サービス、ユーザー、およびセキュリティ アカウント

Operations Manager のセットアップと毎日の操作中に、複数のアカウントの資格情報を入力するように求められます。 この記事では、SDK と構成サービス、エージェントのインストール、データ ウェアハウスの書き込み、およびデータ リーダーのアカウントなど、これらの各アカウントについての情報を示します。

Note

Operations Manager のインストールによって、必要なすべての SQL のアクセス許可がプロビジョニングされます。

ドメイン アカウントを使用し、ドメイン グループ ポリシー オブジェクト (GPO) に既定のパスワード有効期限ポリシーが必要に応じて設定されている場合は、スケジュールに従ってサービス アカウントのパスワードを変更するか、システム アカウントを使用するか、パスワードの有効期限が切れないようにアカウントを構成する必要があります。

アクション アカウント

System Center Operations Manager では、管理サーバー、ゲートウェイ サーバー、エージェントのすべてにおいて、MonitoringHost.exe と呼ばれるプロセスが実行されます。 MonitoringHost.exe を使用して、モニターやタスクの実行などの監視操作が実行されます。 MonitoringHost.exe 実行されるアクションのその他の例を次に示します。

• Windows イベント ログ データの監視と収集
• Windows パフォーマンス カウンター データの監視と収集
• Windows Management Instrumentation (WMI) データの監視と収集
• スクリプトやバッチなどのアクションの実行

MonitoringHost.exe プロセスを実行するアカウントは、アクション アカウントと呼ばれます。 MonitoringHost.exe は、アクション アカウントに指定された資格情報を使用して、これらのアクションを実行するプロセスです。 各アカウントごとに新しい MonitoringHost.exe インスタンスが作成されます。 エージェントで実行される MonitoringHost.exe プロセスのアクション アカウントは、エージェント アクション アカウントと呼ばれます。 管理サーバー上の MonitoringHost.exe プロセスによって使用されるアクション アカウントは、管理サーバー アクション アカウントと呼ばれます。 ゲートウェイ サーバー上の MonitoringHost.exe プロセスによって使用されるアクション アカウントは、ゲートウェイ サーバー アクション アカウントと呼ばれます。 管理グループ内のすべての管理サーバーで、organizationの IT セキュリティ ポリシーで最小限の特権アクセスが必要な場合を除き、アカウントにローカル管理者権限を付与することをお勧めします。

アクションが実行プロファイルに関連付けられていない限り、アクションの実行に使用される資格情報は、アクション アカウントに対して定義した資格情報になります。 実行アカウントおよび実行プロファイルの詳細については、「実行アカウント」のセクションをご覧ください。 エージェントが既定のアクション アカウントまたは実行アカウントのいずれかとしてアクションを実行する場合、MonitoringHost.exe の新しいインスタンスがアカウントごとに作成されます。

Operations Manager をインストールする場合、ドメイン アカウントを指定するか、LocalSystem を使用するかを選択できます。 セキュリティを高めるには、ドメイン アカウントを指定します。この場合、環境で必要な最低限の特権があるユーザーを選択できます。

エージェントのアクション アカウントには、最小特権アカウントを使用できます。 Windows Server 2008 R2 以降を実行するコンピューターでは、アカウントに次の最小限の特権が必要です。

• ローカルの Users グループのメンバー
• ローカルの Performance Monitor Users グループのメンバー
• ローカル ログオン (SetInteractiveLogonRight) を許可します (Operations Manager 2019 以降の場合、該当しません)。

Note

上記の最小限の特権は、Operations Manager がアクション アカウントに対してサポートする最も低い特権です。 他の実行アカウントでは、さらに低い特権を指定できます。 アクション アカウントと実行アカウントに必要な実際の特権は、コンピューターで実行されている管理パックとその構成方法によって異なります。 必要な特定の特権の詳細については、適切な管理パック ガイドを参照してください。

アクション アカウントに指定されているドメイン アカウントには、サービスとしてログオンする (SeServiceLogonRight) 許可が与えられます。 ヘルス サービスのログオンの種類を変更するには、レジストリ値 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service を次のように変更します。

• 名前: Worker Process Logon Type
• 次のように入力します。REG_DWORD

• 値: 4 - バッチとしてログオン、2 - ローカル ログオンを許可、5 - サービスとしてログオン。 既定値は 5 です。

管理サーバーまたはエージェント型マネージド システムのフォルダー C:\Windows\PolicyDefinitions にある ADMX ファイル healthservice.admx をコピーし、フォルダー Computer Configuration\Administrative Templates\System Center - Operations Manager の設定 healthservice.admx を構成することにより、グループ ポリシーを使用して設定を集中管理できます。 グループ ポリシー ADMX ファイルの詳細については、「Managing Group Policy ADMX files」(グループ ポリシー ADMX ファイルの管理) を参照してください。

System Center 構成サービスと System Center データ アクセス サービス アカウント

System Center データ アクセス サービスと System Center 管理構成サービスでは、オペレーショナル データベースの情報の更新のために、System Center 構成サービスと System Center データ アクセス サービスのアカウントを使用します。 アクション アカウントに使用される資格情報は、オペレーショナル データベースの sdk_user ロールに割り当てられます。

アカウントはドメイン ユーザーまたは LocalSystem のいずれかでなければいけません。 管理グループ内のすべての管理サーバーにおいて、SDK と構成サービス アカウントに使用されるアカウントにローカル管理者権限が付与されている必要があります。 ローカル ユーザー アカウントの使用はサポートされていません。 セキュリティを強化するために、ドメイン ユーザー アカウントを使用することをお勧めします。これは、管理サーバー アクション アカウントに使用されるアカウントとは異なるアカウントです。 LocalSystem アカウントは、Windows コンピューター上で最高の (ローカル管理者より高い) 特権アカウントです。 サービスが LocalSystem のコンテキストで実行されている場合、サービスはコンピューターのローカル リソースを完全に制御でき、リモート リソースに対する認証とリモート リソースへのアクセス時にコンピューターの ID が使用されます。 LocalSystem アカウントの使用は、最小限の特権の原則を考慮していないため、セキュリティ 上のリスクがあります。 Operations Manager データベースをホストする SQL Server インスタンスに必要な権限のため、管理グループの管理サーバーが侵害された場合のセキュリティ リスクを回避するには、ドメイン アカウントのアクセス許可を最小限にする必要があります。 その理由は次のとおりです。

• LocalSystem にはパスワードがありません
• 独自のプロファイルがない
• LocalSystem にはローカル コンピュータに対する広範囲の特権があります
• コンピューターの資格情報をリモート コンピューターに対して提示します

Note

Operations Manager データベースを管理サーバーと別のコンピューターにインストールし、データ アクセスと構成サービス アカウントとしてローカル システムを選択すると、管理サーバー コンピューターからのコンピューター アカウントが、Operations Manager データベース コンピューターの sdk_user ロールに割り当てられます。

詳細については、「 LocalSystem について」を参照してください。

データ ウェアハウス書き込みアカウント

データ ウェアハウス書き込みアカウントは、管理サーバーからレポート データ ウェアハウスにデータを書き込むために使用されるアカウントで、Operations Manager データベースからデータを読み取ります。 次の表は、セットアップ時にドメイン ユーザー アカウントに割り当てられているロールおよびメンバーシップを説明したものです。

Application	データベース/ロール	ロール/アカウント
Microsoft SQL Server	OperationsManager	db_datareader
Microsoft SQL Server	OperationsManager	dwsync_user
Microsoft SQL Server	OperationsManagerDW	OpsMgrWriter
Microsoft SQL Server	OperationsManagerDW	db_owner
Operations Manager	ユーザー ロール	Operations Manager レポート セキュリティ管理者
Operations Manager	実行アカウント	データ ウェアハウス アクション アカウント
Operations Manager	実行アカウント	データ ウェアハウスの構成同期リーダー アカウント

データ リーダー アカウント

データ リーダー アカウントは、レポートを展開したり、SQL Server Reporting Services がレポート データ ウェアハウスに対してクエリを実行するときに使用するユーザーを定義したり、管理サーバーに接続するための SQL Reporting Services アカウントを定義したりするために使用されます。 このドメイン ユーザー アカウントは、レポート管理者のユーザー プロファイルに追加されます。 次の表は、セットアップ時にアカウントに割り当てられているロールおよびメンバーシップについて説明します。

Application	データベース/ロール	ロール/アカウント
Microsoft SQL Server	Reporting Services のインストール インスタンス	レポート サーバー実行アカウント
Microsoft SQL Server	OperationsManagerDW	OpsMgrReader
Operations Manager	ユーザー ロール	Operation Manager レポート オペレーター
Operations Manager	ユーザー ロール	Operations Manager レポート セキュリティ管理者
Operations Manager	実行アカウント	データ ウェアハウスのレポート展開アカウント
Windows サービス	SQL Server Reporting Services	ログオン アカウント

データ リーダー アカウントとして使用する予定があるアカウントに、各管理サーバーおよびレポート サーバー ロールをホストする SQL Server について、サービスとしてログオンする権限 (2019 以降) またはサービスとしてログオンする権限とローカルのログオンを許可する権限 (それより前) が付与されていることを確認します。

エージェント インストール アカウント

検出ベースのエージェントの展開を実行する場合、アカウントにはエージェントのインストールの対象となるコンピューターに対する管理者特権が必要です。 管理サーバー アクション アカウントが、エージェント インストールの既定アカウントです。 管理サーバー アクション アカウントに管理者権限がない場合、オペレーターは、ターゲット コンピューターの管理者権限を持つユーザー アカウントとパスワードを指定する必要があります。 このアカウントは、使用前に暗号化され、その後破棄されます。

通知アクション アカウント

通知アクション アカウントは、通知の作成と送信に使用されるアカウントです。 これらの資格情報には、通知に使用する SMTP サーバー、Instant Messaging Server、または SIP サーバーに必要な権限が含まれている必要があります。