Partager via

Configurer et utiliser l’intégration Active Directory pour l’attribution d’agent

  • Article

System Center Operations Manager vous permet de tirer parti de votre investissement dans services de domaine Active Directory (AD DS) en vous permettant de l’utiliser pour affecter des ordinateurs gérés par l’agent aux groupes d’administration. Cet article vous aidera à créer et à gérer la configuration du conteneur dans Active Directory, et l’affectation d’agents de serveurs d’administration doit être effectuée.

Créer un conteneur services de domaine Active Directory pour un groupe d’administration

Vous pouvez utiliser la syntaxe et la procédure de ligne de commande suivantes pour créer un conteneur domaine Active Directory Service (AD DS) pour un groupe d’administration System Center - Operations Manager. MOMADAdmin.exe est fourni à cet effet et est installé avec le serveur d’administration Operations Manager. MOMADAdmin.exe devez être exécuté par un administrateur du domaine spécifié.

Syntaxe de ligne de commande :

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Important

Vous devez placer une valeur entre guillemets si la valeur contient un espace.

  • ManagementGroupName est le nom du groupe d’administration pour lequel un conteneur AD est créé.

  • MOMAdminSecurityGroup est un groupe de sécurité de domaine, un format domaine\security_group , qui est membre du rôle de sécurité Administrateurs Operations Managers pour le groupe d’administration.

  • RunAsAccount : il s’agit du compte de domaine qui sera utilisé par le serveur d’administration pour lire, écrire et supprimer des objets dans AD. Utilisez le domaine de format\nom d’utilisateur.

  • Le domaine est le nom du domaine dans lequel le conteneur du groupe d’administration sera créé. MOMADAdmin.exe peuvent être exécutés sur plusieurs domaines uniquement si une approbation bidirectionnelle existe entre eux.

Pour que l’intégration d’Active Directory fonctionne, le groupe de sécurité doit être un groupe de sécurité global (si l’intégration Active Directory doit fonctionner dans plusieurs domaines avec des approbations bidirectionnelle) ou un groupe de domaine local (si l’intégration Active Directory n’est utilisée que dans un seul domaine)

Pour ajouter un groupe de sécurité au groupe Administrateurs Operations Manager, procédez comme suit.

  1. Dans la console Opérateur, sélectionnez Administration.

  2. Dans l’espace de travail Administration , sélectionnez Rôles d’utilisateur sous Sécurité.

  3. Dans rôles d’utilisateur, sélectionnez Administrateurs Operations Manager et sélectionnez l’action Propriétés ou cliquez avec le bouton droit sur Administrateurs Operations Manager, puis sélectionnez Propriétés.

  4. Sélectionnez Ajouter pour ouvrir la boîte de dialogue Sélectionner un groupe .

  5. Sélectionnez le groupe de sécurité souhaité, puis sélectionnez OK pour fermer la boîte de dialogue.

  6. Sélectionnez OK pour fermer les propriétés du rôle d’utilisateur.

Remarque

Nous vous recommandons d’utiliser un groupe de sécurité, qui peut contenir plusieurs groupes, pour le rôle Administrateurs Operations Manager. De cette façon, les groupes et les membres de groupes peuvent être ajoutés et supprimés de groupes sans qu’un administrateur de domaine ait besoin d’effectuer des étapes manuelles pour les affecter en lecture et supprimer des autorisations enfants au conteneur du groupe d’administration.

Utilisez la procédure suivante pour créer le conteneur AD DS.

  1. Ouvrez une invite de commandes en tant qu’administrateur.

  2. À l’invite, par exemple, entrez les éléments suivants :

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Remarque

Le chemin par défaut est C:\Program Files\Microsoft System Center 2016\Operations Manager.

Remarque

Le chemin par défaut est C:\Program Files\Microsoft System Center\Operations Manager.

  1. L’exemple de ligne de commande précédent va :

    1. Exécutez l’utilitaire MOMADAdmin.exe à partir de la ligne de commande.

    2. Créez le conteneur AD DS du groupe d’administration « Message Ops » dans la racine du schéma AD DS du domaine MessageDom . Pour créer le même conteneur AD DS de groupe d’administration dans des domaines supplémentaires, exécutez MOMADAdmin.exe pour chaque domaine.

    3. Ajoutez le compte d’utilisateur de domaine MessageDom\MessageADIntAcct au groupe de sécurité MessageDom\MessageOMAdmins AD DS et attribuez au groupe de sécurité AD DS les droits nécessaires pour gérer le conteneur AD DS.

Utiliser services de domaine Active Directory pour affecter des ordinateurs à des serveurs d’administration

L’Assistant Affectation et basculement de l’agent Operations Manager crée une règle d’attribution d’agent qui utilise services de domaine Active Directory (AD DS) pour affecter des ordinateurs à un groupe d’administration et affecter le serveur d’administration principal et les serveurs d’administration secondaires des ordinateurs. Utilisez les procédures suivantes pour démarrer et utiliser l’Assistant.

Important

Le conteneur services de domaine Active Directory du groupe d’administration doit être créé avant d’exécuter l’Assistant Affectation et basculement de l’agent.

L’Assistant Affectation et basculement de l’agent ne déploie pas l’agent. Vous devez déployer manuellement l’agent sur les ordinateurs à l’aide de MOMAgent.msi.

La modification de la règle d’attribution d’agent peut entraîner l’absence d’affectation d’ordinateurs et, par conséquent, surveillée par le groupe d’administration. L’état de ces ordinateurs passe à critique, car les ordinateurs n’envoient plus de pulsations au groupe d’administration. Ces ordinateurs peuvent être supprimés du groupe d’administration et, si l’ordinateur n’est pas affecté à d’autres groupes d’administration, l’agent Operations Manager peut être désinstallé.

Démarrer l’Assistant Affectation et basculement de l’agent Operations Manager

  1. Connectez-vous à l’ordinateur avec un compte membre du rôle Administrateurs Operations Manager.

  2. Dans la console Operations, sélectionnez Administration.

  3. Dans l’espace de travail Administration, sélectionnez Serveurs d’administration.

  4. Dans le volet Serveurs d’administration, cliquez avec le bouton droit sur le serveur d’administration ou le serveur de passerelle pour le serveur d’administration principal pour les ordinateurs retournés par les règles que vous allez créer dans la procédure suivante, puis sélectionnez Propriétés.

    Remarque

    Les serveurs de passerelle fonctionnent comme les serveurs d’administration dans ce contexte.

  5. Dans la boîte de dialogue Propriétés du serveur d’administration, sélectionnez l’onglet Affectation de l’agent automatique, puis sélectionnez Ajouter pour démarrer l’Affectation de l’agent et l’Assistant Basculement.

  6. Dans l’Assistant Affectation et basculement de l’agent, dans la page Introduction, sélectionnez Suivant.

    Remarque

    La page Introduction n’apparaît pas si l’Assistant a été exécuté et ne réexécuter cette page a été sélectionnée.

  7. Dans la page Domaine , procédez comme suit :

    Remarque

    Pour affecter des ordinateurs de plusieurs domaines à un groupe d’administration, exécutez l’Assistant Affectation et basculement de l’agent pour chaque domaine.

    • Sélectionnez le domaine des ordinateurs dans la liste déroulante Nom de domaine . Le serveur d’administration et tous les ordinateurs du pool de ressources Affectation de l’agent AD doivent être en mesure de résoudre le nom de domaine.

      Important

      Le serveur d’administration et les ordinateurs que vous souhaitez gérer doivent être dans des domaines de confiance bidirectionnels.

    • Définissez Sélectionner le profil d’identification sur le profil d’identification associé au compte d’identification fourni lorsque MOMADAdmin.exe a été exécuté pour le domaine. Le compte par défaut utilisé pour effectuer l’attribution d’agent est le compte d’action par défaut spécifié lors de l’installation , également appelé compte d’affectation d’agent basé sur Active Directory. Ce compte représente les informations d’identification utilisées lors de la connexion à Active Directory du domaine spécifié et la modification d’objets Active Directory et doit correspondre au compte spécifié lors de l’exécution de MOMAdmin.exe. Si ce n’était pas le compte utilisé pour exécuter MOMADAdmin.exe, sélectionnez Utiliser un autre compte pour effectuer l’attribution d’agent dans le domaine spécifié, puis sélectionnez ou créez le compte dans la liste déroulante Sélectionner un profil d’identification. Le profil de compte d’affectation d’agent basé sur Active Directory doit être configuré pour utiliser un compte d’administrateur Operations Manager, qui est distribué à tous les serveurs du pool de ressources Affectation d’agent AD.

      Remarque

      Pour plus d’informations sur les profils d’identification et les comptes d’identification, consultez Gestion des comptes et profils d’identification.

  8. Dans la page Critères d’inclusion, tapez la requête LDAP pour affecter des ordinateurs à ce serveur d’administration dans la zone de texte, puis sélectionnez Suivant, ou sélectionnez Configurer. Si vous sélectionnez Configurer, procédez comme suit :

    1. Dans la boîte de dialogue Rechercher des ordinateurs , entrez les critères souhaités pour affecter des ordinateurs à ce serveur d’administration ou entrez votre requête LDAP spécifique.

      La requête LDAP suivante retourne uniquement les ordinateurs exécutant le système d’exploitation Windows Server et exclut les contrôleurs de domaine.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Cet exemple de requête LDAP retourne uniquement les ordinateurs exécutant le système d’exploitation Windows Server. Il exclut les contrôleurs de domaine et les serveurs hébergeant le rôle serveur d’administration Operations Manager ou Service Manager.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Pour plus d’informations sur les requêtes LDAP, consultez Création d’un filtre de requête et la rubrique relative aux filtres de syntaxe LDAP dans Active Directory.

    2. Sélectionnez OK, puis Suivant.

  9. Dans la page Critères d’exclusion, tapez le nom de domaine complet des ordinateurs que vous souhaitez explicitement empêcher d’être géré par ce serveur d’administration, puis sélectionnez Suivant.

    Important

    Vous devez séparer les noms de domaine complets de l’ordinateur que vous tapez avec un point-virgule, un signe deux-points ou une nouvelle ligne (Ctrl+Entrée).

  10. Dans la page Basculement de l’agent, sélectionnez Gérer automatiquement le basculement, puis créez ou sélectionnez Configurer manuellement le basculement. Si vous sélectionnez Configurer manuellement le basculement, procédez comme suit :

    1. Désactivez les cases à cocher des serveurs d’administration vers lesquels vous ne souhaitez pas que les agents basculent.

    2. Sélectionnez Créer.

      Remarque

      Avec l’option configurer manuellement le basculement , vous devez réexécuter l’Assistant si vous ajoutez par la suite un serveur d’administration au groupe d’administration et souhaitez que les agents basculent vers le nouveau serveur d’administration.

  11. Dans la boîte de dialogue Propriétés du serveur d’administration, sélectionnez OK.

Remarque

La propagation du paramètre d’affectation d’agent dans AD DS peut prendre jusqu’à une heure.

Une fois terminée, la règle suivante est créée dans le groupe d’administration et cible la classe de pool de ressources d’affectation AD.

Capture d’écran de la règle d’affectation de l’agent d’intégration AD.
Cette règle inclut les informations de configuration d’attribution d’agent que vous avez spécifiées dans l’Assistant Affectation et basculement de l’agent, telles que la requête LDAP.

Pour vérifier si le groupe d’administration a correctement publié ses informations dans Active Directory, recherchez l’ID d’événement 11470 à partir des modules du service d’intégrité source dans le journal des événements Operations Manager sur le serveur d’administration sur lequel la règle d’attribution de l’agent a été définie. Dans la description, il doit indiquer qu’il a correctement ajouté tous les ordinateurs qui ont été ajoutés à la règle d’affectation de l’agent.

Capture d’écran montrant l’événement de réussite de l’affectation de l’agent d’intégration AD.

Dans Active Directory, sous le conteneur Operations Manager <ManagementGroupName>, vous devez voir les objets de point de connexion de service créés, semblables à ceux présentés dans l’exemple suivant.

Capture d’écran montrant les objets AD d’affectation d’agent d’intégration AD.

La règle crée également deux groupes de sécurité avec le nom du serveur d’administration NetBIOS : le premier avec le suffixe « _PrimarySG<nombre> aléatoire » et le deuxième « nombre aléatoire _SecondarySG<nombre> aléatoire ». Dans cet exemple, il existe deux serveurs d’administration déployés dans le groupe d’administration et l’appartenance au groupe de sécurité principal ComputerB_Primary_SG_24901 inclut les ordinateurs qui correspondent à la règle d’affectation d’agent définie dans votre règle d’attribution d’agent et le groupe de sécurité ComputerA_Secondary_SG_38838 l’appartenance inclut le groupe principal ComputerB_Primary_SG-29401 groupe de sécurité contenant le compte d’ordinateur des agents qui basculeraient vers ce serveur d’administration secondaire si le serveur d’administration principal ne répond pas. Le nom SCP est le nom NetBIOS du serveur d’administration avec le suffixe « _SCP ».

Remarque

Dans cet exemple, il affiche uniquement des objets d’un groupe d’administration unique et non d’autres groupes d’administration qui peuvent exister et qui sont également configurés avec l’intégration AD.

Déploiement manuel de l’agent avec le paramètre d’intégration Active Directory

Vous trouverez ci-dessous un exemple de ligne de commande pour installer manuellement l’agent Windows avec l’intégration Active Directory activée.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Modifier le paramètre d’intégration Active Directory pour un agent

Vous pouvez utiliser la procédure suivante pour modifier le paramètre d'intégration Active Directory pour un agent.

  1. Sur l’ordinateur géré par agent, dans le Panneau de contrôle, double-cliquez sur Microsoft Monitoring Agent.

  2. Sous l’onglet Operations Manager , désactivez ou sélectionnez Mettre automatiquement à jour les affectations de groupes d’administration à partir d’AD DS. Si vous sélectionnez cette option, au démarrage de l'agent, l'agent interroge Active Directory pour obtenir une liste de groupes d'administration auxquels il a été affecté. Ces groupes d'administration, le cas échéant, seront ajoutés à la liste. Si vous désactivez cette option, tous les groupes d'administration affectés à l'agent dans Active Directory seront supprimés de la liste.

  3. Cliquez sur OK.

Intégrer Active Directory à un domaine non approuvé

  1. Créez un utilisateur dans un domaine non approuvé avec des autorisations pour lire, écrire et supprimer des objets dans AD.
  2. Créez un groupe de sécurité (domaine local ou global). Ajoutez l’utilisateur (créé à l’étape 1) à ce groupe.
  3. Exécutez MOMAdAdmin.exe dans le domaine non approuvé avec les paramètres suivants : <path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>
  4. Créer un compte d’identification dans Operations Manager ; utilisez le compte créé à l’étape 1. Vérifiez que le nom de domaine est fourni avec le nom de domaine complet, et non le nom NetBIOS (par exemple : CONTOSO.COM\ADUser).
  5. Distribuez le compte au pool de ressources d’affectation AD.
  6. Créez un profil d’identification dans le pack d’administration par défaut. Si ce profil est créé dans un autre pack d’administration, veillez à sceller le pack d’administration afin qu’il puisse être référencé à d’autres packs d’administration.
  7. Ajoutez le compte d’identification nouvellement créé à ce profil et ciblez-le dans le pool de ressources d’affectation AD.
  8. Créez les règles d’intégration Active Directory dans Operations Manager.

Remarque

Une fois l’intégration avec un domaine non approuvé, chaque serveur d’administration affiche la base de données de sécurité des messages d’avertissement sur le serveur n’a pas de compte d’ordinateur pour cette relation d’approbation de station de travail indiquant que la validation du compte d’identification utilisé par l’affectation AD a échoué. L’ID d’événement 7000 ou 1105 est généré dans le journal des événements Operations Manager. Toutefois, cette alerte n’a aucun effet sur l’attribution AD dans un domaine non approuvé.

Étapes suivantes

Pour comprendre comment installer l’agent Windows à partir de la console Opérateur, consultez Installer l’agent sur Windows à l’aide de l’Assistant Découverte ou pour installer l’agent à partir de la ligne de commande, consultez Installer manuellement l’agent Windows à l’aide de MOMAgent.msi.