SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

OpsMgr のインストール時のサービスアカウントの設定箇所について

leave a comment

OpsMgr の勉強の続きです。

OpsMgr ではインストール時にいくつかのサービスアカウントの設定があります。
image
image
image

ローカルシステムアカウントやローカル Administrator を使用するとインストールすることはできるのですが、実運用環境に置いては権限が強すぎる、アカウントを変更する必要があるというケースが考えられると思います。

インストール時に指定したアカウントが設定される個所についてみていきたいと思います。
アカウントに関しては、OpsMgr の管理コンソールの [管理] アカウントで大体のユーザーを確認することができます。

image

各アカウントがどのように使用されるかは以下の技術情報に記載されています。
Operations Manager 2007 のアカウント情報

 

■管理サーバー アクション アカウント

 

管理サーバー アクション アカウントに関しては、ローカルの [Users] グループのユーザーで設定が可能なようです。
最低限の権限を持つユーザーで設定ができるようですね。

管理サーバー アクションアカウントは、[種類:アクション アカウント] に設定がされます。
image

[Local System Action Account] はデフォルトで作成されます。
このアカウントには、[Local System] (ローカルシステムアカウント) が設定されており、管理サーバー アクション アカウントを [ローカルシステム] で設定した場合には、このアクションアカウントのみが作成された状態になります。
image

アクションアカウントについては、[実行アカウントの作成] で [アクション アカウント] を選択することで新規に作成ができますので、アカウントを変更したいとなったら、新規に実行アカウントを作成すれば良さそうですね。
image

[Local System Action Account] 以外に関しては、ユーザー名を変更することができますので新規に作成しなくても変更することで対応ができそうです。
image

[ローカル セキュリティ ポリシー] の [ユーザー権利の割り当て] として以下の権限が付与されているようです。

[サービスとしてログオン]
image
サービスアカウントとして、アクションアカウントが設定されているサービスはないのですが、[サービスとしてログオン] の権限が付与されているようでした。

SQL Server のログインとしても設定がされていますのでこちらも変更の必要がありそうです。
image
image

image

■SDK と Config サービスアカウント

 

SDK と Config サービスアカウントに関しては、ローカルの [Administrators] グループのユーザーの必要があるようです。
Administrators グループに属していないユーザーをアカウントに設定しようとするとこのようなエラーになります。
image

このエラーですが、サービスアカウントとしてローカルユーザーを使用する場合も表示されるようで、ローカルアカウントを使用する場合はローカルの [Administrator] でないと駄目でした。
# Administrators グループのローカルユーザーではインストールできませんでした。

ここで設定したアカウントに関しては、OpsMgr の管理コンソールで指定できるアカウントではなくサービスアカウントとして設定がされます。
変更については技術情報が提供されています。
Operations Manager 2007 で SDK と Config サービス アカウントを変更する方法

設定したアカウントは以下のサービスのアカウントとして設定がされます。
[Ops Mgr VSS Writer Service]
image
このサービスに関しては上述の技術情報に記載されていないのですよね…。
ただ、サービスアカウントとしては設定がされていますので、変更の必要はあると思います。

[System Center Data Access]
image

[System Center Management Configuration]
image

[ローカル セキュリティ ポリシー] の [ユーザー権利の割り当て] として以下の権限が付与されているようです。

[サービスとしてログオン]
image

[セキュリティ監査の生成]
image

こちらも SQL Server のログインができていますので作成する必要がありそうです。
image
image
image

 

■データウェア ハウス 書き込みアカウント

 

このアカウントはローカルの [Users] グループで問題ないようです。

データウェア ハウス 書き込みアカウントは [種類:Windows] の [データウェアハウス アクション アカウント] として設定がされます。
image

実行アカウントを作成する場合は [Windows] で作成すれば良さそうですね。
image

このアカウントは編集することができますので、新規に作成しなくてもすでに作成されているアカウントを変更することでも対応できそうです。
image

データベース用のアカウントですので、SQL Server にもログインが作成されています。
image
image
image

■データ リーダー アカウント

 

このアカウントはローカルの [Users] グループで問題ないようです。

データウェア ハウス 書き込みアカウントは [種類:Windows] の [データウェアハウスのレポート展開アカウント] として設定がされます。

image

実行アカウントを作成する場合はデータウェアハウス アクション アカウントと同様 [Windows] で作成すれば良さそうですね。
image

 

このアカウントも編集することが可能です。
image

データリーダーアカウントについてはサービスのアカウントとしても設定されています。

[SQL Server Reporting Services]
image

Reporting Service のサービスアカウントとしても設定がされるみたいですね。
OpsMgr の Reporting Service のアカウント変更に関しては技術文書が提供されています。
Operations Manager 2007 でレポート サーバー実行アカウントのパスワードを変更する方法

サービスからではなく [Reporting Services 構成マネージャー] から変更を行います。
image

 

ローカルセキュリティポリシーとしてもいくつか権限が付与されているようです。
[サービスとしてログオン]
image

[バッチジョブとしてログオン]
image

SQL Server のログオンとしても設定がされています。
image
image
image

 

 

ここまで書いた内容を簡単にまとめると下表のようになります。

アカウント グループ OpsMgr アカウント サービス ユーザー権利の割り当て SQL ログイン
管理サーバー
アクション アカウント
Users アクション アカウント   サービスとしてログオン あり
SDK と Config
サービスアカウント
Administrators   OpsMgrVSSWriter
OMSDK
OMCFG
サービスとしてログオン
セキュリティ監査の生成
あり
データウェア ハウス
書き込みアカウント
Users データ ウェアハウス
アクションアカウント
    あり
データ リーダー アカウント Users データウェアハウスの
レポート展開アカウント
ReportServer

サービスとしてログオン
バッチジョブとしてログオン

あり

 

インストール時に暫定アカウントとして使っていない限り変更の必要はないとは思いますが、設定したユーザーがどこに設定されているかを知っていると便利かなと思いまとめてみました。

Written by masayuki.ozawa

10月 31st, 2010 at 9:30 pm

Posted in System Center

Tagged with ,

Leave a Reply

*