Orchestrator サービス アカウント
公開日: 2016年3月
対象: System Center 2012 SP1 - Orchestrator、System Center 2012 - Orchestrator、System Center 2012 R2 Orchestrator
サービス アカウントは、次の表の一覧にあるサービスに必要です。 これらのアカウントは、アカウントを使用する機能をインストールする前に作成する必要があります。 各アカウントの詳細は、下で説明します。
サーバー | [サービス] |
---|---|
管理サーバー | Orchestrator Management Service Orchestrator Runbook Server Monitor サービス |
Runbook サーバー | Orchestrator Runbook Service |
Orchestrator Management Service アカウント
Orchestrator Management Service は Management サーバーにインストールされます。 このサービス アカウントは Orchestrator のインストール中に指定されます。 Management サーバーと Runbook サーバーを同じコンピューターに同時にインストールした場合は、各コンピューターの Management Server Service と Runbook Server Service は、同じアカウントを使用してシステム リソースにアクセスします。 Management サーバーをインストールしてから Runbook サーバーをインストールした場合、あるいは Runbook サーバーを別のコンピューターにインストールした場合は、異なるアカウントを使用できます。
Orchestrator Management Service は、Orchestration データベースの保守、Runbook Designer との通信、および Deployment Manager との通信を担当します。
データベースがローカルにインストールされている場合や、(推奨されませんが) SQL Server 認証をデータベースとの接続に使用している場合は、Management サーバーのローカル アカウントを Orchestrator Management Service に使用できます。 ただし、この構成では、他のネットワーク リソースにアクセスが許可されない場合があります。 データベースが他のサーバー上にある場合は、そのアカウントで Active Directory ドメインに参加してデータベース サーバーにアクセスできるようにするか、SQL Server 認証を使用する必要があります。 データベース サーバーと Management サーバーのドメインが異なる場合は、後者のオプションを使用します。
サービス アカウントは、管理者あるいはドメイン管理者のアカウントである必要はありません。 ただし、Deployment Manager には管理者特権が必要です。
Management Server Service のサービス アカウントには次の権限が必要です。
Management サーバーにサービスとしてログオンする権限。 この権限は、インストールプロセス中に自動的に付与されます。
Orchestration データベースの Microsoft.SystemCenter.Orchestrator.Admins ロールのメンバー。 インストールプロセス中に、アカウントはこのロールに自動的に追加されます。
Orchestrator Runbook Server Monitor サービス アカウント
Runbook Server Monitor は Management サーバーにインストールされ、Runbook サーバーのヘルスの管理を行います。 Orchestrator Management Service と同じアカウントを使用し、同じ権限が必要です。
Orchestrator Runbook Service アカウント
Runbook Server Service は各 Runbook サーバーにインストールされます。 Management サーバーと Runbook サーバーを同じコンピューターに同時にインストールした場合は、各コンピューターの Management Server Service と Runbook Server Service は、同じアカウントを使用してシステム リソースにアクセスします。 Management サーバーをインストールしてから Runbook サーバーをインストールした場合、あるいは Runbook サーバーを別のコンピューターにインストールした場合は、異なるアカウントを使用できます。 このサービスは、Runbook の実行と Orchestration データベースとの通信を担当します。
既定では、Runbook のすべての活動は、実行される Runbook サーバーのサービス アカウントで実行されます。 一部の活動では、必要に応じて個別のアクションに使用される別の資格情報を指定することができます。 Runbook 活動はしばしば他のコンピューターのリソースにアクセスするため、Orchestrator Runbook Service に Active Directory ドメイン アカウントを使用して、外部リソースへのアクセス許可を付与できるようにすることを推奨します。
Orchestrator Runbook Service のアカウントには、次の権限が必要です。
Runbook サーバーにサービスとしてログオンする権限。
Runbook 活動がアクセスするリソースによっては、サービス アカウントでさらにリモート コンピューターの資格情報が必要になることがあります。 サービス アカウントが特定のリソースにアクセスできない場合、特定の活動を別の資格情報で構成することもできます。