Operations Manager のアカウント情報

 

適用対象: System Center 2012 R2 Operations Manager,System Center 2012 - Operations Manager,System Center 2012 SP1 - Operations Manager

System Center 2012 – Operations Manager のセットアップおよび操作中、いくつかのアカウントの資格情報を入力するよう求められます。 ここでは、各種アカウントに関する概要と、展開後にアカウントの資格情報またはパスワードを変更する方法について説明します。

• アクション アカウント

• サービス アカウント

• エージェント インストール アカウント

• データ ウェアハウス書き込みアカウント

• データ リーダー アカウント

アクション アカウント

Operations Manager の管理サーバー、ゲートウェイ サーバー、およびエージェントのすべてに、MonitoringHost.exe と呼ばれるプロセスが含まれます。 MonitoringHost.exe を使用して、モニターやタスクの実行などの監視操作が実行されます。 たとえば、エージェントがイベントを読み取るためにイベント ログに配信登録する場合、MonitoringHost.exe プロセスがこれらの操作を実行します。 MonitoringHost.exe プロセスを実行するアカウントは、アクション アカウントと呼ばれます。 エージェントで実行される MonitoringHost.exe プロセスのアクション アカウントは、エージェント アクション アカウントと呼ばれます。 管理サーバー上の MonitoringHost.exe プロセスによって使用されるアクション アカウントは、管理サーバー アクション アカウントと呼ばれます。 ゲートウェイ サーバー上の MonitoringHost.exe プロセスによって使用されるアクション アカウントは、ゲートウェイ サーバー アクション アカウントと呼ばれます。

既定のアクション アカウントを検証または変更するときには、既定のアクション アカウントとして使用するように構成されているアカウントを、[ConfigServiceMonitoringUsers] データベース ロールの [ロール] メンバーとして構成する必要があります。

アクション アカウントを検証するには

1. オペレーション データベースをホストするサーバーで、SQL Server Management Studio を開始して、ローカル サーバーに接続します。

2. [データベース] を展開してから、[オペレーション データベース] (既定では OperationsManager) を展開します。

3. [セキュリティ] を展開し、[ロール]、[データベース ロール] と展開します。

4. [ConfigServiceMonitoringUsers] ロールが表示されていることを確認します。

5. このロールが表示されていない場合は、[データベース ロール] を右クリックして追加します。

エージェント アクション アカウント

アクションが実行プロファイルに関連付けられていない場合、アクションの実行に使用される資格情報は、アクション アカウントに対して定義された資格情報になります。 実行プロファイルの詳細については、「Managing Run As Accounts and Run As Profiles (実行アカウントと実行プロファイルの管理)」を参照してください。 次のようなアクションがあります。

• Windows イベント ログ データの監視と収集

• Windows パフォーマンス カウンター データの監視と収集

• Windows Management Instrumentation (WMI) データの監視と収集

• スクリプトやバッチ ファイルなどのアクションの実行

MonitoringHost.exe は、アクション アカウントに指定された資格情報を使用してこれらのアクションを実行するプロセスです。 各アカウントごとに新しい MonitoringHost.exe インスタンスが作成されます。

低い特権のアカウントを使用する

Operations Manager のインストール時、アクション アカウントの割り当ての際に次の 2 つのオプションのどちらかを選択できます。

• ローカル システム

• [ドメインまたはローカル アカウント]

一般的には、ドメイン アカウントを指定します。これにより、使用環境に必要な最低限の特権を持つユーザーを選択することができます。

既定のアクション アカウントには、次の最小限の特権が必要です。

• ローカルの Users グループのメンバー

• ローカルの Performance Monitor Users グループのメンバー

• ローカル ログオンを許可するアクセス許可 (SetInteractiveLogonRight)

上記の最小要件は、Operations Manager のアクション アカウントでサポートされる最低限の特権です。 他の実行アカウントでは、さらに低い特権を指定できます。 実行アカウントに必要な実際の特権は、コンピューターで実行されている管理パックとその構成によって異なります。 必要な特定の資格情報の詳細については、適切な管理パック ガイドを参照してください。

エージェント アクション アカウントの資格情報を選択する場合は、次の点に留意してください。

• ドメイン コントローラーの監視に使用されるエージェントに必要なのは、低い特権のアカウントのみです。

• ドメイン アカウントを使用する場合は、パスワードの有効期限ポリシーに合わせてパスワードを更新する必要があります。

• アクション アカウントが低い特権のアカウントを使用するように構成されていて、System Center Management サービスの実行中に、必要なグループにこのアカウントが追加された場合は、System Center Management サービスを停止し、再開する必要があります。

通知アクション アカウント

通知アクション アカウントは、通知を構成するためにユーザーによって作成される実行アカウントです。 通知の作成と送信に使用されるアクション アカウントです。 このアカウントに使用する資格情報に、通知に使用する SMTP サーバー、Instant Messaging Server、または SIP サーバーに必要な権限が含まれていることを確認してください。

通知アクション アカウントに対して入力した資格情報のパスワードを変更する場合、実行アカウントでも同様にパスワードを変更する必要があります。

アクション アカウントの資格情報の管理

選択したアカウントに対して、Operations Manager がパスワード有効期限を決定し、アカウントの期限が切れる 14 日前にアラートを生成します。 Active Directory でパスワードを変更すると、Operations Manager の [実行アカウントのプロパティ] ページの [アカウント] タブで、アクション アカウントのパスワードを変更できるようになります。 アクション アカウントの資格情報管理の詳細については、「のアクション アカウントの資格情報を変更する方法」を参照してください。

サービス アカウント

System Center データ アクセス サービスと System Center 管理構成サービスでは、オペレーション データベースの情報の更新と表示のために、System Center 構成サービスと System Center データ アクセス サービスのアカウントの資格情報を使用します。 Operations Manager では、データ アクセス サービス (DAS) のサービス アカウントに使用される資格情報が、確実にオペレーション データベースの Sdk_user ロールに割り当てられるように管理されます。 System Center 構成サービスと System Center データ アクセス サービスのアカウントは、ローカル システム アカウントとしても、ドメイン アカウントとしても構成可能です。 ローカル ユーザー アカウントはサポートされていません。

管理サーバーとオペレーション データベースが異なるコンピューターにある場合は、System Center 構成サービスと System Center データ アクセス サービスのアカウントをドメイン アカウントに変更する必要があります。 セキュリティを強化するために、管理サーバー アクション アカウントとは異なるアカウントを使用することをお勧めします。 これらのアカウントを変更する方法については、「システム センター データへのアクセスのサービス、システム Center 管理構成サービスの資格情報の変更方法」を参照してください。

エージェント インストール アカウント

検出ベースのエージェント展開を実装する場合は、管理者権限のあるアカウントの入力を求められます。 このアカウントは、コンピューターにエージェントをインストールするのに使用されるため、エージェントの展開先にするすべてのコンピューターのローカル管理者でなければなりません。 管理サーバー アクション アカウントが、エージェント インストールの既定アカウントです。 管理サーバー アクション アカウントに管理者権限がない場合は、[その他のユーザー アカウント] を選択し、管理者権限のあるアカウントを入力します。 このアカウントは、使用前に暗号化され、その後破棄されます。

データ ウェアハウス書き込みアカウント

データ ウェアハウス書き込みアカウントは、管理サーバーからレポート データ ウェアハウスにデータを書き込み、オペレーション データベースからデータを読み取ります。 このアカウントに対して指定する資格情報は、次の表のとおり、アプリケーションに従ってロールのメンバーとなります。

[!メモ]

System Center 2012 – Operations Manager でサポートされる構成の詳細については、「System Center 2012 - Operations Manager でサポートされる構成」を参照してください。

アプリケーション	データベース/ロール	ロール/アカウント
サポートされる Microsoft SQL Server バージョン	オペレーション データベース	db_datareader
サポートされる Microsoft SQL Server バージョン	オペレーション データベース	dwsync_user
サポートされる Microsoft SQL Server バージョン	データ ウェアハウス データベース	OpsMgrWriter
サポートされる Microsoft SQL Server バージョン	データ ウェアハウス データベース	db_owner
Operations Manager	ユーザー ロール	Operations Manager レポートのセキュリティ管理者アカウント
Operations Manager	実行アカウント	データ ウェアハウス アクション アカウント
Operations Manager	実行アカウント	データ ウェアハウスの構成同期リーダー アカウント

データ ウェアハウス書き込みアカウントに対して入力した資格情報のパスワードを変更する場合、次のアカウントに対しても同じパスワードの変更を行う必要があります。

• データ ウェアハウス アクション アカウントと呼ばれる実行アカウント

• データ ウェアハウスの構成同期リーダー アカウントと呼ばれる実行アカウント

データ リーダー アカウント

このアカウントは、レポートの展開、SQL Server Reporting Services がレポート データ ウェアハウスに対してクエリを実行するときに使用するユーザーの定義に使用される他、SQL Server Reporting Services IIS アプリケーション プール アカウントが管理サーバーに接続するときにも使用されます。 このアカウントは、レポート管理者のユーザー プロファイルに追加されます。

このアカウントに対して指定する資格情報は、次の表のとおり、アプリケーションに従ってロールのメンバーとなります。

[!メモ]

System Center 2012 – Operations Manager でサポートされる構成の詳細については、「System Center 2012 - Operations Manager でサポートされる構成」を参照してください。

アプリケーション	データベース/ロール	ロール/アカウント
サポートされる Microsoft SQL Server バージョン	レポート サーバー インストール インスタンス	レポート サーバー実行アカウント
サポートされる Microsoft SQL Server バージョン	データ ウェアハウス データベース	OpsMgrReader
System Center 2012 – Operations Manager	ユーザー ロール	Operations Manager レポート セキュリティ管理者
System Center 2012 – Operations Manager	ユーザー ロール	Operation Manager レポート オペレーター
System Center 2012 – Operations Manager	実行アカウント	データ ウェアハウスのレポート展開アカウント
インターネット インフォメーション サービス (IIS)	アプリケーション プール	ReportServer$<インスタンス>
Windows サービス	SQL Server Reporting Services	ログオン アカウント

データ リーダー アカウントに対して入力した資格情報のパスワードを変更する場合、次のアカウントに対しても同じパスワードの変更を行う必要があります。

• レポート サーバー実行アカウント

• SQL Server Reporting Services (SSRS) をホストするコンピューターの SQL Server Reporting Services サービス アカウント

• IIS ReportServer$<インスタンス> アプリケーション プール アカウント

• データ ウェアハウスのレポート展開アカウントと呼ばれる実行アカウント

アカウント情報

• のアクション アカウントの資格情報を変更する方法

• システム センター データへのアクセスのサービス、システム Center 管理構成サービスの資格情報の変更方法

• IIS ReportServer アプリケーション プール アカウントのパスワードを変更する方法

• レポート サーバー実行アカウントのパスワードを変更する方法

• SQL Server レポート サービスの Windows サービス アカウントのパスワードを変更する方法

• のプロファイルとしての実行に関連付けられたアカウントとして実行を変更する方法