다음을 통해 공유


서비스, 사용자 및 보안 계정

Operations Manager의 설정 및 일상적인 작업 중에 여러 계정에 대한 자격 증명을 제공하라는 메시지가 표시됩니다. 이 문서에서는 SDK 및 구성 서비스, 에이전트 설치, 데이터 웨어하우스 쓰기 및 데이터 판독기 계정을 포함하여 이러한 각 계정에 대한 정보를 제공합니다.

참고 항목

Operations Manager 설치는 필요한 모든 SQL 권한을 프로비전합니다.

도메인 계정을 사용하고 GPO(도메인 그룹 정책 개체)에 필요한 기본 암호 만료 정책이 설정된 경우 일정에 따라 서비스 계정의 암호를 변경하거나, 시스템 계정을 사용하거나, 암호가 만료되지 않도록 계정을 구성해야 합니다.

작업 계정

System Center Operations Manager에서 관리 서버, 게이트웨이 서버 및 에이전트는 모두 MonitoringHost.exe 프로세스를 실행합니다. MonitoringHost.exe 모니터 실행 또는 작업 실행과 같은 모니터링 작업을 수행하는 데 사용됩니다. MonitoringHost.exe 수행하는 작업의 다른 예는 다음과 같습니다.

  • Windows 이벤트 로그 데이터의 모니터링 및 수집
  • Windows 성능 카운터 데이터의 모니터링 및 수집
  • WMI(Windows Management Instrumentation) 데이터의 모니터링 및 수집
  • 스크립트 또는 일괄 처리와 같은 작업 실행

MonitoringHost.exe 프로세스에서 실행하는 계정을 작업 계정이라고 합니다. MonitoringHost.exe 작업 계정에 지정된 자격 증명을 사용하여 이러한 작업을 실행하는 프로세스입니다. 각 계정에 대해 MonitoringHost.exe의 새 인스턴스가 만들어집니다. 에이전트에서 실행되는 MonitoringHost.exe 프로세스에 대한 작업 계정을 에이전트 작업 계정이라고 합니다. 관리 서버의 MonitoringHost.exe 프로세스에서 사용하는 작업 계정을 관리 서버 작업 계정이라고 합니다. 게이트웨이 서버의 MonitoringHost.exe 프로세스에서 사용하는 작업 계정을 게이트웨이 서버 작업 계정이라고 합니다. 관리 그룹의 모든 관리 서버에서 조직의 IT 보안 정책에 최소 권한의 액세스 권한이 필요하지 않은 경우 계정 로컬 관리 권한을 부여하는 것이 좋습니다.

작업이 실행 프로필과 연결되지 않은 경우 작업을 수행하는 데 사용되는 자격 증명은 작업 계정에 대해 정의한 자격 증명이 됩니다. 실행 계정 및 실행 프로필에 대한 자세한 내용은 실행 계정 섹션 을 참조하세요. 에이전트가 작업을 기본 작업 계정 및/또는 실행 계정으로 실행하면 각 계정에 대해 새 MonitoringHost.exe 인스턴스가 만들어집니다.

Operations Manager를 설치할 때 도메인 계정을 지정하거나 LocalSystem을 사용하는 옵션이 있습니다. 보다 안전한 방법은 도메인 계정을 지정하는 것이며, 이를 통해 사용자 환경에 필요한 최소 권한으로 사용자를 선택할 수 있습니다.

에이전트의 작업 계정에 대해 최소 권한 계정을 사용할 수 있습니다. Windows Server 2008 R2 이상을 실행하는 컴퓨터에서 계정에는 다음과 같은 최소 권한이 있어야 합니다.

  • 로컬 사용자 그룹의 구성원
  • 로컬 성능 모니터 사용자 그룹의 구성원
  • 로컬에서 로그온(SetInteractiveLogonRight) 권한(Operations Manager 2019 이상에는 해당되지 않음)을 허용합니다.

참고 항목

위에서 설명한 최소 권한은 Operations Manager가 작업 계정에 대해 지원하는 가장 낮은 권한입니다. 다른 실행 계정은 권한이 더 낮을 수 있습니다. 작업 계정 및 실행 계정에 필요한 실제 권한은 컴퓨터에서 실행되는 관리 팩과 구성 방법에 따라 달라집니다. 필요한 구체적인 권한에 대한 자세한 내용은 해당 관리 팩 가이드를 참조하십시오.

보안 정책에서 스마트 카드 인증이 필요한 경우와 같이 서비스 계정에 대화형 로그온 세션을 허용하지 않는 경우 작업 계정에 대해 지정된 도메인 계정에 서비스로 로그온(SeServiceLogonRight) 또는 Batch로 로그온(SeBatchLogonRight) 권한을 부여할 수 있습니다. 레지스트리 값 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\상태 관리 서비스 수정합니다.

작업 계정에 대해 지정된 도메인 계정에는 서비스로 로그온(SeServiceLogonRight) 권한이 부여됩니다. 상태 서비스에 대한 로그온 유형을 변경하려면 레지스트리 값 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\상태 관리 서비스 수정합니다.

  • 이름: 작업자 프로세스 로그온 유형
  • 유형: REG_DWORD
  • 값: 넷(4) - 일괄 처리로 로그온, 둘(2) - 로컬 로그온 허용 및 다섯(5) - 서비스로 로그온. 기본값은 2입니다.
  • 값: 넷(4) - 일괄 처리로 로그온, 둘(2) - 로컬 로그온 허용 및 다섯(5) - 서비스로 로그온. 기본값은 5입니다.

C:\Windows\PolicyDefinitions 폴더에 있는 관리 서버 또는 에이전트 관리 시스템에서 ADMX 파일 healthservice.admx를 복사하고 Computer Configuration\Administrative Templates\System Center - Operations Manager 폴더 아래에서 모니터링 작업 계정 로그온 유형 설정을 구성하여 그룹 정책을 통해 설정을 중앙에서 관리할 수 있습니다. 그룹 정책 ADMX 파일로 작업하는 자세한 내용은 그룹 정책 ADMX 파일 관리를 참조 하세요.

System Center Configuration Service 및 System Center Data Access Service 계정

System Center 구성 서비스 및 System Center 데이터 액세스 서비스 계정은 System Center 데이터 액세스 및 System Center 관리 구성 서비스에서 운영 데이터베이스의 정보를 업데이트하는 데 사용됩니다. 작업 계정에 사용되는 자격 증명은 운영 데이터베이스의 sdk_user 역할에 할당됩니다.

계정은 도메인 사용자 또는 LocalSystem이어야 합니다. SDK 및 Config Service 계정에 사용되는 계정에는 관리 그룹의 모든 관리 서버에 대한 로컬 관리 권한이 부여되어야 합니다. 로컬 사용자 계정의 사용은 지원되지 않습니다. 보안 강화를 위해 도메인 사용자 계정을 사용하는 것이 좋으며 관리 서버 작업 계정에 사용된 계정과는 다른 계정을 사용하는 것이 좋습니다. LocalSystem 계정은 Windows 컴퓨터에서 가장 높은 권한 계정이며 로컬 관리자보다 훨씬 높습니다. 서비스가 LocalSystem의 컨텍스트에서 실행되는 경우 서비스는 컴퓨터의 로컬 리소스를 완전히 제어하며, 원격 리소스에 인증하고 액세스할 때 컴퓨터의 ID가 사용됩니다. LocalSystem 계정을 사용하는 것은 최소 권한의 원칙을 존중하지 않기 때문에 보안 위험입니다. Operations Manager 데이터베이스를 호스팅하는 SQL Server 인스턴스에 필요한 권한 때문에 관리 그룹의 관리 서버가 손상된 경우 보안 위험을 방지하기 위해 권한이 최소인 도메인 계정이 필요합니다. 이유는 다음과 같습니다.

  • LocalSystem에 암호가 없음
  • 자체 프로필이 없습니다.
  • 로컬 컴퓨터에 대한 광범위한 권한이 있습니다.
  • 원격 컴퓨터에 컴퓨터의 자격 증명을 표시합니다.

참고 항목

Operations Manager 데이터베이스가 관리 서버와 별도로 컴퓨터에 설치되고 Data Access 및 Configuration 서비스 계정에 대해 LocalSystem이 선택된 경우 관리 서버 컴퓨터의 컴퓨터 계정에 Operations Manager 데이터베이스 컴퓨터의 sdk_user 역할이 할당됩니다.

자세한 내용은 LocalSystem에 대해 참조 하세요.

데이터 웨어하우스 쓰기 계정

데이터 웨어하우스 쓰기 계정은 관리 서버에서 보고 데이터 웨어하우스로 데이터를 쓰는 데 사용되는 계정이며 Operations Manager 데이터베이스에서 데이터를 읽습니다. 다음 표에서는 설치 중에 도메인 사용자 계정에 할당된 역할 및 멤버 자격에 대해 설명합니다.

애플리케이션 데이터베이스/역할 역할/계정
Microsoft SQL Server OperationsManager db_datareader
Microsoft SQL Server OperationsManager dwsync_user
Microsoft SQL Server OperationsManagerDW OpsMgrWriter
Microsoft SQL Server OperationsManagerDW db_owner
Operations Manager 사용자 역할 Operations Manager Report Security Administrator
Operations Manager 실행 계정 데이터 웨어하우스 작업 계정
Operations Manager 실행 계정 데이터 웨어하우스 구성 동기화 판독기 계정

데이터 판독기 계정

데이터 판독기 계정은 보고서를 배포하고, SQL Server Reporting Services에서 보고 데이터 웨어하우스에 대해 쿼리를 실행하는 데 사용하는 사용자를 정의하고, 관리 서버에 연결할 SQL Reporting Services 계정을 정의하는 데 사용됩니다. 이 도메인 사용자 계정은 보고서 관리자 사용자 프로필에 추가됩니다. 다음 표에서는 설치 중에 계정에 할당된 역할 및 멤버 자격에 대해 설명합니다.

애플리케이션 데이터베이스/역할 역할/계정
Microsoft SQL Server Reporting Services 설치 인스턴스 보고서 서버 실행 계정
Microsoft SQL Server OperationsManagerDW OpsMgrReader
Operations Manager 사용자 역할 Operations Manager 보고서 연산자
Operations Manager 사용자 역할 Operations Manager Report Security Administrator
Operations Manager 실행 계정 데이터 웨어하우스 보고서 배포 계정
Windows 서비스 SQL Server Reporting Services 로그온 계정

데이터 판독기 계정에 사용할 계정에 서비스로 로그온(2019 이상) 또는 서비스로 로그온 및 로컬 로그온 허용(이전 릴리스의 경우), 각 관리 서버에 대한 권한 및 보고 서버 역할을 호스팅하는 SQL Server가 부여되었는지 확인합니다.

에이전트 설치 계정

검색 기반 에이전트 배포를 수행할 때는 에이전트 설치를 대상으로 하는 컴퓨터에서 관리자 권한이 있는 계정이 필요합니다. 관리 서버 작업 계정은 에이전트 설치에 필요한 기본 계정입니다. 관리 서버 작업 계정에 관리자 권한이 없는 경우 운영자는 대상 컴퓨터에 대한 관리 권한이 있는 사용자 계정 및 암호를 제공해야 합니다. 이 계정은 암호화된 상태로 사용된 다음 삭제됩니다.

알림 작업 계정

알림 작업 계정은 알림을 만들고 보내는 데 사용되는 계정입니다. 이러한 자격 증명에는 알림에 사용되는 SMTP 서버, 인스턴트 메시징 서버 또는 SIP 서버에 대한 충분한 권한이 있어야 합니다.