次の方法で共有


サービス アカウント、ユーザー アカウント、セキュリティ アカウント

Operations Manager のセットアップと毎日の操作中に、複数のアカウントの資格情報を指定するように求められます。 この記事では、SDK と Config Service、エージェントのインストール、データ ウェアハウス書き込み、データ閲覧者アカウントなど、これらの各アカウントに関する情報を提供します。

Note

Operations Manager のインストールでは、必要なすべての SQL アクセス許可がプロビジョニングされます。

ドメイン アカウントを使用していて、ドメイン グループ ポリシー オブジェクト (GPO) に既定のパスワード有効期限ポリシーが必要に応じて設定されている場合は、スケジュールに従ってサービス アカウントのパスワードを変更するか、システム アカウントを使用するか、パスワードが期限切れにならないようにアカウントを構成する必要があります。

アクション アカウント

System Center Operations Manager では、管理サーバー、ゲートウェイ サーバー、エージェントはすべて、MonitoringHost.exeと呼ばれるプロセスを実行します。 MonitoringHost.exeは、モニターの実行やタスクの実行などの監視アクティビティを実行するために使用されます。 実行MonitoringHost.exeアクションのその他の例を次に示します。

  • Windows イベント ログ データの監視と収集
  • Windows パフォーマンス カウンター データの監視と収集
  • Windows Management Instrumentation (WMI) データの監視と収集
  • スクリプトやバッチなどのアクションの実行

MonitoringHost.exe プロセスを実行するアカウントは、アクション アカウントと呼ばれます。 MonitoringHost.exeは、アクション アカウントで指定された資格情報を使用してこれらのアクションを実行するプロセスです。 各アカウントごとに新しい MonitoringHost.exe インスタンスが作成されます。 エージェントで実行されているMonitoringHost.exe プロセスのアクション アカウントは、エージェント アクション アカウントと呼ばれます。 管理サーバーのMonitoringHost.exe プロセスで使用されるアクション アカウントは、管理サーバー アクション アカウントと呼ばれます。 ゲートウェイ サーバー上のMonitoringHost.exe プロセスによって使用されるアクション アカウントは、ゲートウェイ サーバー アクション アカウントと呼ばれます。 管理グループ内のすべての管理サーバーで、組織の IT セキュリティ ポリシーで最小限の特権アクセスが必要な場合を除き、アカウントのローカル管理者権限を付与することをお勧めします。

アクションが実行プロファイルに関連付けられていない限り、アクションの実行に使用される資格情報は、アクション アカウントに対して定義した資格情報になります。 実行アカウントと実行プロファイルの詳細については、「 実行アカウント」セクションを参照してください。 エージェントが既定のアクション アカウントまたは実行アカウントとしてアクションを実行すると、MonitoringHost.exeの新しいインスタンスがアカウントごとに作成されます。

Operations Manager をインストールするときは、ドメイン アカウントを指定するか、LocalSystem を使用するかを選択できます。 より安全な方法は、ドメイン アカウントを指定することです。これにより、環境に必要な最小限の特権を持つユーザーを選択できます。

エージェントのアクション アカウントには、最小特権アカウントを使用できます。 Windows Server 2008 R2 以降を実行しているコンピューターでは、アカウントには次の最小特権が必要です。

  • ローカルの Users グループのメンバー
  • ローカルの Performance Monitor Users グループのメンバー
  • ローカル ログオン (SetInteractiveLogonRight) を許可します (Operations Manager 2019 以降の場合、該当しません)。

Note

上記の最小特権は、Operations Manager がアクション アカウントに対してサポートする最小の特権です。 他の実行アカウントでは、さらに低い特権を指定できます。 アクション アカウントと実行アカウントに必要な実際の特権は、コンピューターで実行されている管理パックとその構成方法によって異なります。 必要な特定の特権の詳細については、適切な管理パック ガイドを参照してください。

アクション アカウントに指定されたドメイン アカウントには、スマート カード認証が必要な場合など、サービス アカウントに対話型ログオン セッションを許可しない場合は、サービスとしてログオン (SeServiceLogonRight) または Batch としてログオン (SeBatchLogonRight) アクセス許可を付与できます。 レジストリ値 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\ヘルス サービスを変更します。

アクション アカウントに指定されたドメイン アカウントには、サービスとしてログオン (SeServiceLogonRight) アクセス許可が付与されます。 正常性サービスのログオンの種類を変更するには、レジストリ値 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\ヘルス サービスを変更します。

  • 名前: Worker Process Logon Type
  • 種類: REG_DWORD
  • 値: 4 - バッチとしてログオン、2 - ローカル ログオンを許可、5 - サービスとしてログオン。 既定値は 2 です。
  • 値: 4 - バッチとしてログオン、2 - ローカル ログオンを許可、5 - サービスとしてログオン。 既定値は 5 です。

管理サーバーまたはエージェント型マネージド システムのフォルダー C:\Windows\PolicyDefinitions にある ADMX ファイル healthservice.admx をコピーし、フォルダー Computer Configuration\Administrative Templates\System Center - Operations Manager の設定 [監視アクション アカウントのログオンの種類] を構成することにより、グループ ポリシーを使用して設定を集中管理できます。 グループ ポリシー ADMX ファイルの操作の詳細については、「グループ ポリシー ADMX ファイルの管理を参照してください。

System Center Configuration Service と System Center Data Access Service アカウント

System Center Configuration サービスと System Center Data Access サービス アカウントは、オペレーション データベースの情報を更新するために、System Center Data Access および System Center Management Configuration サービスによって使用されます。 アクション アカウントに使用される資格情報は、オペレーション データベースのsdk_user ロールに割り当てられます。

アカウントは、ドメイン ユーザーまたは LocalSystem のいずれかである必要があります。 SDK および Config Service アカウントに使用されるアカウントには、管理グループ内のすべての管理サーバーに対するローカル管理者権限が付与されている必要があります。 ローカル ユーザー アカウントの使用はサポートされていません。 セキュリティを強化するために、ドメイン ユーザー アカウントを使用することをお勧めします。これは、管理サーバー アクション アカウントに使用されるアカウントとは異なるアカウントです。 LocalSystem アカウントは、Windows コンピューター上で最も高い特権アカウントであり、ローカル管理者よりもさらに高くなります。 LocalSystem のコンテキストでサービスを実行すると、サービスはコンピューターのローカル リソースを完全に制御でき、リモート リソースに対する認証とリモート リソースへのアクセス時にコンピューターの ID が使用されます。 LocalSystem アカウントの使用は、最小限の特権の原則を受け入れないため、セキュリティ 上のリスクです。 Operations Manager データベースをホストする SQL Server インスタンスに必要な権限のため、管理グループ内の管理サーバーが侵害された場合のセキュリティ リスクを回避するには、最小限の権限を持つドメイン アカウントが必要です。 その理由は次のとおりです。

  • LocalSystem にパスワードがありません
  • 独自のプロファイルがない
  • ローカル コンピューターに対する広範な特権があります
  • リモート コンピューターにコンピューターの資格情報を表示します。

Note

Operations Manager データベースが管理サーバーとは別のコンピューターにインストールされていて、データ アクセスおよび構成サービス アカウントに LocalSystem が選択されている場合、管理サーバー コンピューターのコンピューター アカウントには、Operations Manager データベース コンピューターに対するsdk_userの役割が割り当てられます。

詳細については、「localSystem についてを参照してください。

データ ウェアハウス書き込みアカウント

Data Warehouse 書き込みアカウントは、管理サーバーからレポート データ ウェアハウスにデータを書き込むためのアカウントであり、Operations Manager データベースからデータを読み取ります。 次の表では、セットアップ時にドメイン ユーザー アカウントに割り当てられたロールとメンバーシップについて説明します。

アプリケーション データベース/ロール ロール/アカウント
Microsoft SQL Server OperationsManager db_datareader
Microsoft SQL Server OperationsManager dwsync_user
Microsoft SQL Server OperationsManagerDW OpsMgrWriter
Microsoft SQL Server OperationsManagerDW db_owner
Operations Manager ユーザー ロール Operations Manager レポート セキュリティ管理者
Operations Manager 実行アカウント データ ウェアハウス アクション アカウント
Operations Manager 実行アカウント データ ウェアハウスの構成同期リーダー アカウント

データ リーダー アカウント

データ 閲覧者アカウントは、レポートの展開、レポート データ ウェアハウスに対するクエリの実行に SQL Server Reporting Services が使用するユーザーの定義、管理サーバーに接続する SQL Reporting Services アカウントの定義に使用されます。 このドメイン ユーザー アカウントは、レポート管理者ユーザー プロファイルに追加されます。 次の表では、セットアップ時にアカウントに割り当てられたロールとメンバーシップについて説明します。

アプリケーション データベース/ロール ロール/アカウント
Microsoft SQL Server Reporting Services のインストール インスタンス レポート サーバー実行アカウント
Microsoft SQL Server OperationsManagerDW OpsMgrReader
Operations Manager ユーザー ロール Operations Manager レポートオペレーター
Operations Manager ユーザー ロール Operations Manager レポート セキュリティ管理者
Operations Manager 実行アカウント データ ウェアハウスのレポート展開アカウント
Windows サービス SQL Server Reporting Services ログオン アカウント

データ閲覧者アカウントに使用する予定のアカウントに、サービスとしてのログオン (2019 以降) またはサービスとしてのログオンとローカルログオンの許可 (以前のリリース)、各管理サーバーの権限、およびレポート サーバーロールをホストする SQL Server が付与されていることを確認します。

エージェントのインストール アカウント

検出ベースのエージェントの展開を実行する場合、エージェントのインストールを対象とするコンピューターに対する管理者特権を持つアカウントが必要です。 管理サーバー アクション アカウントが、エージェント インストールの既定アカウントです。 管理サーバー アクション アカウントに管理者権限がない場合、オペレーターは、ターゲット コンピューターの管理者権限を持つユーザー アカウントとパスワードを指定する必要があります。 このアカウントは、使用前に暗号化され、その後破棄されます。

通知アクション アカウント

通知アクション アカウントは、通知の作成と送信に使用されるアカウントです。 これらの資格情報には、SMTP サーバー、インスタント メッセージング サーバー、または通知に使用される SIP サーバーに対する十分な権限が必要です。