Comptes Operations Manager
Publication: mars 2016
S'applique à: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Pour communiquer avec les différentes parties de l'infrastructure de surveillance, le groupe d'administration System Center 2012 – Operations Manager a besoin de deux comptes : le compte d'action du serveur d'administration, et le compte du service de configuration et du service d'accès aux données de System Center. Vous devez spécifier des informations d'identification pour ces comptes au cours de l'installation.
Si vous installez Reporting, vous devez spécifier les informations d'identification de deux comptes supplémentaires : le compte d'écriture d'entrepôt de données et le compte de lecteur de données.
Lorsque vous installez un agent, vous devez fournir les informations d'identification pour le compte de détection des ordinateurs et le compte d'action d'agent. Vous êtes également invité à fournir un compte disposant des droits d'administrateur sur les ordinateurs sur lesquels vous allez installer l'agent.
Compte d'action
Le compte d'action permet de recueillir des informations et d'exécuter des réponses sur l'ordinateur géré (un ordinateur géré étant un serveur d'administration ou un ordinateur sur lequel est installé un agent). Les processus MonitoringHost.exe s'exécutent sous le compte d'action ou sous un compte d'identification spécifique. À tout moment, il peut y avoir plusieurs processus MonitoringHost.exe s'exécutant sur l'agent.
Certaines des actions effectuées par MonitoringHost.exe comprennent :
Analyse et collecte des données des journaux d'événements Windows.
Analyse et collecte des données des compteurs de performances Windows.
Analyse et collecte des données Windows Management Instrumentation (WMI).
Exécution d'actions, telles que des scripts ou des lots.
La séparation du processus de service de contrôle d'intégrité des utilisations uniques et multiples du processus MonitoringHost signifie que si un script s'exécutant sur l'ordinateur géré est bloqué ou échoue, la fonctionnalité du service Operations Manager ou d'autres réponses sur l'ordinateur géré ne seront pas affectées.
Le compte d'action peut être géré via le compte d'action par défaut situé dans Profils d'identification dans l'espace de travail Administration.
Utilisation d'un compte à droits limités
Lorsque vous installez Operations Manager, vous avez la possibilité de spécifier un compte de domaine ou d'utiliser le Système local. L'approche la plus sûre consiste à spécifier un compte de domaine vous autorisant à sélectionner un utilisateur disposant des droits minimum pour votre environnement.
Vous pouvez utiliser un compte à droits limités pour le compte d'action de l'agent. Sur les ordinateurs exécutant Windows Server 2003 et Windows Vista, le compte doit au minimum :
être membre du groupe Utilisateurs locaux ;
être membre du groupe local Utilisateurs de l'Analyseur de performances ;
disposer du droit « Permettre l'ouverture d'une session locale » (SetInteractiveLogonRight).
Important
Les droits minimaux décrits ci-dessus sont les droits les moins élevés pris en charge par Operations Manager pour le compte d'action. D'autres comptes d'identification peuvent avoir des droits moins élevés. Les droits réels requis pour le compte d’action et pour les comptes d'identification varient en fonction des packs d’administration en cours d’exécution sur l’ordinateur et de leur configuration. Pour plus d’informations sur les droits spécifiques requis, consultez le guide du pack d’administration correspondant.
Gardez les points suivants à l'esprit lors du choix des informations d'identification pour le Compte d'action du serveur d'administration :
Un compte à droits limités peut être utilisé uniquement sur des ordinateurs exécutant Windows Server 2003 et Windows Vista. Sur les ordinateurs exécutant Windows 2000 et Windows XP, le compte d'action doit être membre du groupe de sécurité Administrateurs locaux ou du système local.
L'utilisation d'un compte de domaine à droits limités nécessite une mise à jour du mot de passe cohérente avec vos stratégies d'expiration des mots de passe.
Vous ne pouvez pas activer l'analyse des exceptions sans agent (AEM) sur un serveur d'administration avec un compte d'action à droits limités.
Le droit Gérer les journaux d'audit et de sécurité doit être affecté au compte d'action via une stratégie locale ou globale, si un pack d'administration peut lire l'événement dans le journal des événements de sécurité.
Comptes d'action et base de données Operations Manager
Vous avez affecté des informations d'identification pour le compte d'action lors de l'installation. Par défaut, le compte d'action a accès à la base de données Operations Manager. Pour renforcer la sécurité, vous pouvez supprimer l'accès à la base de données Operations Manager depuis le compte d'action et créer un nouveau compte d'identification distinct pour l'accès à la base de données Operations Manager.
Compte de service de configuration de System Center et de service d'accès aux données de System Center
Le compte de service de configuration de System Center et de service d'accès aux données de System Center est utilisé par les services d'accès aux données de System Center et de configuration de gestion de System Center pour mettre à jour des informations dans la base de données Operations Manager. Les informations d'identification utilisées pour le compte d'action seront attribuées au rôle utilisateur_sdk dans la base de données Operations Manager.
Le compte utilisé pour le compte SDK et service de configuration doit posséder les droits d'un administrateur local sur l'ordinateur serveur d'administration racine. Ce compte doit être de type Utilisateur de domaine ou Système local. L'utilisation d'un compte Utilisateur local n'est pas prise en charge. Nous vous recommandons d'utiliser un compte différent de celui utilisé pour le compte d'action du serveur d'administration.
Compte d'installation des agents
Lors du déploiement d'agents basé sur la détection, vous êtes invité à entrer un compte disposant de droits d'administrateur. Ce compte est utilisé pour installer l'agent sur l'ordinateur, et doit donc être administrateur local sur tous les ordinateurs sur lesquels vous déployez les agents. Ce compte est crypté avant son utilisation et il est ensuite ignoré.
Compte d'action de notification
Il s'agit du compte d'action utilisé pour la création et l'envoi de notifications. Assurez-vous que les informations d'identification que vous utilisez pour ce compte disposent de droits suffisants pour le serveur SMTP, de messagerie instantanée ou SIP que vous utiliserez pour les notifications.
Voir aussi
Implémentation des rôles d'utilisateur
Gestion de l'accès dans Operations Manager
Comment faire pour créer un nouveau compte d'Action dans le Gestionnaire des opérations
Comment faire pour gérer le serveur de rapports du compte d'exécution sans assistance dans Operations Manager.
Contrôler l'accès à l'aide de l'outil de verrouillage du service de contrôle d'intégrité dans Operations Manager
Accessing UNIX and Linux Computers in Operations Manager (Accès à des ordinateurs UNIX et Linux dans Operations Manager)
Gestion des comptes et des profils d'identification