実行アカウントと実行プロファイル
重要
このバージョンの Operations Manager はサポート終了に達しました。 Operations Manager 2022 にアップグレードすることをお勧めします。
実行アカウントでは、Operations Manager エージェントによって実行される特定のアクションに使用される資格情報を定義します。 これらのアカウントは、一元的にオペレーション コンソールを使用して管理され、別の実行プロファイルに割り当てられます。 実行プロファイルが特定のアクションに割り当てられていない場合は、既定のアクション アカウントで実行されます。 低い特権の環境では、既定のアカウントに特定のアクションに必要な権限がない場合がありますが、実行プロファイルを、この権限を提供するために使用することができます。 管理パックでは、必要なアクションをサポートするために、実行プロファイルと実行アカウントをインストールできます。 その場合は、必要な構成に関するドキュメントを参照する必要があります。
既定の実行アカウント
次の表は、セットアップ時に Operations Manager によって作成された既定の実行アカウントの一覧です。
| 名前 | 説明 | 資格情報 |
|---|---|---|
| ドメイン\ManagementServerActionAccount | 管理サーバーですべてのルールが既定で実行されるユーザー アカウント。 | セットアップ時に、管理サーバー アクション アカウントとして指定されたドメイン アカウント。 |
| ローカル システム アクション アカウント | アクション アカウントとして使用される組み込みシステム アカウント。 | Windows ローカル システム アカウント |
| APM アカウント | アプリケーション パフォーマンス監視アカウントは、監視中にアプリケーションから収集される情報を保護する暗号化キーを提供するために使用します。 このアカウントは、最初の .NET パフォーマンス モニターを作成すると自動的に作成されます。 | 暗号化されたバイナリ アカウント |
| データ ウェアハウス アクション アカウント | OperationsManagerDW データベースをホストする SQL Server で認証するために使用します。 | セットアップ時に、データ ウェアハウス書き込みアカウントとして指定されたドメイン アカウント。 |
| データ ウェアハウスのレポート展開アカウント | 管理サーバーと Operations Manager Reporting Services をホストする SQL Server の間の認証に使用されます。 | セットアップ時に、データ リーダー アカウントとして指定されたドメイン アカウント。 |
| ローカルのシステム Windows アカウント | エージェント アクション アカウントによって使用される組み込みシステム アカウント。 | Windows ローカル システム アカウント |
| ネットワーク サービス Windows アカウント | 組み込みのネットワーク サービス アカウント。 | Windows ネットワーク サービス アカウント |
既定の実行プロファイル
次の表に、セットアップ時に Operations Manager によって作成された実行プロファイルの一覧を示します。
注意
特定のプロファイルに対して実行アカウントを空白のままにすると、既定のアクション アカウント (アクションの場所に応じて管理サーバー アクション アカウントまたはエージェント アクション アカウント) が使用されます。
| 名前 | 説明 | 実行アカウント |
|---|---|---|
| Active Directory ベースのエージェント割り当てアカウント | Active Directory ベースのエージェントの割り当てモジュールで、割り当ての設定を Active Directory にパブリッシュするために使用するアカウント。 | ローカルのシステム Windows アカウント |
| 自動エージェント管理アカウント | このアカウントは、エージェントのエラーを自動的に診断するために使用されます。 | なし |
| クライアント監視アクション アカウント | 指定されている場合、すべてのクライアント監視モジュールを実行するために、Operations Manager によって使用されます。 指定されない場合、Operations Manager は、既定のアクション アカウントを使用します。 | なし |
| 接続された管理グループ アカウント | 接続された管理グループへの接続の正常性を監視するために、Operations Manager 管理パックによって使用されるアカウント。 | なし |
| データ ウェアハウス アカウント | 指定されている場合、既定のアクション アカウントではなく、このアカウントがすべてのデータ ウェアハウス コレクション ルールおよび同期ルールの実行に使用されます。 このアカウントがData Warehouse SQL Server認証アカウントによってオーバーライドされない場合、このアカウントは、Windows 統合認証を使用してData Warehouse データベースに接続するために、コレクションと同期の規則によって使用されます。 | なし |
| データ ウェアハウスのレポート展開アカウント | このアカウントは、データ ウェアハウスのレポート自動展開手順がレポート展開関連の各種操作を実行するときに使用されます。 | データ ウェアハウスのレポート展開アカウント |
| データ ウェアハウス SQL サーバー認証アカウント | 指定した場合、このサインイン名とパスワードは、SQL Server認証を使用してData Warehouse データベースに接続するために、コレクションと同期の規則によって使用されます。 | データ ウェアハウス SQL サーバー認証アカウント |
| MPUpdate アクション アカウント | このアカウントは、MPUpdate 通知機能によって使用されます。 | なし |
| 通知アカウント | 通知ルールが使用する Windows アカウント。 このアカウントの電子メール アドレスは、電子メールおよびインスタント メッセージの送信元アドレスとして使用されます。 | なし |
| オペレーション データベース アカウント | このアカウントは、Operations Manager データベースの情報の読み取りおよび書き込みに使用されます。 | なし |
| 特権監視アカウント | このプロファイルは、システムに対する高度な特権 (ローカル システムまたはローカル管理者のアクセス許可が必要な監視など) によってのみ実行できる監視に使用されます。 ターゲット システムで特別にオーバーライドされない限り、このプロファイルは既定でローカル システムに設定されます。 | なし |
| SDK SQL サーバー認証レポート アカウント | 指定した場合、このサインイン名とパスワードは SDK Service によって使用され、SQL Server認証を使用してData Warehouse データベースに接続されます。 | SDK SQL サーバー認証レポート アカウント |
| 予約済み | このプロファイルは予約されているため、使用しないでください。 | なし |
| アラート配信登録の検証アカウント | 通知サブスクリプションがスコープ内であることを検証する、アラート配信登録の検証モジュールによって使用されるアカウント。 このプロファイルには、管理者権限が必要です。 | ローカルのシステム Windows アカウント |
| SNMP 監視アカウント | このアカウントは、SNMP 監視に使用されます。 | なし |
| SNMPv3 監視アカウント | このアカウントは、SNMPv3 の監視に使用されます。 | なし |
| UNIX/Linux アクション アカウント | このアカウントは、UNIX および Linux の低い特権のアクセスに使用されます。 | なし |
| UNIX/Linux エージェント メンテナンス アカウント | このアカウントは、UNIX および Linux エージェントの特権が必要なメンテナンス操作に使用されます。 このアカウントがないと、エージェントのメンテナンス操作は機能しません。 | なし |
| UNIX/Linux 特権を持つアカウント | このアカウントは、高い特権が必要な、UNIX および Linux の保護されたリソースやアクションにアクセスする際に使用されます。 このアカウントがないと、一部のルール、診断、回復が機能しません。 | なし |
| Windows クラスターのアクション アカウント | このプロファイルは、Windows クラスター コンポーネントのすべての検出と監視に使用されます。 このプロファイルは、ユーザーが設定しない限り、既定で使用されるアクション アカウントに設定されます。 | なし |
| WS-Management アクション アカウント | このプロファイルは、WS-Management のアクセスに使用します。 | なし |
配布とターゲット設定について
実行プロファイルが正常に動作させるには、実行アカウントの配布と実行アカウントのターゲット設定の両方を正しく構成する必要があります。
実行プロファイルを構成するとき、実行プロファイルに関連付ける実行アカウントを選択します。 この関連付けを行った後、タスク、ルール、モニター、および検出を実行するために使用する実行アカウントに、クラス、グループ、またはオブジェクトを指定できます。
ディストリビューションは実行アカウントの属性であり、実行アカウントの資格情報を受け取るコンピューターを指定できます。 実行アカウントの資格情報は、エージェントで管理されたコンピューターすべてに配布したり、選択されたコンピューターにのみ配布したりすることができます。
実行アカウントのターゲットの例: 物理コンピューター ABC は、Microsoft SQL Server インスタンス X とインスタンス Y の 2 つのインスタンスをホストします。各インスタンスは、sa アカウントに対して異なる資格情報セットを使用します。 インスタンス X 用の sa の資格情報で 1 つの実行アカウントを作成し、インスタンス Y 用の sa の資格情報で別の実行アカウントを作成します。SQL Server の実行プロファイルを構成する場合、両方の実行アカウントの資格情報 (X、Y など) をそのプロファイルに関連付け、インスタンス X 実行アカウントの資格情報を SQL Server インスタンス X に使用すること、および実行アカウント Y の資格情報を SQL Server インスタンス Y に使用することを指定します。次に、それぞれの実行アカウントを物理コンピューター ABC に配布するように構成する必要もあります。
実行アカウントの配布の例: SQL Server1 と SQL Server2 は、2 台の異なる物理コンピューターです。 SQL Server1 では、SQL sa アカウントに、UserName1 と Password1 の資格情報のセットを使用します。 SQL Server2 では、SQL sa アカウントに、UserName2 と Password2 の資格情報のセットを使用します。 SQL 管理パックには、すべての SQL Server に使用される単一の SQL 実行プロファイルがあります。 その後、UserName1 の資格情報セットに対して 1 つの実行アカウントを定義し、UserName2 の資格情報セットに対して別の実行アカウントを定義できます。 これらの実行アカウントはどちらも、1 つの SQL Server の実行プロファイルに関連付けることができ、適切なコンピューターに配布するよう構成できます。 つまり、UserName1 は SQL Server1 に配布され、UserName2 は SQL Server2 に配布されます。 管理サーバーと指定されたコンピューターの間で送信されるアカウント情報は、暗号化されます。
実行アカウントのセキュリティ
System Center Operations Manager では、実行アカウントの資格情報は、指定するコンピューターにのみ配布されます (高いセキュリティ オプション)。 検出された内容に従って Operations Manager が実行アカウントを自動的に配布する場合、次の例に示すように、環境にセキュリティ上のリスクが及びます。 これが、Operations Manager に自動配布オプションが含まれていなかった理由です。
たとえば、Operations Manager は、コンピューターが SQL Server 2016 をホスティングしているかどうかを、あるレジストリ キーの有無で判断します。 SQL Server 2016 のインスタンスを実際に実行していないコンピューターで、同じレジストリ キーを作成できます。 SQL Server 2016 のコンピューターとして識別されたすべてのエージェント型マネージド コンピューターに Operations Manager から資格情報を自動的に配布する場合、資格情報がなりすましの SQL Server に送信され、そのサーバーに対する管理者権限を持つユーザーがそれらの資格情報を利用できるようになるおそれがあります。
Operations Manager を使用して実行アカウントを作成すると、実行アカウントを安全性の低い方法または安全性の高い方法で処理するかどうかを選択するように求められます。 “高いセキュリティ” の場合は、実行アカウントを実行プロファイルに関連付けるときに、実行資格情報を配布する特定のコンピューター名を指定する必要があります。 配布先コンピューターを確認することで、上述したスプーフィングのシナリオを避けることができます。 安全性の低いオプションを選択した場合、特定のコンピューターを指定する必要はなくなり、資格情報はすべてのエージェントで管理されるコンピューターに配布されます。
Note
実行アカウント用に選択する資格情報には、最低でもローカルにログオンする権限が必要です。権限がないと、モジュールの実行が失敗します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示