実行アカウントと実行プロファイルの配布およびターゲット設定

 

発行: 2016年3月

適用対象: System Center 2012 R2 Operations Manager,System Center 2012 - Operations Manager,System Center 2012 SP1 - Operations Manager

実行アカウントが実行プロファイルに関連付けられ、その実行プロファイルを使用するワークフローを正常に実行するのに必要となる資格情報が提供されます。 実行プロファイルが正常に動作するには、実行アカウントの配布とターゲット設定の両方を正しく構成する必要があります。

実行プロファイルを構成するとき、実行プロファイルに関連付ける実行アカウントを選択します。 この関連付けの作成時に、次の図に示すように、実行アカウントを使用して管理するクラス、グループ、またはオブジェクトを指定します。 これで、実行アカウントのターゲットが設定されます。

実行プロファイルと実行アカウントのターゲットの選択

配布は実行アカウントの属性で、実行アカウントの資格情報を受け取るコンピューターを指定することができます。 実行アカウントの資格情報は、エージェントで管理されたコンピューターすべてに配布したり、選択されたコンピューターにのみ配布したりすることができます。

実行アカウントのターゲット設定と配布の例: 

物理コンピューター ABC では、Microsoft SQL Server の 2 つのインスタンス (インスタンス X とインスタンス Y) をホストしています。各インスタンスは、sa アカウントのために異なる資格情報セットを使用します。 インスタンス X 用の sa の資格情報で 1 つの実行アカウントを作成し、インスタンス Y 用の sa の資格情報で別の実行アカウントを作成します。SQL Server の実行プロファイルを構成する場合、インスタンス X および Y の両方の実行アカウントの資格情報をそのプロファイルに関連付け、インスタンス X 実行アカウントの資格情報を SQL Server インスタンス X に使用すること、および実行アカウント Y の資格情報を SQL Server インスタンス Y に使用することを指定します。次に、両方の実行アカウントを物理コンピューター ABC に配布するように構成します。

実行アカウントのターゲットの選択

前の図に示したように、実行アカウントのターゲットを選択するためのオプションは、[すべての対象オブジェクト][選択したクラス、グループ、またはオブジェクト] です。

[すべての対象オブジェクト] を選択すると、実行プロファイルを使用するワークフローのすべてのオブジェクトに対して実行アカウントが使用されます。 …

[選択したクラス、グループ、またはオブジェクト] を選択した場合は、実行アカウントの対象が指定するクラス、グループ、またはオブジェクトのみに制限されます。 …

[!メモ]

実行アカウントの資格情報を配布する必要があります。

高セキュリティと低セキュリティの配布の比較

Operations Manager は実行アカウントの資格情報を、エージェントで管理されたコンピューターすべてに配布 (低セキュリティ オプション) するか、指定されたコンピューターのみに配布 (高セキュリティ オプション) します。 検出された内容に従って Operations Manager が実行アカウントを自動的に配布するなら、次の例に示すように、環境にセキュリティ上のリスクが及びます。 このため、自動配布オプションは Operations Manager に組み込まれませんでした。

たとえば、Operations Manager は、コンピューターが SQL Server 2005 をホスティングしているかどうかを、あるレジストリ キーの有無で判断します。 SQL Server 2005 のインスタンスを実際には実行していないコンピューターに同じレジストリ キーを作成することが可能です。 SQL Server 2005 のコンピューターとして識別されたエージェント管理のすべてのコンピューターに Operations Manager から資格情報を自動的に配布するなら、資格情報がなりすましの SQL Server に送信され、そのサーバーに対する管理者権限を持つユーザーがそれらの資格情報を利用できるようになるおそれがあります。

実行アカウントを作成する際は、実行アカウントを [低いセキュリティ][高いセキュリティ] のいずれの方式で扱う必要があるかを選択するように求められます。 高セキュリティの場合は、実行アカウントを実行プロファイルに関連付ける時に、実行資格情報を配布する特定のコンピューター名を指定する必要があります。 配布先コンピューターを確認することで、上述したスプーフィングのシナリオを避けることができます。 低セキュリティ オプションを選択すると、特定のコンピューターを指定する必要がなく、資格情報がエージェントで管理されたコンピューターすべてに配布されます。

[!メモ]

Operations Manager では、資格情報を使用してコンピューターにローカルでログオンできるかどうかなどの、実行アカウントの資格情報を検証するテストが実行されます。 アカウントがローカルでログオンする権限を持たない場合はアラートが生成されます。