서비스, 사용자 및 보안 계정
중요
이 버전의 Operations Manager는 지원이 종료되었습니다. Operations Manager 2022로 업그레이드하는 것이 좋습니다.
Operations Manager를 설치하고 매일 작업하는 동안 여러 계정에 대한 자격 증명을 제공하라는 메시지가 표시됩니다. 이 문서에서는 SDK 및 구성 서비스, 에이전트 설치, 데이터 웨어하우스 쓰기, 데이터 판독기 계정 등 이러한 각 계정에 대한 정보를 제공합니다.
참고
Operations Manager 설치는 필요한 모든 SQL 권한을 프로비저닝합니다.
도메인 계정을 사용하고 도메인 그룹 정책 개체(GPO)에 필요한 기본 암호 만료 정책이 설정된 경우 일정에 따라 서비스 계정의 암호를 변경하거나, 시스템 계정을 사용하거나, 암호가 만료되지 않도록 계정을 구성해야 합니다.
작업 계정
System Center Operations Manager에서 관리 서버, 게이트웨이 서버 및 에이전트는 모두 MonitoringHost.exe라는 프로세스를 실행합니다. MonitoringHost.exe는 모니터링 작업(예: 모니터 실행 또는 작업 실행)을 완료하는 데 사용됩니다. MonitoringHost.exe 수행하는 작업의 다른 예는 다음과 같습니다.
- Windows 이벤트 로그 데이터의 모니터링 및 수집
- Windows 성능 카운터 데이터의 모니터링 및 수집
- WMI(Windows Management Instrumentation) 데이터의 모니터링 및 수집
- 스크립트 또는 일괄 처리와 같은 작업 실행
MonitoringHost.exe 프로세스에서 실행하는 계정을 작업 계정이라고 합니다. MonitoringHost.exe는 작업 계정에 지정한 자격 증명을 사용하여 이러한 작업을 실행하는 프로세스입니다. 각 계정에 대해 MonitoringHost.exe의 새 인스턴스가 만들어집니다. 에이전트에서 실행되는 MonitoringHost.exe 프로세스의 작업 계정을 에이전트 작업 계정이라고 합니다. 관리 서버에서 실행되는 MonitoringHost.exe 프로세스에 사용되는 작업 계정을 관리 서버 작업 계정이라고 합니다. 게이트웨이 서버에서 MonitoringHost.exe 프로세스에 사용되는 작업 계정을 게이트웨이 서버 작업 계정이라고 합니다. 관리 그룹의 모든 관리 서버에서 organization IT 보안 정책에서 최소 권한 액세스 권한이 필요하지 않은 경우 계정에 로컬 관리 권한을 부여하는 것이 좋습니다.
작업이 실행 프로필과 연결되지 않은 경우 작업을 수행하는 데 사용되는 자격 증명은 작업 계정에 대해 정의한 자격 증명이 됩니다. 실행 계정 및 실행 프로필에 대한 자세한 내용은 실행 계정 섹션을 참조하세요. 에이전트가 기본 작업 계정 및/또는 실행 계정으로 작업을 실행하는 경우 각 계정에 대해 MonitoringHost.exe의 새 인스턴스가 만들어집니다.
Operations Manager를 설치할 때 도메인 계정을 지정하거나 LocalSystem을 사용할 수 있는 옵션이 있습니다. 보다 안전한 방법은 사용자 환경에 필요한 최소한의 권한만 가진 사용자를 선택할 수 있도록 도메인 계정을 지정하는 것입니다.
에이전트의 작업 계정에 대해 최소 권한 계정을 사용할 수 있습니다. Windows Server 2008 R2 이상을 실행하는 컴퓨터에서는 적어도 다음 권한이 있는 계정을 사용해야 합니다.
- 로컬 사용자 그룹의 구성원
- 로컬 성능 모니터 사용자 그룹의 구성원
- 로컬에서 로그온(SetInteractiveLogonRight) 권한(Operations Manager 2019 이상에는 해당되지 않음)을 허용합니다.
참고
위의 최소 권한은 Operations Manager에서 작업 계정에 지원하는 가장 낮은 권한입니다. 다른 실행 계정은 권한이 더 낮을 수 있습니다. 작업 계정 및 실행 계정에 필요한 실제 권한은 컴퓨터에서 실행 중인 관리 팩과 구성 방법에 따라 달라집니다. 필요한 구체적인 권한에 대한 자세한 내용은 해당 관리 팩 가이드를 참조하십시오.
보안 정책에서 스마트 카드 인증이 필요한 경우와 같이 서비스 계정에 대화형 로그온 세션을 부여할 수 없는 경우 작업 계정에 지정된 도메인 계정에 서비스로 로그온(SeServiceLogonRight) 또는 Batch로 로그온(SeBatchLogonRight) 권한을 부여할 수 있습니다. 레지스트리 값 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service를 수정합니다.
작업 계정에 지정된 도메인 계정에 서비스로 로그온(SeServiceLogonRight) 권한이 부여됩니다. 상태 서비스의 로그온 유형을 변경하려면 레지스트리 값 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service를 수정합니다.
- 이름: 작업자 프로세스 로그온 유형
- 형식: REG_DWORD
- 값: 넷(4) - 일괄 처리로 로그온, 둘(2) - 로컬 로그온 허용 및 다섯(5) - 서비스로 로그온. 기본값은 2입니다.
- 값: 넷(4) - 일괄 처리로 로그온, 둘(2) - 로컬 로그온 허용 및 다섯(5) - 서비스로 로그온. 기본값은 5입니다.
C:\Windows\PolicyDefinitions 폴더에 있는 관리 서버 또는 에이전트 관리 시스템에서 ADMX 파일 healthservice.admx를 복사하고 Computer Configuration\Administrative Templates\System Center - Operations Manager 폴더 아래에서 healthservice.admx 설정을 구성하여 그룹 정책을 통해 설정을 중앙에서 관리할 수 있습니다. 그룹 정책 ADMX 파일 작업에 대한 자세한 내용은 Managing Group Policy ADMX files(그룹 정책 ADMX 파일 관리)를 참조하세요.
System Center 구성 서비스 및 System Center Data Access 서비스 계정
System Center 구성 서비스 및 System Center Data Access 서비스 계정은 System Center Data Access 및 System Center 관리 구성 서비스에서 운영 데이터베이스의 정보를 업데이트하고 읽는 데 사용됩니다. 작업 계정에 사용되는 자격 증명은 운영 데이터베이스의 sdk_user 역할에 할당됩니다.
즉, 도메인 사용자 또는 LocalSystem 계정이어야 합니다. SDK 및 구성 서비스 계정에 사용되는 계정에는 관리 그룹의 모든 관리 서버에 대한 로컬 관리 권한이 부여되어야 합니다. 로컬 사용자 계정의 사용은 지원되지 않습니다. 보안을 강화하기 위해 도메인 사용자 계정을 사용하는 것이 좋으며 관리 서버 작업 계정에 사용된 계정과는 다른 계정입니다. LocalSystem 계정은 Windows 컴퓨터에서 로컬 관리자 보다 훨씬 더 높은 최고 권한 계정입니다. 서비스가 LocalSystem의 컨텍스트에서 실행되면 서비스는 컴퓨터의 로컬 리소스를 완전히 제어하고 원격 리소스에 인증하고 액세스할 때 컴퓨터의 ID를 사용합니다. LocalSystem 계정을 사용하는 것은 최소 권한의 원칙을 존중하지 않기 때문에 보안 위험입니다. Operations Manager 데이터베이스를 호스트하는 SQL Server 인스턴스에 필요한 권한 때문에 최소 권한을 가진 도메인 계정은 관리 그룹의 관리 서버가 손상되는 경우 보안 위험을 방지하는 데 필요합니다. 그 이유는 다음과 같습니다.
- LocalSystem에는 암호가 없음
- 자체 프로필이 없습니다.
- 로컬 컴퓨터에 대한 광범위한 권한이 있음
- 원격 컴퓨터에 컴퓨터의 자격 증명을 제공함
참고
Operations Manager 데이터베이스가 관리 서버와 다른 컴퓨터에 설치된 경우 Data Access 및 Configuration 서비스 계정으로 LocalSystem을 선택하면 관리 서버 컴퓨터의 컴퓨터 계정이 Operations Manager 데이터베이스 컴퓨터의 sdk_user 역할에 할당됩니다.
자세한 내용은 LocalSystem을 참조하세요.
데이터 웨어하우스 쓰기 계정
데이터 웨어하우스 쓰기 계정은 관리 서버에서 보고 데이터 웨어하우스로 데이터를 쓰고 운영 데이터베이스에서 데이터를 읽는 데 사용되는 계정입니다. 다음 표에서는 설치하는 동안 도메인 사용자 계정에 할당되는 역할 및 구성원 자격을 설명합니다.
| 애플리케이션 | 데이터베이스/역할 | 역할/계정 |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | 사용자 역할 | Operations Manager Report Security Administrator |
| Operations Manager | 실행 계정 | 데이터 웨어하우스 작업 계정 |
| Operations Manager | 실행 계정 | 데이터 웨어하우스 구성 동기화 판독기 계정 |
데이터 판독기 계정
데이터 판독기 계정은 보고서를 배포하고 SQL Server Reporting Services에서 보고 데이터 웨어하우스에 대해 쿼리를 실행하는 데 사용하는 사용자를 정의하며 관리 서버에 연결할 SQL Reporting Services 계정을 정의하는 데 사용됩니다. 이 도메인 사용자 계정은 보고서 관리자 사용자 프로필에 추가됩니다. 다음 표에서는 설치하는 동안 계정에 할당되는 역할 및 구성원 자격을 설명합니다.
| 애플리케이션 | 데이터베이스/역할 | 역할/계정 |
|---|---|---|
| Microsoft SQL Server | Reporting Services 설치 인스턴스 | 보고서 서버 실행 계정 |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | 사용자 역할 | Operation Manager 보고서 운영자 |
| Operations Manager | 사용자 역할 | Operations Manager Report Security Administrator |
| Operations Manager | 실행 계정 | 데이터 웨어하우스 보고서 배포 계정 |
| Windows 서비스 | SQL Server Reporting Services | 로그온 계정 |
Data Reader 계정에 사용하려는 계정에 서비스로 로그온(2019 이상인 경우) 또는 서비스로 로그온 및 로컬 로그온 허용(이전 릴리스인 경우), 각 관리 서버에 대한 권한 및 보고 서버 역할을 호스팅하는 SQL Server가 부여되었는지 확인합니다.
에이전트 설치 계정
검색 기반 에이전트 배포를 수행할 때는 에이전트 설치 대상 컴퓨터에 대한 관리자 권한을 가진 계정이 필요합니다. 관리 서버 작업 계정은 에이전트 설치에 필요한 기본 계정입니다. 관리 서버 작업 계정에 관리자 권한이 없는 경우 운영자는 대상 컴퓨터에 대한 관리 권한이 있는 사용자 계정 및 암호를 제공해야 합니다. 이 계정은 암호화된 상태로 사용된 다음 삭제됩니다.
알림 작업 계정
알림 작업 계정은 알림을 만들고 보내는 데 사용되는 계정입니다. 이러한 자격 증명에는 알림에 사용할 SMTP 서버, 인스턴트 메시징 서버 또는 SIP 서버에 대한 충분한 권한이 있어야 합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기