実行アカウントとプロファイル
実行アカウントは、Operations Manager エージェントによって実行される特定のアクションに使用される資格情報を定義します。 これらのアカウントはオペレーション コンソールを通じて一元的に管理され、さまざまな実行プロファイルに割り当てられます。 実行プロファイルが特定のアクションに割り当てられていない場合は、既定のアクション アカウントで実行されます。 低い特権環境では、既定のアカウントに特定のアクションに必要なアクセス許可がない場合があり、実行プロファイルを使用してこの権限を提供できます。 管理パックでは、必要なアクションをサポートするために、実行プロファイルと実行アカウントをインストールできます。 その場合は、必要な構成に関するドキュメントを参照する必要があります。
既定の実行アカウント
次の表に、セットアップ時に Operations Manager によって作成される既定の実行アカウントを示します。
| 名前 | 説明 | 資格情報 |
|---|---|---|
| Domain\ManagementServerActionAccount | すべてのルールが管理サーバーで既定で実行されるユーザー アカウント。 | セットアップ時に管理サーバー アクション アカウントとして指定されたドメイン アカウント。 |
| ローカル システム アクション アカウント | アクション アカウントとして使用される組み込みのシステム アカウント。 | Windows ローカル システム アカウント |
| APM アカウント | 監視中にアプリケーションから収集されたセキュリティで保護された情報を暗号化するためのキーを提供するために使用されるアプリケーション パフォーマンス モニター アカウント。 このアカウントは、最初の .NET パフォーマンス モニターを作成すると自動的に作成されます。 | 暗号化されたバイナリ アカウント |
| Data Warehouse アクション アカウント | OperationsManagerDW データベースをホストする SQL Server で認証するために使用されます。 | セットアップ時に Data Warehouse 書き込みアカウントとして指定されたドメイン アカウント。 |
| データ ウェアハウスのレポート展開アカウント | Operations Manager Reporting Services をホストする管理サーバーと SQL Server の間で認証するために使用されます。 | セットアップ時にデータ閲覧者アカウントとして指定されたドメイン アカウント。 |
| ローカル システムの Windows アカウント | エージェント アクション アカウントによって使用される組み込みの SYSTEM アカウント。 | Windows ローカル システム アカウント |
| ネットワーク サービスの Windows アカウント | 組み込みのネットワーク サービス アカウント。 | Windows NetworkService アカウント |
既定の実行プロファイル
次の表に、セットアップ時に Operations Manager によって作成された実行プロファイルの一覧を示します。
Note
特定のプロファイルに対して実行アカウントを空白のままにすると、既定のアクション アカウント (アクションの場所に応じて管理サーバー アクション アカウントまたはエージェント アクション アカウント) が使用されます。
| 名前 | 説明 | 実行アカウント |
|---|---|---|
| Active Directory ベースのエージェント割り当てアカウント | Active Directory ベースのエージェント割り当てモジュールが割り当て設定を Active Directory に発行するために使用するアカウント。 | ローカル システムの Windows アカウント |
| 自動エージェント管理アカウント | このアカウントは、エージェントのエラーを自動的に診断するために使用されます。 | なし |
| クライアント監視アクション アカウント | 指定した場合は、Operations Manager によってすべてのクライアント監視モジュールを実行するために使用されます。 指定しない場合、Operations Manager は既定のアクション アカウントを使用します。 | なし |
| 接続された管理グループ アカウント | 接続された管理グループへの接続の正常性を監視するために Operations Manager 管理パックによって使用されるアカウント。 | なし |
| Data Warehouse アカウント | 指定した場合、このアカウントは、既定のアクション アカウントではなく、すべての Data Warehouse コレクションと同期規則を実行するために使用されます。 このアカウントが Data Warehouse SQL Server 認証アカウントによってオーバーライドされない場合、このアカウントは、Windows 統合認証を使用してデータ ウェアハウス データベースに接続するために、コレクションと同期の規則によって使用されます。 | なし |
| データ ウェアハウスのレポート展開アカウント | このアカウントは、Data Warehouse レポートの自動展開手順によって、さまざまなレポート配置関連の操作を実行するために使用されます。 | データ ウェアハウスのレポート展開アカウント |
| データ ウェアハウス SQL サーバー認証アカウント | 指定した場合、このサインイン名とパスワードは、SQL Server 認証を使用して Data Warehouse データベースに接続するために、コレクションと同期の規則によって使用されます。 | データ ウェアハウス SQL サーバー認証アカウント |
| MPUpdate アクション アカウント | このアカウントは MPUpdate 通知で使用されます。 | なし |
| 通知アカウント | 通知ルールで使用される Windows アカウント。 このアカウントの電子メール アドレスは、電子メール アドレスとインスタント メッセージの [差出人] アドレスとして使用します。 | なし |
| オペレーション データベース アカウント | このアカウントは、Operations Manager データベースに対する情報の読み取りと書き込みに使用されます。 | なし |
| 特権監視アカウント | このプロファイルは、システムに対する高レベルの特権でのみ実行できる監視に使用されます。たとえば、ローカル システムまたはローカル管理者のアクセス許可を必要とする監視などです。 このプロファイルは、ターゲット システムに対して特にオーバーライドされない限り、既定でローカル システムに設定されます。 | なし |
| Reporting SDK SQL Server 認証アカウント | 指定した場合、このサインイン名とパスワードは、SQL Server 認証を使用して Data Warehouse データベースに接続するために SDK サービスによって使用されます。 | Reporting SDK SQL Server 認証アカウント |
| 予約済み | このプロファイルは予約されており、使用しないでください。 | なし |
| アラート サブスクリプション アカウントの検証 | 通知サブスクリプションがスコープ内にあることを検証する、アラート サブスクリプションの検証モジュールによって使用されるアカウント。 このプロファイルには管理者権限が必要です。 | ローカル システムの Windows アカウント |
| SNMP 監視アカウント | このアカウントは、SNMP 監視に使用されます。 | なし |
| SNMPv3 監視アカウント | このアカウントは、SNMPv3 監視に使用されます。 | なし |
| UNIX/Linux アクション アカウント | THis アカウントは、特権の低い UNIX および Linux アクセスに使用されます。 | なし |
| UNIX/Linux エージェント メンテナンス アカウント | このアカウントは、UNIX および Linux エージェントの特権メンテナンス操作に使用されます。 このアカウントがないと、エージェントのメンテナンス操作は機能しません。 | なし |
| UNIX/Linux 特権アカウント | このアカウントは、高い特権を必要とする保護された UNIX および Linux のリソースとアクションにアクセスするために使用されます。 このアカウントがないと、一部のルール、診断、回復が機能しません。 | なし |
| Windows クラスター アクション アカウント | このプロファイルは、Windows クラスター コンポーネントのすべての検出と監視に使用されます。 このプロファイルは、ユーザーによって設定されない限り、既定で使用されるアクション アカウントに設定されます。 | なし |
| WS-Management アクション アカウント | このプロファイルは、WS-Management アクセスに使用されます。 | なし |
配布とターゲット設定について
実行アカウントの配布と実行アカウントのターゲット設定の両方が、実行プロファイルが正常に動作するように正しく構成されている必要があります。
実行プロファイルを構成するとき、実行プロファイルに関連付ける実行アカウントを選択します。 その関連付けを作成したら、タスク、ルール、モニター、および検出の実行に実行アカウントを使用するクラス、グループ、またはオブジェクトを指定できます。
ディストリビューションは実行アカウントの属性であり、実行アカウントの資格情報を受け取るコンピューターを指定できます。 実行アカウントの資格情報は、エージェントで管理されたコンピューターすべてに配布したり、選択されたコンピューターにのみ配布したりすることができます。
実行アカウントのターゲットの例: 物理コンピューター ABC は、Microsoft SQL Server のインスタンス X とインスタンス Y の 2 つのインスタンスをホストします。各インスタンスは、sa アカウントに対して異なる資格情報のセットを使用します。 インスタンス X の sa 資格情報を使用して実行アカウントを作成し、インスタンス Y の sa 資格情報を使用して別の実行アカウントを作成します。SQL Server 実行プロファイルを構成するときに、実行アカウントの資格情報 (X や Y など) をプロファイルに関連付け、実行アカウント インスタンス X の資格情報を SQL Server インスタンス X に使用し、実行アカウント Y 資格情報を SQL Server インスタンス Y に使用するように指定します。その後、物理コンピューター ABC に配布されるように、実行アカウント資格情報の各セットを構成する必要もあります。
実行アカウントの配布の例: SQL Server1 と SQL Server2 は、2 つの異なる物理コンピューターです。 SQL Server1 では、SQL sa アカウントの資格情報の UserName1 と Password1 のセットが使用されます。 SQL Server2 は、SQL sa アカウントの UserName2 と Password2 の資格情報セットを使用します。 SQL 管理パックには、すべての SQL Server に使用される単一の SQL 実行プロファイルがあります。 その後、UserName1 の資格情報セットに対して 1 つの実行アカウントを定義し、UserName2 資格情報セット用に別の実行アカウントを定義できます。 どちらの実行アカウントも、1 つの SQL Server 実行プロファイルに関連付けることができ、適切なコンピューターに配布するように構成できます。 つまり、UserName1 は SQL Server1 に配布され、UserName2 は SQL Server2 に配布されます。 管理サーバーと指定されたコンピューターの間で送信されるアカウント情報は暗号化されます。
実行アカウントのセキュリティ
System Center Operations Manager では、実行アカウントの資格情報は、指定したコンピューターにのみ配布されます (より安全なオプション)。 Operations Manager が検出に従って実行アカウントを自動的に配布した場合、次の例に示すように、セキュリティ リスクが環境に導入されます。 これが、Operations Manager に自動配布オプションが含まれていない理由です。
たとえば、Operations Manager は、レジストリ キーの存在に基づいて、SQL Server 2016 をホストしているコンピューターを識別します。 SQL Server 2016 のインスタンスを実際に実行していないコンピューターで、同じレジストリ キーを作成できます。 Operations Manager が SQL Server 2016 コンピューターとして識別されたすべてのエージェントマネージド コンピューターに資格情報を自動的に配布する場合、資格情報は偽装 SQL Server に送信され、そのサーバーの管理者権限を持つすべてのユーザーが使用できるようになります。
Operations Manager を使用して実行アカウントを作成すると、実行アカウントを安全性の低い方法で処理するか、セキュリティを強化するかを選択するように求められます。 "セキュリティの強化" とは、実行アカウントを実行プロファイルに関連付ける場合、実行資格情報を配布する特定のコンピューター名を指定する必要があることを意味します。 配布先コンピューターを確認することで、上述したスプーフィングのシナリオを避けることができます。 安全性の低いオプションを選択した場合、特定のコンピューターを指定する必要はなくなり、資格情報はすべてのエージェントで管理されるコンピューターに配布されます。
Note
実行アカウントに対して選択する資格情報には、少なくともローカルでのログオン権限が必要です。それ以外の場合、モジュールは失敗します。