Partager via

Configurer et utiliser l’intégration Active Directory pour l’attribution d’agent

  • Article

System Center Operations Manager vous permet de tirer parti de votre investissement dans services de domaine Active Directory (AD DS) en vous permettant de l’utiliser pour affecter des ordinateurs gérés par l’agent aux groupes d’administration. Cet article vous aidera à créer et à gérer la configuration du conteneur dans Active Directory, ainsi qu'à gérer l'affectation des agents aux serveurs d'administration auxquels ils doivent rendre compte.

Créer un conteneur services de domaine Active Directory pour un groupe d’administration

Vous pouvez utiliser la syntaxe et la procédure de ligne de commande suivantes pour créer un conteneur domaine Active Directory Service (AD DS) pour un groupe d’administration System Center - Operations Manager. MOMADAdmin.exe est fourni à cet effet et est installé avec le serveur d’administration Operations Manager. MOMADAdmin.exe devez être exécuté par un administrateur du domaine spécifié.

Syntaxe de ligne de commande :

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Important

Vous devez placer une valeur entre guillemets si la valeur contient un espace.

  • ManagementGroupName est le nom du groupe d’administration pour lequel un conteneur AD est créé.

  • MOMAdminSecurityGroup est un groupe de sécurité de domaine, domaine\security_group format, qui est membre du rôle de sécurité Administrateurs des Gestionnaires des Opérations pour le groupe de gestion.

  • RunAsAccount : il s’agit du compte de domaine qui sera utilisé par le serveur d’administration pour lire, écrire et supprimer des objets dans AD. Utilisez le format domaine\nom d’utilisateur.

  • Le domaine est le nom du domaine dans lequel le conteneur du groupe d’administration sera créé. MOMADAdmin.exe peut être exécuté entre plusieurs domaines uniquement si une relation de confiance bidirectionnelle existe entre eux.

Pour que l’intégration d’Active Directory fonctionne, le groupe de sécurité doit être un groupe de sécurité global (si l’intégration Active Directory doit fonctionner dans plusieurs domaines avec des approbations bidirectionnelle) ou un groupe de domaine local (si l’intégration Active Directory n’est utilisée que dans un seul domaine)

Pour ajouter un groupe de sécurité au groupe Administrateurs Operations Manager, procédez comme suit.

  1. Dans la console Opérateur, sélectionnez Administration.

  2. Dans l’espace de travail Administration , sélectionnez Rôles d’utilisateur sous Sécurité.

  3. Dans rôles d’utilisateur, sélectionnez Administrateurs Operations Manager et sélectionnez l’action Propriétés ou cliquez avec le bouton droit sur Administrateurs Operations Manager, puis sélectionnez Propriétés.

  4. Sélectionnez Ajouter pour ouvrir la boîte de dialogue Sélectionner un groupe .

  5. Sélectionnez le groupe de sécurité souhaité, puis sélectionnez OK pour fermer la boîte de dialogue.

  6. Sélectionnez OK pour fermer les propriétés du rôle d’utilisateur.

Remarque

Nous vous recommandons d’utiliser un groupe de sécurité pour le rôle Administrateurs d'Operations Manager, qui peut contenir plusieurs groupes. De cette façon, les groupes et les membres de groupes peuvent être ajoutés et supprimés de groupes sans qu'un administrateur de domaine ait besoin d'effectuer des étapes manuelles pour leur attribuer les autorisations de lecture et les autorisations de suppression d'enfants au conteneur du groupe de gestion.

Utilisez la procédure suivante pour créer le conteneur AD DS.

  1. Ouvrez une invite de commandes en tant qu’administrateur.

  2. À l’invite, par exemple, entrez les éléments suivants :

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Remarque

Le chemin par défaut est C:\Program Files\Microsoft System Center 2016\Operations Manager.

Remarque

Le chemin par défaut est C:\Program Files\Microsoft System Center\Operations Manager.

  1. L’exemple de ligne de commande précédent va :

    1. Exécutez l’utilitaire MOMADAdmin.exe à partir de la ligne de commande.

    2. Créez le conteneur AD DS du groupe d’administration « Message Ops » dans la racine du schéma AD DS du domaine MessageDom . Pour créer le même conteneur AD DS de groupe d’administration dans des domaines supplémentaires, exécutez MOMADAdmin.exe pour chaque domaine.

    3. Ajoutez le compte d’utilisateur de domaine MessageDom\MessageADIntAcct au groupe de sécurité MessageDom\MessageOMAdmins AD DS et attribuez au groupe de sécurité AD DS les droits nécessaires pour gérer le conteneur AD DS.

Utiliser services de domaine Active Directory pour affecter des ordinateurs à des serveurs d’administration

L’Assistant d'affectation et de gestion de basculement des agents d'Operations Manager crée une règle d’attribution d’agent qui utilise les services de domaine Active Directory (AD DS), pour affecter des ordinateurs à un groupe d’administration, et assigner le serveur de gestion principal et les serveurs de gestion secondaires des ordinateurs. Utilisez les procédures suivantes pour démarrer et utiliser l’Assistant.

Important

Le conteneur des Services de Domaine Active Directory du groupe d’administration doit être créé avant d’exécuter l’Assistant d'Affectation et de Basculement de l’Agent.

L’Assistant d’Affectation et de Basculement de l’agent ne déploie pas l’agent. Vous devez déployer manuellement l’agent sur les ordinateurs à l’aide de MOMAgent.msi.

La modification de la règle d’attribution d’agent peut entraîner le fait que les ordinateurs ne soient plus affectés à, et donc surveillés par, le groupe d’administration. L’état de ces ordinateurs passe à critique, car les ordinateurs n’envoient plus de pulsations au groupe d’administration. Ces ordinateurs peuvent être supprimés du groupe d’administration et, si l’ordinateur n’est pas affecté à d’autres groupes d’administration, l’agent Operations Manager peut être désinstallé.

Démarrer l’Assistant d’Affectation et de Basculement de l’Agent Operations Manager

  1. Connectez-vous à l’ordinateur avec un compte membre du rôle des Administrateurs de l'Operations Manager.

  2. Dans la console Operations, sélectionnez Administration.

  3. Dans l’espace de travail Administration, sélectionnez Serveurs d’administration.

  4. Dans le volet Serveurs d’administration, cliquez avec le bouton droit sur le serveur d’administration ou le serveur de passerelle pour le serveur d’administration principal pour les ordinateurs retournés par les règles que vous allez créer dans la procédure suivante, puis sélectionnez Propriétés.

    Remarque

    Les serveurs de passerelle fonctionnent comme les serveurs d’administration dans ce contexte.

  5. Dans la boîte de dialogue Propriétés du serveur d’administration, sélectionnez l’onglet Affectation automatique de l’agent, puis sélectionnez Ajouter pour démarrer l’Assistant Affectation de l’agent et Basculement.

  6. Dans l'Assistant Affectation et basculement de l’agent, sur la page Introduction, sélectionnez Suivant.

    Remarque

    La page Introduction n’apparaît pas si l’Assistant a été exécuté et ne pas afficher cette page à nouveau a été sélectionnée.

  7. Dans la page Domaine , procédez comme suit :

    Remarque

    Pour affecter des ordinateurs de plusieurs domaines à un groupe d’administration, exécutez l’Assistant Affectation et basculement de l’agent pour chaque domaine.

    • Sélectionnez le domaine des ordinateurs dans la liste déroulante Nom de domaine . Le serveur d’administration et tous les ordinateurs du pool de ressources affectation de l’Agent AD doivent être capables de résoudre le nom de domaine.

      Important

      Le serveur d’administration et les ordinateurs que vous souhaitez gérer doivent être dans des domaines de confiance bidirectionnels.

    • Définissez Select Run As Profile sur le profil Run As associé au compte Run As fourni lorsque MOMADAdmin.exe a été exécuté pour le domaine. Le compte par défaut utilisé pour effectuer l’attribution d’agent est le compte d’action par défaut spécifié lors de l’installation , également appelé compte d’affectation d’agent basé sur Active Directory. Ce compte représente les informations d’identification utilisées lors de la connexion à Active Directory du domaine spécifié et la modification d’objets Active Directory et doit correspondre au compte spécifié lors de l’exécution de MOMAdmin.exe. Si ce n’était pas le compte utilisé pour exécuter MOMADAdmin.exe, sélectionnez Utiliser un autre compte pour effectuer l’attribution d’agent dans le domaine spécifié, puis sélectionnez ou créez le compte dans la liste déroulante Sélectionner un profil d’identification. Le profil de compte d’affectation d’agent basé sur Active Directory doit être configuré pour utiliser un compte d’administrateur Operations Manager, qui est distribué à tous les serveurs du pool de ressources Affectation d’agent AD.

      Remarque

      Pour plus d’informations sur les profils 'Exécuter en tant que' et les comptes 'Exécuter en tant que', consultez Gestion des comptes et profils 'Exécuter en tant que'.

  8. Dans la page Critères d’inclusion, tapez la requête LDAP pour affecter des ordinateurs à ce serveur d’administration dans la zone de texte, puis sélectionnez Suivant, ou sélectionnez Configurer. Si vous sélectionnez Configurer, procédez comme suit :

    1. Dans la boîte de dialogue Rechercher des ordinateurs , entrez les critères souhaités pour affecter des ordinateurs à ce serveur d’administration ou entrez votre requête LDAP spécifique.

      La requête LDAP suivante retourne uniquement les ordinateurs exécutant le système d’exploitation Windows Server et exclut les contrôleurs de domaine.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Cet exemple de requête LDAP retourne uniquement les ordinateurs exécutant le système d’exploitation Windows Server. Il exclut les contrôleurs de domaine et les serveurs hébergeant le rôle serveur d’administration Operations Manager ou Service Manager.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Pour plus d’informations sur les requêtes LDAP, consultez Création d’un filtre de requête et la rubrique relative aux filtres de syntaxe LDAP dans Active Directory.

    2. Sélectionnez OK, puis Suivant.

  9. Dans la page Critères d’exclusion, tapez le nom de domaine complet des ordinateurs que vous souhaitez explicitement empêcher d’être géré par ce serveur d’administration, puis sélectionnez Suivant.

    Important

    Vous devez séparer par un point-virgule, un deux-points ou une nouvelle ligne (ctrl+entrée) les noms de domaine complets de l'ordinateur que vous saisissez.

  10. Dans la page Basculement de l’agent, sélectionnez Gérer automatiquement le basculement et Créer ou sélectionnez Configurer manuellement le basculement. Si vous sélectionnez Configurer le basculement manuellement, procédez comme suit :

    1. Désactivez les cases à cocher des serveurs d’administration vers lesquels vous ne souhaitez pas que les agents basculent.

    2. Sélectionnez Créer.

      Remarque

      Avec l’option configurer manuellement le basculement, vous devez réexécuter l’Assistant si vous ajoutez par la suite un serveur d’administration au groupe d’administration et souhaitez que les agents basculent vers le nouveau serveur d’administration.

  11. Dans la boîte de dialogue Propriétés du serveur d’administration, sélectionnez OK.

Remarque

La propagation du paramètre d’affectation d’agent dans AD DS peut prendre jusqu’à une heure.

Une fois terminée, la règle suivante est créée dans le groupe d’administration et cible la classe Pool de ressources d'affectation AD.

Capture d’écran de la règle d’affectation de l’agent d’intégration AD.
Cette règle inclut les informations de configuration relatives à l'attribution d'agent que vous avez spécifiées dans l'assistant Affectation et basculement de l'agent, telles que la requête LDAP.

Pour vérifier si le groupe de gestion a correctement publié ses informations dans Active Directory, recherchez l’ID d’événement 11470 provenant des Modules de service de santé dans le journal des événements de l’Operations Manager sur le serveur d’administration où la règle d’attribution de l’agent a été définie. Dans la description, il doit indiquer qu’il a correctement ajouté tous les ordinateurs qui ont été ajoutés à la règle d’affectation de l’agent.

Capture d’écran montrant l’événement de réussite de l’affectation de l’agent d’intégration AD.

Dans Active Directory, sous le conteneur Operations Manager <ManagementGroupName>, vous devez voir les objets de point de connexion de service créés, semblables à ceux présentés dans l’exemple suivant.

Capture d’écran montrant les objets AD assignés à l'agent d'intégration AD.

La règle crée également deux groupes de sécurité avec le nom du serveur d’administration NetBIOS : le premier avec le suffixe « _PrimarySG<nombre aléatoire> », et le deuxième « _SecondarySG<nombre aléatoire> ». Dans cet exemple, il y a deux serveurs de gestion déployés dans le groupe de gestion. L'appartenance au groupe de sécurité principal ComputerB_Primary_SG_24901 inclut les ordinateurs qui correspondent à la règle d'inclusion définie dans votre règle d'affectation d'agent. Le groupe de sécurité ComputerA_Secondary_SG_38838 inclut le groupe principal ComputerB_Primary_SG_24901, contenant le compte machine des agents qui basculeraient vers ce serveur de gestion secondaire en cas de non-réponse du serveur de gestion principal. Le nom SCP est le nom NetBIOS du serveur d’administration avec le suffixe « _SCP ».

Remarque

Dans cet exemple, il affiche uniquement des objets d’un groupe d’administration unique et non d’autres groupes d’administration qui peuvent exister et qui sont également configurés avec l’intégration AD.

Déploiement manuel de l’agent avec le paramètre d’intégration Active Directory

Vous trouverez ci-dessous un exemple de ligne de commande pour installer manuellement l’agent Windows avec l’intégration Active Directory activée.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Modifier le paramètre d’intégration Active Directory pour un agent

Vous pouvez utiliser la procédure suivante pour modifier le paramètre d'intégration Active Directory pour un agent.

  1. Sur l’ordinateur géré par agent, dans le Panneau de contrôle, double-cliquez sur Microsoft Monitoring Agent.

  2. Sous l’onglet Operations Manager , désactivez ou sélectionnez Mettre automatiquement à jour les affectations de groupes d’administration à partir d’AD DS. Si vous sélectionnez cette option, au démarrage de l'agent, l'agent interroge Active Directory pour obtenir une liste de groupes d'administration auxquels il a été affecté. Ces groupes d'administration, le cas échéant, seront ajoutés à la liste. Si vous désactivez cette option, tous les groupes d'administration affectés à l'agent dans Active Directory seront supprimés de la liste.

  3. Cliquez sur OK.

Intégrer Active Directory à un domaine non approuvé

  1. Créez un utilisateur dans un domaine non approuvé avec des autorisations pour lire, écrire et supprimer des objets dans AD.
  2. Créez un groupe de sécurité (domaine local ou global). Ajoutez l’utilisateur (créé à l’étape 1) à ce groupe.
  3. Exécutez MOMAdAdmin.exe dans le domaine non approuvé avec les paramètres suivants : <path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
  4. Créez un nouveau compte Exécuter en tant que dans Operations Manager ; utilisez le compte créé à l’étape 1. Vérifiez que le nom de domaine est fourni avec le FQDN (Nom de Domaine Complètement Qualifié), et non pas le nom NetBIOS (par exemple : CONTOSO.COM\ADUser).
  5. Distribuez le compte au pool de ressources d’affectation AD.
  6. Créez un nouveau profil "Run As" dans le pack de gestion par défaut. Si ce profil est créé dans un autre pack d’administration, veillez à sceller le pack d’administration afin qu’il puisse être référencé à d’autres packs d’administration.
  7. Ajoutez le « Run As account » nouvellement créé à ce profil et ciblez-le dans le pool de ressources d’affectation de l'Active Directory.
  8. Créez les règles d’intégration Active Directory dans Operations Manager.

Remarque

Après l’intégration avec un domaine non approuvé, chaque serveur d’administration affiche le message d'avertissement Base de données de sécurité sur le serveur n’a pas de compte d’ordinateur pour cette relation d’approbation de station de travail indiquant que la validation du compte Run As utilisé par l’affectation AD a échoué. L’ID d’événement 7000 ou 1105 est généré dans le journal des événements Operations Manager. Toutefois, cette alerte n’a aucun effet sur l’attribution AD dans un domaine non approuvé.

Étapes suivantes

Pour comprendre comment installer l'Agent Windows à partir de la console Opératrice, consultez Installer l'Agent sur Windows à l'aide de l'Assistant de Découverte ou pour savoir comment installer l'Agent à partir de la ligne de commande, consultez Installer manuellement l'Agent Windows à l'aide de MOMAgent.msi.