Article
06/15/2016

Informations de compte pour Operations Manager

S'applique à: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Au cours de l'installation et du fonctionnement de System Center 2012 – Operations Manager, vous êtes invité à fournir des informations d'identification pour plusieurs comptes. Cette section fournit des informations sur les différents comptes et sur la modification des informations d'identification ou des mots de passe pour les comptes après un déploiement.

Comptes d'action
Comptes de service
Compte d'installation des agents
Compte d'écriture de l'entrepôt de données
Compte de lecteur de données

Comptes d'action

Le serveur d'administration, le serveur de passerelle et l'agent Operations Manager contiennent tous un processus nommé MonitoringHost.exe. MonitoringHost.exe permet d'effectuer des activités de surveillance, telles que l'exécution d'une analyse ou d'une tâche. Par exemple, lorsqu'un agent s'abonne au journal des événements pour lire des événements, c'est le processus MonitoringHost.exe qui exécute ces activités. Le compte qu'un processus MonitoringHost.exe identifie est appelé le compte d'action. Le compte d'action pour le processus MonitoringHost.exe qui s'exécute sur un agent est appelé le compte d'action de l'agent. Le compte d'action utilisé par le processus MonitoringHost.exe sur un serveur d'administration est appelé le compte d'action du serveur d'administration. Le compte d'action utilisé par le processus MonitoringHost.exe sur un serveur de passerelle est appelé le compte d'action du serveur de passerelle.

Lorsque vous validez ou modifiez le compte d'action par défaut, vous devez vérifier que le compte que vous utilisez pour votre compte d'action par défaut est configuré pour être un membre Rôle du rôle de base de données ConfigServiceMonitoringUsers.

Pour valider le compte d'action

Sur le serveur qui héberge la base de données opérationnelle, ouvrez SQL Server Management Studio et connectez-vous au serveur local.
Développez Bases de données, puis développez la base de données opérationnelle, qui est OperationsManager par défaut.
Développez Sécurité, Rôles, puis Rôles de base de données.
Vérifiez que le rôle ConfigServiceMonitoringUsers est répertorié.
Si ce rôle n'est pas répertorié, vous pouvez cliquer avec le bouton droit sur Rôles de base de données pour l'ajouter.

Compte d'action de l'agent

Sauf si une action a été associée à un profil d'identification, les informations d'identification utilisées pour exécuter l'action sont celles définies pour le compte d'action. Pour plus d'informations sur le profil d'identification, consultez Managing Run As Accounts and Profiles (Gestion des comptes et des profils d'identification). Voici quelques exemples d'actions :

Analyse et collecte des données des journaux d'événements Windows
Analyse et collecte des données des compteurs de performances Windows
Analyse et collecte des données WMI (Windows Management Instrumentation)
Exécution d'actions, telles que des scripts ou des fichiers de commandes

MonitoringHost.exe est le processus qui exécute ces actions en utilisant les informations d'identification spécifiées dans le compte d'action. Une nouvelle instance de MonitoringHost.exe est créée pour chaque compte.

Utilisation d'un compte à droits limités

Lorsque vous installez Operations Manager, vous pouvez choisir l'une des deux options lors de l'attribution du compte d'action :

Système local
Compte de domaine ou local

Une approche courante consiste à spécifier un compte de domaine ce qui vous permet de sélectionner un utilisateur disposant des droits nécessaires minimum pour votre environnement.

Le compte d'action par défaut doit avoir les droits minimum suivants :

être membre du groupe Utilisateurs locaux ;
être membre du groupe local Utilisateurs de l'Analyseur de performances ;
disposer du droit « Permettre l'ouverture d'une session locale » (SetInteractiveLogonRight).

Les droits minimum décrits ci-dessus sont les droits les plus bas qu'Operations Manager prend en charge pour le compte d'action. D'autres comptes d'identification peuvent avoir des droits moins élevés. Les droits réels requis pour les comptes d'identification dépendent des packs d'administration exécutés sur l'ordinateur et de leur configuration. Pour plus d'informations sur les informations d'identification spécifiques requises, consultez le guide du pack d’administration correspondant.

Tenez compte des points suivants lors du choix des informations d'identification pour le compte d'action de l'agent :

Un compte à droits limités est le seul élément nécessaire pour les agents qui sont utilisés pour analyser les contrôleurs de domaine.
L'utilisation d'un compte de domaine requiert que vous mettiez à jour votre mot de passe pour qu'il soit cohérent avec vos stratégies d'expiration de mot de passe.
Vous devez arrêter puis démarrer le service System Center Management si le compte d'action a été configuré pour utiliser un compte à droits limités et si ce compte a été ajouté aux groupes requis alors que le service System Center Management était en cours d'exécution.

Compte d'action de notification

Le compte d'action de notification est un compte d'identification créé par l'utilisateur pour configurer des notifications. Il s'agit du compte d'action utilisé pour la création et l'envoi de notifications. Assurez-vous que les informations d'identification que vous utilisez pour ce compte disposent de droits suffisants pour le serveur SMTP, de messagerie instantanée ou SIP que vous utiliserez pour les notifications.

Si vous modifiez le mot de passe pour les informations d'identification que vous avez entrées pour le compte d'action de notification, vous devez apporter les mêmes modifications de mot de passe pour le compte d'identification.

Gestion des informations d'identification du compte d'action

Operations Manager détermine la date d'expiration du mot de passe et génère une alerte 14 jours avant la date d'expiration pour le compte que vous choisissez. Lorsque vous modifiez le mot de passe dans Active Directory, vous pouvez modifier le mot de passe du compte d'action dans Operations Manager sous l'onglet Compte sur la page Propriétés du compte d'identification. Pour plus d'informations sur la gestion des informations d'identification du compte d'action, consultez Comment faire pour modifier les informations d'identification du compte d'Action.

Comptes de service

L'ensemble d'informations d'identification du service de configuration de System Center et du compte de service d'accès aux données de System Center est utilisé par les services d'accès aux données de System Center et de configuration de gestion de System Center pour mettre à jour et lire des informations dans la base de données opérationnelle. Operations Manager garantit que les informations d'identification utilisées pour le compte de service d'accès aux données sont affectées au rôle Sdk_user dans la base de données opérationnelle. Le service de configuration de System Center et le compte de service d'accès aux données de System Center peuvent être configurés sous la forme d'un compte Système local ou d'un compte de domaine. Un compte d'utilisateur local n'est pas pris en charge.

Si le serveur d'administration et la base de données opérationnelle se trouvent sur des ordinateurs différents, le service de configuration de System Center et le compte d'accès aux données de System Center doivent devenir un compte de domaine. Pour une meilleure sécurité, nous vous recommandons d'utiliser un compte différent de celui utilisé pour le compte d'action du serveur d'administration. Pour modifier ces comptes, consultez Comment faire pour modifier les références de service de Configuration de gestion de System Center et du service d'accès aux données de System Center.

Compte d'installation des agents

Lors du déploiement d'agents basé sur la détection, vous êtes invité à entrer un compte disposant de droits d'administrateur. Ce compte est utilisé pour installer l'agent sur l'ordinateur, et doit donc être administrateur local sur tous les ordinateurs sur lesquels vous déployez les agents. Le compte d'action du serveur d'administration est le compte par défaut pour l'installation de l'agent. Si le compte d'action du serveur d'administration ne dispose pas de droits d'administrateur, sélectionnez Autre compte d'utilisateur et tapez un compte disposant de droits d'administrateur. Ce compte est chiffré avant son utilisation et il est ensuite ignoré.

Compte d'écriture de l'entrepôt de données

Le compte d'écriture de l'entrepôt de données écrit des données depuis le serveur d'administration vers l'entrepôt de données de rapports et lit les données à partir de la base de données opérationnelle. Les informations d'identification que vous fournissez pour ce compte deviennent des membres des rôles en fonction de l'application, comme décrit dans le tableau suivant.

Notes

Pour plus d'informations sur les configurations prises en charge pour System Center 2012 – Operations Manager, consultez Configurations prises en charge pour Operations Manager pour System Center 2012.

Application	Base de données/rôle	Rôle/compte
Versions prises en charge de Microsoft SQL Server	Base de données opérationnelle	db_datareader
Versions prises en charge de Microsoft SQL Server	Base de données opérationnelle	dwsync_user
Versions prises en charge de Microsoft SQL Server	Base de données d'entrepôt de données	OpsMgrWriter
Versions prises en charge de Microsoft SQL Server	Base de données d'entrepôt de données	db_owner
Operations Manager	Rôle d'utilisateur	Compte Administrateurs de sécurité des rapports Operations Manager
Operations Manager	Compte d'identification	Compte d'action d'entrepôt de données
Operations Manager	Compte d'identification	Compte de lecteur de synchronisation de la configuration des entrepôts de données

Si vous modifiez le mot de passe pour les informations d'identification que vous avez entrées pour le compte d'écriture de l'entrepôt de données, vous devez apporter les mêmes modifications de mot de passe pour les comptes suivants :

Compte d'identification appelé Compte d'action d'entrepôt de données
Compte d'identification appelé Compte de lecteur de synchronisation de la configuration des entrepôts de données

Compte de lecteur de données

Ce compte est utilisé pour déployer des rapports, définir quel utilisateur SQL Server Reporting Services utilise pour exécuter des requêtes dans l'entrepôt de données de rapports, et pour le compte du pool d'applications IIS SQL Server Reporting Services à connecter au serveur d'administration. Ce compte est ajouté au profil d'utilisateur Administrateur de rapport.

Les informations d'identification que vous fournissez pour ce compte deviennent des membres des rôles en fonction de l'application, comme décrit dans le tableau suivant.