サービス、ユーザー、およびセキュリティ アカウントService, User, and Security Accounts

重要

このバージョンの Operations Manager はサポート終了に達したので、Operations Manager 2019 にアップグレードすることをお勧めします。This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

Operations Manager のセットアップおよび毎日の操作中、いくつかのアカウントの資格情報を入力するよう求められます。During the setup and daily operation of Operations Manager, you will be asked to provide credentials for several accounts. この記事では、SDK と構成サービス、エージェントのインストール、データ ウェアハウスの書き込み、およびデータ リーダーのアカウントなど、これらの各アカウントについての情報を示します。This article provides information about each of these accounts, including the SDK and Config Service, Agent Installation, Data Warehouse Write, and Data Reader accounts.

ドメイン アカウントを使用しており、必要に応じてドメインのグループ ポリシー オブジェクト (GPO) に既定のパスワードの有効期限ポリシーが設定されている場合、スケジュールに応じてサービス アカウントのパスワードを変更するか、システム アカウントを使用するか、またはパスワードの期限が切れないようアカウントを構成する必要があります。If you use domain accounts and your domain Group Policy object (GPO) has the default password expiration policy set as required, you will either have to change the passwords on the service accounts according to the schedule, use system accounts, or configure the accounts so that the passwords never expire.

アクション アカウントAction accounts

System Center Operations Manager では、管理サーバー、ゲートウェイ サーバー、エージェントのすべてにおいて、MonitoringHost.exe と呼ばれるプロセスが実行されます。In System Center Operations Manager, management servers, gateway servers, and agents all execute a process called MonitoringHost.exe. MonitoringHost.exe を使用して、モニターやタスクの実行などの監視操作が実行されます。MonitoringHost.exe is used to accomplish monitoring activities such as executing a monitor or running a task. MonitoringHost.exe によって実行されるアクションは他にもあり、次のとおりです。Other example of actions MonitoringHost.exe performs include:

  • Windows イベント ログ データの監視と収集Monitoring and collecting Windows event log data.
  • Windows パフォーマンス カウンター データの監視と収集Monitoring and collecting Windows performance counter data.
  • Windows Management Instrumentation (WMI) データの監視と収集Monitoring and collecting Windows Management Instrumentation (WMI) data.
  • スクリプトやバッチなどのアクションの実行Running actions such as scripts or batches.

MonitoringHost.exe プロセスを実行するアカウントは、アクション アカウントと呼ばれます。The account that a MonitoringHost.exe process runs as is called the action account. MonitoringHost.exe は、アクション アカウントに指定された資格情報を使用して、これらのアクションを実行するプロセスです。MonitoringHost.exe is the process that runs these actions by using the credentials that are specified in the action account. 各アカウントごとに新しい MonitoringHost.exe インスタンスが作成されます。A new instance of MonitoringHost.exe is created for each account. エージェントで実行される MonitoringHost.exe プロセスのアクション アカウントは、エージェント アクション アカウントと呼ばれます。The action account for the MonitoringHost.exe process running on an agent is called the Agent Action Account. 管理サーバー上の MonitoringHost.exe プロセスによって使用されるアクション アカウントは、管理サーバー アクション アカウントと呼ばれます。The action account used by the MonitoringHost.exe process on a management server is called the Management Server Action account. ゲートウェイ サーバー上の MonitoringHost.exe プロセスによって使用されるアクション アカウントは、ゲートウェイ サーバー アクション アカウントと呼ばれます。The action account used by the MonitoringHost.exe process on a gateway server is called the Gateway Server Action Account. 組織の IT セキュリティ ポリシーにより最小特権アクセスが必要な場合を除き、管理グループ内のすべての管理サーバーで、このアカウントにローカル管理者権限を付与することを推奨します。On all management servers in the management group, we recommend that you grant the account local administrative rights unless least-privileged access is required by your organizations IT security policy.

アクションが実行プロファイルに関連付けられていない場合、アクションの実行に使用される資格情報は、アクション アカウントに対して定義された資格情報になります。Unless an action has been associated with a Run As profile, the credentials that are used to perform the action will be those, you defined for the action account. 実行アカウントおよび実行プロファイルの詳細については、「実行アカウント」のセクションをご覧ください。For more information about Run As Accounts and Run As Profiles, see the section Run As Accounts. エージェントが既定のアクション アカウントまたは実行アカウントのいずれかとしてアクションを実行する場合、MonitoringHost.exe の新しいインスタンスがアカウントごとに作成されます。When an agent runs actions as either the default action account and/or Run As account(s), a new instance of MonitoringHost.exe is created for each account.

Operations Manager をインストールする場合、ドメイン アカウントを指定するか、LocalSystem を使用するかを選択できます。When you install Operations Manager, you have the option to specify a domain account or use LocalSystem. セキュリティを高めるには、ドメイン アカウントを指定します。この場合、環境で必要な最低限の特権があるユーザーを選択できます。The more secure approach is to specify a domain account, which allows you to select a user with the least privileges necessary for your environment.

エージェントのアクション アカウントに最小特権のアカウントを使用できます。You can use a least-privileged account for the agent’s action account. Windows Server 2008 R2 以降を実行するコンピューターでは、アカウントに次の最小限の特権が必要です。On computers running Windows Server 2008 R2 or higher, the account must have the following minimum privileges:

  • ローカルの Users グループのメンバーMember of the local Users group
  • ローカルの Performance Monitor Users グループのメンバーMember of the local Performance Monitor Users group
  • ローカル ログオン (SetInteractiveLogonRight) を許可します (Operations Manager 2019 の場合、該当しません)。Allow log on locally (SetInteractiveLogonRight) permission (not applicable for Operations Manager 2019).

注意

上記の最小限の特権は、Operations Manager がアクション アカウントに対してサポートする最も低い特権です。The minimum privileges described above are the lowest privileges that Operations Manager supports for the action account. 他の実行アカウントでは、さらに低い特権を指定できます。Other Run As accounts can have lower privileges. アクション アカウントと実行アカウントに必要な実際の特権は、コンピューターで実行されている管理パックとその構成によって異なります。The actual privileges required for the Action account and the Run As accounts will depend upon which management packs are running on the computer and how they are configured. 必要な特定の特権の詳細については、適切な管理パック ガイドを参照してください。For more information about which specific privileges are required, see the appropriate management pack guide.

アクション アカウントに指定されているドメイン アカウントには、スマート カード認証が必要なときなど、セキュリティ ポリシーにより、サービス アカウントに対話型のログオン セッションが与えられない場合、サービスとしてのログオン (SeServiceLogonRight) アクセス許可かバッチとしてのログオン (SeBatchLogonRight) アクセス許可を与えることができます。The domain account that is specified for the action account can be granted either Log on as a Service (SeServiceLogonRight) or Log on as Batch (SeBatchLogonRight) permission if your security policy does not allow a service account to be granted an interactive log on session, such as when smart card authentication is required. レジストリ HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service の値を次のように変更します。Modify the registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

アクション アカウントに指定されているドメイン アカウントには、サービスとしてログオンする (SeServiceLogonRight) 許可が与えられます。The domain account that is specified for the action account is granted with Log on as a Service (SeServiceLogonRight) permission. ヘルス サービスのログオンの種類を変更するには、レジストリ値 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service を次のように変更します。To change the logon type for health service, modify the registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

  • 名前:Worker Process Logon TypeName: Worker Process Logon Type
  • 種類:REG_DWORDType: REG_DWORD
  • 値 (Operations Manager 2016 から 1807 までの場合):4 - バッチとしてログオン、2 - ローカル ログオンを許可、5 - サービスとしてログオン。Values (for Operations Manager 2016 to 1807): Four (4) - Log on as batch, Two (2) - Allow log on locally and Five (5) - Log on as Service. 既定値は 2 です。Default value is 2.
  • Operations Manger 2019 以降の値:4 - バッチとしてログオン、2 - ローカル ログオンを許可、5 - サービスとしてログオン。Values for Operations Manger 2019 and later: Four (4) - Log on as Batch, Two (2) - Allow log on locally, and Five (5) - Log on as Service. 既定値は 5 です。Default value is 5.

管理サーバーまたはエージェント型マネージド システムのフォルダー C:\Windows\PolicyDefinitions にある ADMX ファイル healthservice.admx をコピーし、フォルダー Computer Configuration\Administrative Templates\System Center - Operations Manager の設定 [監視アクション アカウントのログオンの種類] を構成することにより、グループ ポリシーを使用して設定を集中管理できます。You can centrally manage the setting using Group Policy by copying the ADMX file healthservice.admx from a management server or agent-managed system located in the folder C:\Windows\PolicyDefinitions and configuring the setting Monitoring Action Account Logon Type under the folder Computer Configuration\Administrative Templates\System Center - Operations Manager. グループ ポリシー ADMX ファイルの詳細については、「Managing Group Policy ADMX files」(グループ ポリシー ADMX ファイルの管理) を参照してください。For more information working with Group Policy ADMX files, see Managing Group Policy ADMX files.

System Center 構成サービスと System Center データ アクセス サービス アカウントSystem Center Configuration Service and System Center Data Access Service account

System Center データ アクセス サービスと System Center 管理構成サービスでは、オペレーショナル データベースの情報の更新のために、System Center 構成サービスと System Center データ アクセス サービスのアカウントを使用します。The System Center Configuration service and System Center Data Access service account is used by the System Center Data Access and System Center Management Configuration services to update information in the Operational database. アクション アカウントに使用される資格情報は、オペレーショナル データベースの sdk_user ロールに割り当てられます。The credentials used for the action account will be assigned to the sdk_user role in the Operational database.

アカウントはドメイン ユーザーまたは LocalSystem のいずれかでなければいけません。The account should be either a Domain User or LocalSystem. 管理グループ内のすべての管理サーバーにおいて、SDK と構成サービス アカウントに使用されるアカウントにローカル管理者権限が付与されている必要があります。The account used for the SDK and Config Service account should be granted local administrative rights on all management servers in the management group. ローカル ユーザー アカウントの使用はサポートされていません。The use of Local User account is not supported. セキュリティを強化するため、管理サーバー アクション アカウントで使ったものとは異なるドメイン ユーザー アカウントを使用することをお勧めします。For increased security, we recommended you use a domain user account and it's a different account from the one used for the Management Server Action Account. LocalSystem アカウントは、Windows コンピューター上で最高の (ローカル管理者より高い) 特権アカウントです。LocalSystem account is the highest privilege account on a Windows computer, even higher than local Administrator. LocalSystem のコンテキストで実行するサービスにはコンピューターのローカル リソースのフル コントロールが付与され、リモート リソースへの認証とアクセスにはコンピューターの ID が使用されます。When a service runs under the context of LocalSystem, the service has full control of the computer’s local resources, and the identity of the computer is leveraged when authenticating to and accessing remote resources. LocalSystem アカウントを使うと、最小限の特権を持つプリンシパルが優先されないためセキュリティ リスクがあります。Using LocalSystem account is a security risk because it doesn’t honor the principal of least privilege. Operations Manager データベースをホストする SQL Server インスタンスに必要な権限のため、管理グループの管理サーバーが侵害された場合のセキュリティ リスクを回避するには、ドメイン アカウントのアクセス許可を最小限にする必要があります。Because of the rights required on the SQL Server instance hosting the Operations Manager database, a domain account with least privilege permissions is necessary to avoid any security risk if the management server in the management group is compromised. 理由は次のとおりです。The reasons why are:

  • LocalSystem にはパスワードがありませんLocalSystem has no password
  • LocalSystem には独自のプロファイルがありませんIt does not have its own profile
  • LocalSystem にはローカル コンピュータに対する広範囲の特権がありますIt has extensive privileges on the local computer
  • コンピューターの資格情報をリモート コンピューターに対して提示しますIt presents the computer’s credentials to remote computers

注意

Operations Manager データベースを管理サーバーと別のコンピューターにインストールし、データ アクセスと構成サービス アカウントとしてローカル システムを選択すると、管理サーバー コンピューターからのコンピューター アカウントが、Operations Manager データベース コンピューターの sdk_user ロールに割り当てられます。If the Operations Manager database is installed on a computer separate from the management server and LocalSystem is selected for the Data Access and Configuration service account, the computer account for the management server computer is assigned the sdk_user role on the Operations Manager database computer.

詳しくは、LocalSystem についてのページをご覧ください。For more information, see about LocalSystem

データ ウェアハウス書き込みアカウントData Warehouse Write account

データ ウェアハウス書き込みアカウントは、管理サーバーからレポート データ ウェアハウスにデータを書き込むために使用されるアカウントで、Operations Manager データベースからデータを読み取ります。The Data Warehouse Write account is the account used to write data from the management server to the Reporting data warehouse, and it reads data from the Operations Manager database. 次の表は、セットアップ時にドメイン ユーザー アカウントに割り当てられているロールおよびメンバーシップを説明したものです。The following table describes the roles and membership assigned to the domain user account during setup.

アプリケーションApplication データベース/ロールDatabase/role ロール/アカウントRole/account
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerOperationsManager db_datareaderdb_datareader
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerOperationsManager dwsync_userdwsync_user
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerDWOperationsManagerDW OpsMgrWriterOpsMgrWriter
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerDWOperationsManagerDW db_ownerdb_owner
Operations ManagerOperations Manager ユーザー ロールUser role Operations Manager レポート セキュリティ管理者Operations Manager Report Security Administrators
Operations ManagerOperations Manager 実行アカウントRun As account データ ウェアハウス アクション アカウントData Warehouse Action account
Operations ManagerOperations Manager 実行アカウントRun As account データ ウェアハウスの構成同期リーダー アカウントData Warehouse Configuration Synchronization Reader account

データ リーダー アカウントData Reader account

データ リーダー アカウントは、レポートを展開したり、SQL Server Reporting Services がレポート データ ウェアハウスに対してクエリを実行するときに使用するユーザーを定義したり、管理サーバーに接続するための SQL Reporting Services アカウントを定義したりするために使用されます。The Data Reader account is used to deploy reports, define what user the SQL Server Reporting Services uses to execute queries against the Reporting data warehouse, and define the SQL Reporting Services account to connect to the management server. このドメイン ユーザー アカウントは、レポート管理者のユーザー プロファイルに追加されます。This domain user account is added to the Report Administrator User Profile. 次の表は、セットアップ時にアカウントに割り当てられているロールおよびメンバーシップについて説明します。The following table describes the roles and membership assigned to the account during setup.

アプリケーションApplication データベース/ロールDatabase/role ロール/アカウントRole/account
Microsoft SQL ServerMicrosoft SQL Server Reporting Services のインストール インスタンスReporting Services Installation instance レポート サーバー実行アカウントReport Server Execution account
Microsoft SQL ServerMicrosoft SQL Server OperationsManagerDWOperationsManagerDW OpsMgrReaderOpsMgrReader
Operations ManagerOperations Manager ユーザー ロールUser role Operation Manager レポート オペレーターOperations Manager Report Operators
Operations ManagerOperations Manager ユーザー ロールUser role Operations Manager レポート セキュリティ管理者Operations Manager Report Security Administrators
Operations ManagerOperations Manager 実行アカウントRun As account データ ウェアハウスのレポート展開アカウントData Warehouse Report Deployment account
Windows サービスWindows service SQL Server Reporting ServicesSQL Server Reporting Services ログオン アカウントLogon account

データ リーダー アカウントとして使用する予定があるアカウントに、各管理サーバーおよびレポート サーバー ロールをホストする SQL Server について、サービスとしてログオンする権限 (2019 以降) またはサービスとしてログオンする権限とローカルのログオンを許可する権限 (それより前) が付与されていることを確認します。Verify the account you plan to use for the Data Reader account is granted the Log on as Service (for 2019 and later) or Log on as Service and Allow Log on Locally (for earlier release), right for each management server, and the SQL Server hosting the Reporting Server role.

エージェント インストール アカウントAgent Installation account

検出ベースのエージェントの展開を実行する場合、アカウントにはエージェントのインストールの対象となるコンピューターに対する管理者特権が必要です。When performing discovery-based agent deployment, an account is required with Administrator privileges on the computers targeted for agent installation. 管理サーバー アクション アカウントが、エージェント インストールの既定アカウントです。The management server action account is the default account for agent installation. 管理サーバー アクション アカウントに管理者権限がない場合、オペレーターは、ターゲット コンピューターで管理者権限を持つ、ユーザー アカウントとパスワードを入力する必要があります。If the management server action account does not have administrator rights, the operator must provide a user account and password with administrative rights on the target computers. このアカウントは、使用前に暗号化され、その後破棄されます。This account is encrypted before being used and then discarded.

通知アクション アカウントNotification Action account

通知アクション アカウントは、通知の作成と送信に使用されるアカウントです。The Notification Action account is the account used for creating and sending notifications. これらの資格情報には、通知に使用する SMTP サーバー、Instant Messaging Server、または SIP サーバーに必要な権限が含まれている必要があります。These credentials must have sufficient rights for the SMTP server, instant messaging server, or the SIP server that is used for notifications.