Operations Manager 계정
게시: 2016년 3월
적용 대상: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
모니터링 인프라의 다양한 부분과 통신하려면 System Center 2012 - Operations Manager 관리 그룹에 두 개의 계정이 필요합니다. 즉, 관리 서버 작업 계정과 System Center 구성 서비스 및 System Center Data Access 서비스 계정이 필요합니다. 사용자는 설치하는 동안 이러한 계정의 자격 증명을 지정해야 합니다.
보고를 설치하는 경우 데이터 웨어하우스 쓰기 계정과 데이터 판독기 계정의 2가지 계정에 대해 자격 증명을 지정해야 합니다.
또한 에이전트를 설치할 때는 컴퓨터 검색 계정 및 에이전트 작업 계정에 대한 자격 증명을 제공해야 합니다. 에이전트를 설치할 컴퓨터에 대한 관리자 권한이 있는 계정을 묻는 메시지가 표시됩니다.
작업 계정
작업 계정은 관리되는 컴퓨터(에이전트가 설치된 컴퓨터 또는 관리 서버)에 대한 정보를 수집하고 응답을 실행하는 데 사용됩니다. MonitoringHost.exe 프로세스는 작업 계정 또는 특정 실행 계정에서 실행되며, 지정된 시간에 둘 이상의 MonitoringHost.exe 프로세스가 에이전트에서 실행될 수 있습니다.
MonitoringHost.exe에서 수행하는 작업의 예를 들면 다음과 같습니다.
Windows 이벤트 로그 데이터의 모니터링 및 수집
Windows 성능 카운터 데이터의 모니터링 및 수집
WMI(Windows Management Instrumentation) 데이터의 모니터링 및 수집
스크립트나 일괄 처리와 같은 작업 실행
상태 서비스 프로세스를 단일 MOMHost 프로세스 및 여러 MOMHost 프로세스의 사용과 분리하면 관리되는 컴퓨터에서 실행 중인 스크립트가 중지하거나 실패하는 경우에도 관리되는 컴퓨터의 Operations Manager 서비스 기능이나 다른 응답에 영향을 주지 않게 됩니다.
작업 계정은 관리 작업 영역의 실행 프로필에 있는 기본 작업 계정을 통해 관리할 수 있습니다.
권한이 낮은 계정 사용
Operations Manager를 설치할 때 도메인 계정을 지정하거나 로컬 시스템을 사용할 수 있습니다. 보다 안전한 방법은 사용자 환경에 필요한 최소한의 권한만 가진 사용자를 선택할 수 있도록 도메인 계정을 지정하는 것입니다.
에이전트 작업 계정으로 권한이 낮은 계정을 사용할 수 있습니다. Windows Server 2003 및 Windows Vista를 실행하는 컴퓨터에서는 적어도 다음 권한이 있는 계정을 사용해야 합니다.
로컬 사용자 그룹의 구성원
로컬 성능 모니터 사용자 그룹의 구성원
"로컬 로그온 허용" 권한(SetInteractiveLogonRight)
중요 |
---|
위의 최소 권한은 Operations Manager에서 작업 계정에 지원하는 가장 낮은 권한입니다. 다른 실행 계정은 권한이 더 낮을 수 있습니다. 작업 계정 및 실행 계정에 필요한 실제 권한은 컴퓨터에서 실행되는 관리 팩의 종류와 관리 팩이 구성된 방법에 따라 달라집니다. 필요한 구체적인 권한에 대한 자세한 내용은 해당 관리 팩 가이드를 참조하십시오. |
관리 서버 작업 계정의 자격 증명을 선택할 때 고려할 사항은 다음과 같습니다.
권한이 낮은 계정은 Windows Server 2003 및 Windows Vista를 실행하는 컴퓨터에서만 사용할 수 있습니다. Windows 2000 및 Windows XP를 실행하는 컴퓨터에서는 작업 계정이 로컬 관리자 보안 그룹 또는 로컬 시스템의 구성원이어야 합니다.
권한이 낮은 도메인 계정을 사용할 때는 암호 만료 정책에 따라 암호를 업데이트해야 합니다.
권한이 낮은 작업 계정으로 관리 서버에서 AEM(에이전트 없이 예외 감시)을 사용하도록 설정할 수 없습니다.
보안 이벤트 로그에서 이벤트를 읽을 관리 팩이 있는 경우에는 로컬 또는 전역 정책을 사용하여 작업 계정에 감사 및 보안 로그 관리 권한을 할당해야 합니다.
작업 계정 및 Operations Manager 데이터베이스
이 제품을 설치할 때 작업 계정에 자격 증명을 할당했습니다. 기본적으로 작업 계정은 Operations Manager 데이터베이스에 대한 액세스 권한을 보유합니다. 보안 강화를 위해 작업 계정에서 Operations Manager 데이터베이스에 액세스하지 못하도록 지정하고 Operations Manager 데이터베이스에 액세스할 별도의 새 실행 계정을 만들 수 있습니다.
System Center 구성 서비스 및 System Center Data Access 서비스 계정
System Center 구성 서비스 및 System Center Data Access 서비스 계정은 System Center Data Access 및 System Center 관리 구성 서비스에서 Operations Manager 데이터베이스의 정보를 업데이트하고 읽는 데 사용됩니다. 작업 계정에 사용되는 자격 증명은 Operations Manager 데이터베이스의 sdk_user 역할에 할당됩니다.
SDK 및 구성 서비스 계정으로 사용되는 계정에는 루트 관리 서버 컴퓨터에 대한 로컬 관리자 권한이 있어야 합니다. 즉, 도메인 사용자 또는 로컬 시스템 계정이어야 합니다. 로컬 사용자 계정 사용은 지원되지 않습니다. 관리 서버 작업 계정에 사용되는 계정과 다른 계정을 사용하는 것이 좋습니다.
에이전트 설치 계정
검색 기반 에이전트 배포를 수행하는 경우 관리자 권한이 있는 계정을 묻는 메시지가 표시됩니다. 이 계정은 컴퓨터에 에이전트를 설치하는 데 사용되므로 에이전트를 배포할 모든 컴퓨터의 로컬 관리자여야 합니다. 이 계정은 암호화된 상태로 사용된 다음 삭제됩니다.
알림 작업 계정
알림을 만들고 보내는 데 사용되는 작업 계정입니다. 이 계정에 사용하는 자격 증명에는 알림에 사용할 SMTP 서버, 인스턴트 메시징 서버 또는 SIP 서버에 대한 충분한 권한이 있어야 합니다.