OpsMgr の勉強の続きです。
OpsMgr ではインストール時にいくつかのサービスアカウントの設定があります。
ローカルシステムアカウントやローカル Administrator を使用するとインストールすることはできるのですが、実運用環境に置いては権限が強すぎる、アカウントを変更する必要があるというケースが考えられると思います。
インストール時に指定したアカウントが設定される個所についてみていきたいと思います。
アカウントに関しては、OpsMgr の管理コンソールの [管理] アカウントで大体のユーザーを確認することができます。
各アカウントがどのように使用されるかは以下の技術情報に記載されています。
Operations Manager 2007 のアカウント情報
■管理サーバー アクション アカウント
管理サーバー アクション アカウントに関しては、ローカルの [Users] グループのユーザーで設定が可能なようです。
最低限の権限を持つユーザーで設定ができるようですね。
管理サーバー アクションアカウントは、[種類:アクション アカウント] に設定がされます。
[Local System Action Account] はデフォルトで作成されます。
このアカウントには、[Local System] (ローカルシステムアカウント) が設定されており、管理サーバー アクション アカウントを [ローカルシステム] で設定した場合には、このアクションアカウントのみが作成された状態になります。
アクションアカウントについては、[実行アカウントの作成] で [アクション アカウント] を選択することで新規に作成ができますので、アカウントを変更したいとなったら、新規に実行アカウントを作成すれば良さそうですね。
[Local System Action Account] 以外に関しては、ユーザー名を変更することができますので新規に作成しなくても変更することで対応ができそうです。
[ローカル セキュリティ ポリシー] の [ユーザー権利の割り当て] として以下の権限が付与されているようです。
[サービスとしてログオン]
サービスアカウントとして、アクションアカウントが設定されているサービスはないのですが、[サービスとしてログオン] の権限が付与されているようでした。
SQL Server のログインとしても設定がされていますのでこちらも変更の必要がありそうです。
■SDK と Config サービスアカウント
SDK と Config サービスアカウントに関しては、ローカルの [Administrators] グループのユーザーの必要があるようです。
Administrators グループに属していないユーザーをアカウントに設定しようとするとこのようなエラーになります。
このエラーですが、サービスアカウントとしてローカルユーザーを使用する場合も表示されるようで、ローカルアカウントを使用する場合はローカルの [Administrator] でないと駄目でした。
# Administrators グループのローカルユーザーではインストールできませんでした。
ここで設定したアカウントに関しては、OpsMgr の管理コンソールで指定できるアカウントではなくサービスアカウントとして設定がされます。
変更については技術情報が提供されています。
Operations Manager 2007 で SDK と Config サービス アカウントを変更する方法
設定したアカウントは以下のサービスのアカウントとして設定がされます。
[Ops Mgr VSS Writer Service]
このサービスに関しては上述の技術情報に記載されていないのですよね…。
ただ、サービスアカウントとしては設定がされていますので、変更の必要はあると思います。
[System Center Management Configuration]
[ローカル セキュリティ ポリシー] の [ユーザー権利の割り当て] として以下の権限が付与されているようです。
こちらも SQL Server のログインができていますので作成する必要がありそうです。
■データウェア ハウス 書き込みアカウント
このアカウントはローカルの [Users] グループで問題ないようです。
データウェア ハウス 書き込みアカウントは [種類:Windows] の [データウェアハウス アクション アカウント] として設定がされます。
実行アカウントを作成する場合は [Windows] で作成すれば良さそうですね。
このアカウントは編集することができますので、新規に作成しなくてもすでに作成されているアカウントを変更することでも対応できそうです。
データベース用のアカウントですので、SQL Server にもログインが作成されています。
■データ リーダー アカウント
このアカウントはローカルの [Users] グループで問題ないようです。
データウェア ハウス 書き込みアカウントは [種類:Windows] の [データウェアハウスのレポート展開アカウント] として設定がされます。
実行アカウントを作成する場合はデータウェアハウス アクション アカウントと同様 [Windows] で作成すれば良さそうですね。
データリーダーアカウントについてはサービスのアカウントとしても設定されています。
[SQL Server Reporting Services]
Reporting Service のサービスアカウントとしても設定がされるみたいですね。
OpsMgr の Reporting Service のアカウント変更に関しては技術文書が提供されています。
Operations Manager 2007 でレポート サーバー実行アカウントのパスワードを変更する方法
サービスからではなく [Reporting Services 構成マネージャー] から変更を行います。
ローカルセキュリティポリシーとしてもいくつか権限が付与されているようです。
[サービスとしてログオン]
SQL Server のログオンとしても設定がされています。
ここまで書いた内容を簡単にまとめると下表のようになります。
アカウント | グループ | OpsMgr アカウント | サービス | ユーザー権利の割り当て | SQL ログイン |
管理サーバー アクション アカウント |
Users | アクション アカウント | サービスとしてログオン | あり | |
SDK と Config サービスアカウント |
Administrators | OpsMgrVSSWriter OMSDK OMCFG |
サービスとしてログオン セキュリティ監査の生成 |
あり | |
データウェア ハウス 書き込みアカウント |
Users | データ ウェアハウス アクションアカウント |
あり | ||
データ リーダー アカウント | Users | データウェアハウスの レポート展開アカウント |
ReportServer |
サービスとしてログオン |
あり |
インストール時に暫定アカウントとして使っていない限り変更の必要はないとは思いますが、設定したユーザーがどこに設定されているかを知っていると便利かなと思いまとめてみました。