing UNIX and Linux Computers in Operations Manager (Operations Manager での Unix および Linux コンピューターへのアクセス)
実行アカウントと実行プロファイルの管理