Operations Manager의 계정 정보

 

적용 대상: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

System Center 2012 - Operations Manager의 설치 및 운영 중 몇 개의 계정에 대한 자격 증명을 제공하라는 메시지가 표시됩니다. 이 섹션에서는 다양한 계정과 배포 후 계정의 자격 증명 또는 암호를 변경하는 방법에 대해 설명합니다.

• 작업 계정

• 서비스 계정

• 에이전트 설치 계정

• 데이터 웨어하우스 쓰기 계정

• 데이터 판독기 계정

작업 계정

Operations Manager 관리 서버, 게이트웨이 서버 및 에이전트는 모두 MonitoringHost.exe라는 프로세스를 포함합니다. MonitoringHost.exe는 모니터링 작업(예: 모니터 또는 작업 실행)을 완료하는 데 사용됩니다. 예를 들어, 에이전트에서 이벤트를 읽기 위해 이벤트 로그를 구독하는 경우 MonitoringHost.exe 프로세스에서 해당 활동을 실행합니다. MonitoringHost.exe 프로세스에서 실행하는 계정을 작업 계정이라고 합니다. 에이전트에서 실행되는 MonitoringHost.exe 프로세스에 대한 작업 계정은 에이전트 작업 계정이라고 합니다. 관리 서버에서 MonitoringHost.exe 프로세스가 사용하는 작업 계정을 관리 서버 작업 계정이라고 합니다. 게이트웨이 서버에서 MonitoringHost.exe 프로세스가 사용하는 작업 계정을 게이트웨이 서버 작업 계정이라고 합니다.

기본 작업 계정을 유효성 검사하거나 변경하는 경우 기본 작업 계정에 사용하는 계정이 ConfigServiceMonitoringUsers 데이터베이스 역할의 역할 구성원으로 구성되는지 확인해야 합니다.

작업 계정의 유효성을 검사하려면

1. 운영 데이터베이스를 호스트하는 서버에서 SQL Server Management Studio를 열고 로컬 서버에 연결합니다.

2. 데이터베이스를 확장한 후 기본적으로 OperationsManager인 운영 데이터베이스를 확장합니다.

3. 보안, 역할, 데이터베이스 역할을 차례로 확장합니다.

4. ConfigServiceMonitoringUsers 역할이 나열되는지 확인합니다.

5. 이 역할이 나열되지 않으면 데이터베이스 역할을 마우스 오른쪽 단추로 클릭하여 추가합니다.

에이전트 작업 계정

작업이 실행 프로필과 관련되지 않은 한 작업을 수행하는 데 사용되는 자격 증명은 작업 계정에 대해 정의된 자격 증명입니다. 실행 프로필에 대한 자세한 내용은 Managing Run As Accounts and Profiles(실행 계정 및 프로필 관리)를 참조하십시오. 작업의 몇 가지 예를 들면 다음과 같습니다.

• Windows 이벤트 로그 데이터의 모니터링 및 수집

• Windows 성능 카운터 데이터의 모니터링 및 수집

• WMI(Windows Management Instrumentation) 데이터의 모니터링 및 수집

• 스크립트 또는 배치 파일과 같은 작업 실행

MonitoringHost.exe는 작업 계정에 지정한 자격 증명을 사용하여 이러한 작업을 실행하는 프로세스입니다. 각 계정에 대해 MonitoringHost.exe의 새 인스턴스가 만들어집니다.

권한이 낮은 계정 사용

Operations Manager를 설치할 때 작업 계정을 할당하는 동안 다음 두 가지 옵션 중 하나를 선택할 수 있습니다.

• 로컬 시스템

• 도메인 또는 로컬 계정

일반적인 방법은 사용자 환경에 필요한 최소한의 권한만 가진 사용자를 선택할 수 있도록 도메인 계정을 지정하는 것입니다.

기본 작업 계정에는 다음과 같은 최소 권한이 있어야 합니다.

• 로컬 사용자 그룹의 구성원

• 로컬 성능 모니터 사용자 그룹의 구성원

• 로컬 로그온 허용 권한(SetInteractiveLogonRight)

위에 설명된 최소 권한은 Operations Manager에서 작업 계정에 대해 지원하는 가장 낮은 권한입니다. 다른 실행 계정은 권한이 더 낮을 수 있습니다. 실행 계정에 필요한 실제 권한은 컴퓨터에서 실행되는 관리 팩의 종류 및 구성 방법에 따라 달라집니다. 필요한 구체적인 자격 증명에 대한 자세한 내용은 해당 관리 팩 가이드를 참조하십시오.

에이전트 작업 계정의 자격 증명을 선택할 때 고려할 사항은 다음과 같습니다.

• 도메인 컨트롤러를 모니터링하는 데 사용되는 에이전트의 경우 권한이 낮은 계정으로도 충분합니다.

• 도메인 계정을 사용하려면 암호 만료 정책에 따라 암호를 일관되게 업데이트해야 합니다.

• 권한이 낮은 계정을 사용하도록 작업 계정을 구성하고 System Center 관리 서비스가 실행되는 동안 필요한 그룹에 이 계정을 추가한 경우 System Center 관리 서비스를 중지한 다음 다시 시작해야 합니다.

알림 작업 계정

알림 작업 계정은 사용자가 알림을 구성하기 위해 만든 실행 계정입니다. 이 계정은 알림을 만들고 보내는 데 사용되는 작업 계정입니다. 이 계정에 사용하는 자격 증명에는 알림에 사용할 SMTP 서버, 인스턴트 메시징 서버 또는 SIP 서버에 대한 충분한 권한이 있어야 합니다.

알림 작업 계정에 대해 입력한 자격 증명의 암호를 변경하는 경우 실행 계정의 암호도 동일하게 변경해야 합니다.

작업 계정 자격 증명 관리

Operations Manager는 선택한 계정의 암호 만료 날짜를 확인하고 계정이 만료되기 14일 전에 경고를 생성합니다. Active Directory에서 암호를 변경하는 경우 실행 계정 속성 페이지의 계정 탭에서 Operations Manager의 작업 계정에 대한 암호를 변경할 수 있습니다. 작업 계정 자격 증명을 관리하는 방법에 대한 자세한 내용은 작업 계정 자격 증명을 변경 하는 방법을 참조하십시오.

서비스 계정

System Center 구성 서비스 및 System Center Data Access 서비스 계정의 자격 증명 집합은 System Center Data Access 서비스 및 System Center 관리 구성 서비스에서 운영 데이터베이스의 정보를 업데이트하고 읽는 데 사용됩니다. Operations Manager는 DAS(Data Access 서비스) 서비스 계정에 사용되는 자격 증명이 운영 데이터베이스의 Sdk_user 역할에 지정된 것인지 확인합니다. System Center 구성 서비스 및 System Center Data Access 서비스 계정은 로컬 시스템 계정 또는 도메인 계정으로 구성할 수 있습니다. 로컬 사용자 계정은 지원되지 않습니다.

관리 서버와 운영 데이터베이스가 서로 다른 컴퓨터에 있는 경우 System Center 구성 서비스 및 System Center 데이터 액세스 계정을 도메인 계정으로 변경해야 합니다. 보안 향상을 위해 관리 서버 작업 계정에 사용한 것과 다른 계정을 사용하는 것이 좋습니다. 이러한 계정을 변경하려면 시스템 센터 관리 구성 서비스 및 시스템 센터 데이터 액세스 서비스에 대 한 자격 증명 변경 하는 방법을 참조하십시오.

에이전트 설치 계정

검색 기반 에이전트 배포를 구현하는 경우 관리자 권한이 있는 계정을 묻는 메시지가 표시됩니다. 이 계정은 컴퓨터에 에이전트를 설치하는 데 사용되므로 에이전트를 배포할 모든 컴퓨터의 로컬 관리자여야 합니다. 관리 서버 작업 계정은 에이전트 설치에 필요한 기본 계정입니다. 관리 서버 작업 계정에 관리자 권한이 없으면 기타 사용자 계정을 선택하고 관리자 권한이 있는 계정을 입력합니다. 이 계정은 암호화된 상태로 사용된 다음 삭제됩니다.

데이터 웨어하우스 쓰기 계정

데이터 웨어하우스 쓰기 계정은 관리 서버에서 보고 데이터 웨어하우스로 데이터를 쓰고 운영 데이터베이스에서 데이터를 읽습니다. 이 계정에 대해 사용자가 제공하는 자격 증명은 다음 표에서 설명한 대로 응용 프로그램에 따라 역할의 구성원에게 부여됩니다.

참고

System Center 2012 - Operations Manager에 대해 지원되는 구성에 대한 자세한 내용은 System Center 2012 – Operations Manager의 지원 구성을 참조하십시오.

응용 프로그램	데이터베이스/역할	역할/계정
Microsoft SQL Server의 지원 버전	운영 데이터베이스	db_datareader
Microsoft SQL Server의 지원 버전	운영 데이터베이스	dwsync_user
Microsoft SQL Server의 지원 버전	데이터 웨어하우스 데이터베이스	OpsMgrWriter
Microsoft SQL Server의 지원 버전	데이터 웨어하우스 데이터베이스	db_owner
Operations Manager	사용자 역할	Operations Manager 보고서 보안 관리자 계정
Operations Manager	실행 계정	데이터 웨어하우스 작업 계정
Operations Manager	실행 계정	데이터 웨어하우스 구성 동기화 판독기 계정

데이터 웨어하우스 쓰기 계정에 대해 입력한 자격 증명의 암호를 변경하는 경우 다음 계정의 암호도 동일하게 변경해야 합니다.

• 데이터 웨어하우스 작업 계정이라는 실행 계정

• 데이터 웨어하우스 구성 동기화 판독기 계정이라는 실행 계정

데이터 판독기 계정

이 계정은 보고서를 배포하고 SQL Server Reporting Services에서 보고 데이터 웨어하우스에 대해 쿼리를 실행하는 데 사용하는 사용자를 정의하며 SQL Server Reporting Services IIS 응용 프로그램 풀 계정을 관리 서버에 연결하는 데 사용됩니다. 이 계정은 보고서 관리자 사용자 프로필에 추가됩니다.

이 계정에 대해 사용자가 제공하는 자격 증명은 다음 표에서 설명한 대로 응용 프로그램에 따라 역할의 구성원에게 부여됩니다.

참고

System Center 2012 - Operations Manager에 대해 지원되는 구성에 대한 자세한 내용은 System Center 2012 – Operations Manager의 지원 구성을 참조하십시오.

응용 프로그램	데이터베이스/역할	역할/계정
Microsoft SQL Server의 지원 버전	보고 서버 설치 인스턴스	보고 서버 실행 계정
Microsoft SQL Server의 지원 버전	데이터 웨어하우스 데이터베이스	OpsMgrReader
System Center 2012 - Operations Manager	사용자 역할	Operations Manager Report Security Administrator
System Center 2012 - Operations Manager	사용자 역할	Operation Manager Report Operator
System Center 2012 - Operations Manager	실행 계정	데이터 웨어하우스 보고서 배포 계정
IIS(인터넷 정보 서비스)	응용 프로그램 풀	ReportServer$<인스턴스>
Windows 서비스	SQL Server Reporting Services	로그온 계정

데이터 판독기 계정에 대해 입력한 자격 증명의 암호를 변경하는 경우 다음 계정의 암호도 동일하게 변경해야 합니다.

• 보고 서버 실행 계정

• SSRS(SQL Server Reporting Services)를 호스트하는 컴퓨터의 SQL Server Reporting Services 서비스 계정

• IIS ReportServer$<인스턴스> 응용 프로그램 풀 계정

• 데이터 웨어하우스 보고서 배포 계정의 실행 계정

계정 정보

• 작업 계정 자격 증명을 변경 하는 방법

• 시스템 센터 관리 구성 서비스 및 시스템 센터 데이터 액세스 서비스에 대 한 자격 증명 변경 하는 방법

• IIS ReportServer 응용 프로그램 풀 계정의 암호를 변경 하는 방법

• 보고 서버 실행 계정 암호를 변경 하는 방법

• SQL Server 보고 서비스 Windows 서비스 계정 암호를 변경 하는 방법

• 프로 파일을 연결 된 실행 계정으로 실행을 변경 하는 방법