실행 계정 및 프로필
실행 계정은 Operations Manager 에이전트에서 수행하는 특정 작업에 사용되는 자격 증명을 정의합니다. 이러한 계정은 운영 콘솔을 통해 중앙에서 관리되며 다른 실행 프로필에 할당됩니다. 실행 프로필이 특정 작업에 할당되지 않은 경우 기본 작업 계정으로 수행됩니다. 낮은 권한 환경에서는 기본 계정에 특정 작업에 필요한 권한이 없을 수 있으며 실행 프로필을 사용하여 이 권한을 제공할 수 있습니다. 관리 팩은 필요한 작업을 지원하기 위해 실행 프로필 및 실행 계정을 설치할 수 있습니다. 그렇다면 필요한 구성에 대한 설명서를 참조해야 합니다.
기본 실행 계정
다음 표에서는 설치 중에 Operations Manager에서 만든 기본 실행 계정을 나열합니다.
속성 | 설명 | 자격 증명 |
---|---|---|
Domain\ManagementServerActionAccount | 관리 서버에서 모든 규칙이 기본적으로 실행되는 사용자 계정입니다. | 설치하는 동안 관리 서버 작업 계정으로 지정된 도메인 계정입니다. |
로컬 시스템 작업 계정 | 작업 계정으로 사용되는 기본 제공 시스템 계정입니다. | Windows 로컬 시스템 계정 |
APM 계정 | 모니터링하는 동안 애플리케이션에서 수집된 보안 정보를 암호화하기 위한 키를 제공하는 데 사용되는 애플리케이션 성능 모니터 계정입니다. 이 계정은 첫 번째 .NET 성능 모니터 만든 후에 자동으로 만들어집니다. | 암호화된 이진 계정 |
데이터 웨어하우스 작업 계정 | OperationsManagerDW 데이터베이스를 호스팅하는 SQL Server를 사용하여 인증하는 데 사용됩니다. | 설정 중에 데이터 웨어하우스 쓰기 계정으로 지정된 도메인 계정입니다. |
데이터 웨어하우스 보고서 배포 계정 | 관리 서버와 SQL Server 호스팅 Operations Manager Reporting Services 간에 인증하는 데 사용됩니다. | 설치하는 동안 데이터 판독기 계정으로 지정된 도메인 계정입니다. |
로컬 시스템 Windows 계정 | 에이전트 작업 계정에서 사용하는 기본 제공 SYSTEM 계정입니다. | Windows 로컬 시스템 계정 |
네트워크 서비스 Windows 계정 | 기본 제공 네트워크 서비스 계정입니다. | Windows NetworkService 계정 |
기본 실행 프로필
다음 표에서는 설치 중에 Operations Manager에서 만든 실행 프로필을 나열합니다.
참고 항목
특정 프로필에 대해 실행 계정이 비어 있는 경우 기본 작업 계정(작업 위치에 따라 관리 서버 작업 계정 또는 에이전트 작업 계정)이 사용됩니다.
속성 | 설명 | 실행 계정 |
---|---|---|
Active Directory 기반 에이전트 할당 계정 | Active Directory 기반 에이전트 할당 모듈에서 할당 설정을 Active Directory에 게시하는 데 사용하는 계정입니다. | 로컬 시스템 Windows 계정 |
자동 에이전트 관리 계정 | 이 계정은 에이전트 오류를 자동으로 진단하는 데 사용됩니다. | None |
클라이언트 모니터링 작업 계정 | 지정한 경우 Operations Manager에서 모든 클라이언트 모니터링 모듈을 실행하는 데 사용합니다. 지정하지 않으면 Operations Manager는 기본 작업 계정을 사용합니다. | None |
연결된 관리 그룹 계정 | Operations Manager 관리 팩에서 연결된 관리 그룹에 대한 연결 상태를 모니터링하는 데 사용하는 계정입니다. | None |
데이터 웨어하우스 계정 | 지정된 경우 이 계정은 기본 작업 계정 대신 모든 데이터 웨어하우스 컬렉션 및 동기화 규칙을 실행하는 데 사용됩니다. 이 계정이 Data Warehouse SQL Server 인증 계정으로 재정의되지 않은 경우 이 계정은 수집 및 동기화 규칙에서 Windows 통합 인증을 사용하여 Data Warehouse 데이터베이스에 연결하는 데 사용됩니다. | None |
데이터 웨어하우스 보고서 배포 계정 | 이 계정은 Data Warehouse 보고서 자동 배포 절차에서 다양한 보고서 배포 관련 작업을 실행하는 데 사용됩니다. | 데이터 웨어하우스 보고서 배포 계정 |
데이터 웨어하우스 SQL Server 인증 계정 | 지정한 경우 이 로그인 이름 및 암호는 수집 및 동기화 규칙에서 SQL Server 인증을 사용하여 Data Warehouse 데이터베이스에 연결하는 데 사용됩니다. | 데이터 웨어하우스 SQL Server 인증 계정 |
MPUpdate 작업 계정 | 이 계정은 MPUpdate 알림을 통해 사용됩니다. | None |
알림 계정 | 알림 규칙에 사용되는 Windows 계정입니다. 이 계정의 전자 메일 주소를 전자 메일 및 인스턴트 메시지 '보낸 편지' 주소로 사용합니다. | None |
운영 데이터베이스 계정 | 이 계정은 Operations Manager 데이터베이스에 정보를 읽고 쓰는 데 사용됩니다. | None |
권한 있는 모니터링 계정 | 이 프로필은 시스템에 대한 높은 수준의 권한으로만 수행할 수 있는 모니터링에 사용됩니다. 예를 들어 로컬 시스템 또는 로컬 관리자 권한이 필요한 모니터링입니다. 대상 시스템에 대해 특별히 재정의되지 않는 한 이 프로필은 기본적으로 로컬 시스템으로 설정됩니다. | None |
보고 SDK SQL Server 인증 계정 | 지정된 경우 이 로그인 이름 및 암호는 SDK 서비스에서 SQL Server 인증을 사용하여 Data Warehouse 데이터베이스에 연결하는 데 사용됩니다. | 보고 SDK SQL Server 인증 계정 |
예약됨 | 이 프로필은 예약되어 있으며 사용해서는 안 됩니다. | None |
경고 구독 계정 유효성 검사 | 알림 구독이 범위에 있는지 확인하는 경고 구독 모듈의 유효성을 검사하는 데 사용되는 계정입니다. 이 프로필에는 관리자 권한이 필요합니다. | 로컬 시스템 Windows 계정 |
SNMP 모니터링 계정 | 이 계정은 SNMP 모니터링에 사용됩니다. | None |
SNMPv3 모니터링 계정 | 이 계정은 SNMPv3 모니터링에 사용됩니다. | None |
UNIX/Linux 작업 계정 | THis 계정은 낮은 권한 UNIX 및 Linux 액세스에 사용됩니다. | None |
UNIX/Linux 에이전트 유지 관리 계정 | 이 계정은 UNIX 및 Linux 에이전트에 대한 권한 있는 유지 관리 작업에 사용됩니다. 이 계정이 없으면 에이전트 유지 관리 작업이 작동하지 않습니다. | None |
UNIX/Linux 권한 있는 계정 | 이 계정은 높은 권한이 필요한 보호된 UNIX 및 Linux 리소스 및 작업에 액세스하는 데 사용됩니다. 이 계정이 없으면 일부 규칙, 진단 및 복구가 작동하지 않습니다. | None |
Windows 클러스터 작업 계정 | 이 프로필은 Windows 클러스터 구성 요소의 모든 검색 및 모니터링에 사용됩니다. 이 프로필은 사용자가 채운 경우가 아니면 기본적으로 사용되는 작업 계정으로 설정됩니다. | None |
WS 관리 작업 계정 | 이 프로필은 WS-Management 액세스에 사용됩니다. | None |
배포 및 대상 지정 이해
실행 프로필이 제대로 작동하려면 실행 계정 배포와 실행 계정 대상 지정을 모두 올바르게 구성해야 합니다.
실행 프로필을 구성하는 경우 실행 프로필과 연결할 실행 계정을 선택합니다. 해당 연결을 만든 후 실행 계정이 작업, 규칙, 모니터 및 검색을 실행하는 데 사용할 클래스, 그룹 또는 개체를 지정할 수 있습니다.
배포는 실행 계정의 특성이며 실행 계정 자격 증명을 받는 컴퓨터를 지정할 수 있습니다. 실행 계정 자격 증명을 모든 에이전트 관리 컴퓨터에 배포하거나 선택한 컴퓨터에만 배포하도록 선택할 수 있습니다.
실행 계정 대상 지정의 예: 물리적 컴퓨터 ABC는 Microsoft SQL Server 인스턴스 X 및 인스턴스 Y의 두 인스턴스를 호스팅합니다. 각 인스턴스는 sa 계정에 대해 다른 자격 증명 집합을 사용합니다. 인스턴스 X에 대한 sa 자격 증명을 사용하여 실행 계정을 만들고 인스턴스 Y에 대한 sa 자격 증명을 사용하여 다른 실행 계정을 만듭니다. SQL Server 실행 프로필을 구성할 때 실행 계정 자격 증명(예: X 및 Y)을 프로필과 연결하고 실행 계정 인스턴스 X 자격 증명을 SQL Server 인스턴스 X에 사용하고 실행 계정 Y 자격 증명을 SQL Server 인스턴스 Y에 사용하도록 지정합니다. 그런 다음 각 실행 계정 자격 증명 집합을 실제 컴퓨터 ABC에 배포하도록 구성해야 합니다.
실행 계정 배포의 예: SQL Server1 및 SQL Server2는 서로 다른 두 물리적 컴퓨터입니다. SQL Server1은 SQL sa 계정에 대해 UserName1 및 Password1 자격 증명 집합을 사용합니다. SQL Server2는 SQL sa 계정에 대해 UserName2 및 Password2 자격 증명 집합을 사용합니다. SQL 관리 팩에는 모든 SQL Server에 사용되는 단일 SQL 실행 프로필이 있습니다. 그런 다음 UserName1 자격 증명 집합에 대한 실행 계정 하나와 UserName2 자격 증명 집합에 대한 다른 실행 계정을 정의할 수 있습니다. 이러한 실행 계정은 모두 하나의 SQL Server 실행 프로필과 연결될 수 있으며 적절한 컴퓨터에 배포되도록 구성할 수 있습니다. 즉, UserName1은 SQL Server1에 배포되고 UserName2는 SQL Server2에 배포됩니다. 관리 서버와 지정된 컴퓨터 간에 전송되는 계정 정보는 암호화됩니다.
실행 계정 보안
System Center Operations Manager에서 실행 계정 자격 증명은 지정한 컴퓨터에만 배포됩니다(더 안전한 옵션). Operations Manager가 검색에 따라 실행 계정을 자동으로 배포하는 경우 다음 예제와 같이 사용자 환경에 보안 위험이 도입됩니다. 이 때문에 자동 배포 옵션이 Operations Manager에 포함되지 않았습니다.
예를 들어 Operations Manager는 레지스트리 키의 존재에 따라 컴퓨터를 SQL Server 2016 호스팅으로 식별합니다. 실제로 SQL Server 2016 인스턴스를 실행하지 않는 컴퓨터에 동일한 레지스트리 키를 만들 수 있습니다. Operations Manager가 SQL Server 2016 컴퓨터로 식별된 모든 에이전트 관리 컴퓨터에 자격 증명을 자동으로 배포하는 경우 자격 증명이 SQL Server로 전송되고 해당 서버에 대한 관리자 권한이 있는 모든 사용자가 자격 증명을 사용할 수 있습니다.
Operations Manager를 사용하여 실행 계정을 만들 때 실행 계정을 덜 안전한 방식으로 처리할지 또는 더 안전한 방식으로 처리할지를 선택하라는 메시지가 표시됩니다. "더 안전한"은 실행 계정을 실행 프로필과 연결할 때 실행 자격 증명을 배포하려는 특정 컴퓨터 이름을 제공해야 한다는 것을 의미합니다. 이와 같이 대상 컴퓨터를 명확하게 지정하면 이전에 설명한 스푸핑 시나리오를 방지할 수 있습니다. 보안이 낮은 옵션을 선택하는 경우 특정 컴퓨터를 제공할 필요가 없으며 자격 증명이 모든 에이전트 관리 컴퓨터에 배포됩니다.
참고 항목
실행 계정에 대해 선택한 자격 증명에는 최소한 로컬로 로그온할 수 있는 권한이 있어야 합니다. 그렇지 않으면 모듈이 실패합니다.