実行アカウントとプロファイルの配布とターゲット設定

実行アカウントが実行プロファイルに関連付けられ、その実行プロファイルを使用するワークフローを正常に実行するのに必要となる資格情報が提供されます。 実行プロファイルが正常に動作するには、実行アカウントの配布とターゲット設定の両方を正しく構成する必要があります。

実行プロファイルを構成するとき、実行プロファイルに関連付ける実行アカウントを選択します。 この関連付けの作成時に、次の図に示すように、実行アカウントを使用して管理するクラス、グループ、またはオブジェクトを指定します。 これで、実行アカウントのターゲットが設定されます。

実行プロファイルとアカウントのターゲットを選択する

配布は実行アカウントの属性で、実行アカウントの資格情報を受け取るコンピューターを指定することができます。 実行アカウントの資格情報は、エージェントで管理されたコンピューターすべてに配布したり、選択されたコンピューターにのみ配布したりすることができます。

実行アカウントのターゲット設定と配布の例:

物理コンピューター ABC では、Microsoft SQL Server の 2 つのインスタンス (インスタンス X とインスタンス Y) をホストしています。各インスタンスは、 sa アカウントのために異なる資格情報セットを使用します。 インスタンス X 用の sa の資格情報で 1 つの実行アカウントを作成し、インスタンス Y 用の sa の資格情報で別の実行アカウントを作成します。SQL Server の実行プロファイルを構成する場合、インスタンス X および Y の両方の実行アカウントの資格情報をそのプロファイルに関連付け、インスタンス X 実行アカウントの資格情報を SQL Server インスタンス X に使用すること、および実行アカウント Y の資格情報を SQL Server インスタンス Y に使用することを指定します。次に、両方の実行アカウントを物理コンピューター ABC に配布するように構成します。

実行アカウントのターゲットの選択

前の図に示したように、実行アカウントのターゲットを選択するためのオプションは、 [すべての対象オブジェクト][選択したクラス、グループ、またはオブジェクト]です。

[すべての対象オブジェクト] を選択すると、実行プロファイルを使用するワークフローのすべてのオブジェクトに対して実行アカウントが使用されます。

[選択したクラス、グループ、またはオブジェクト] を選択した場合は、実行アカウントの対象が指定するクラス、グループ、またはオブジェクトのみに制限されます。

Note

実行アカウントの資格情報は、実行プロファイルを構成する前に、実行資格情報で認証する必要がある特定のエージェントマネージド システムに配布する必要があります。

より安全で安全性の低い配布の比較

Operations Manager は、実行アカウントの資格情報を、すべてのエージェントで管理されるコンピューター (安全性の低いオプション) または指定したコンピューター (より安全なオプション) にのみ配布します。 検出された内容に従って Operations Manager が実行アカウントを自動的に配布するなら、次の例に示すように、環境にセキュリティ上のリスクが及びます。 このため、自動配布オプションは Operations Manager に組み込まれませんでした。

たとえば、Operations Manager は、レジストリ キーの存在に基づいて、SQL Server 2014 をホストしているコンピューターを識別します。 SQL Server 2014 のインスタンスを実際に実行していないコンピューターで、同じレジストリ キーを作成できます。 Operations Manager が SQL Server 2014 コンピューターとして識別されたすべてのエージェントマネージド コンピューターに資格情報を自動的に配布する場合、資格情報は偽装 SQL Server に送信され、そのサーバーの管理者権限を持つユーザーが使用できるようになります。

実行アカウントを作成する際は、実行アカウントを [低いセキュリティ][高いセキュリティ] のいずれの方式で扱う必要があるかを選択するように求められます。 高セキュリティの場合は、実行アカウントを実行プロファイルに関連付ける時に、実行資格情報を配布する特定のコンピューター名を指定する必要があります。 配布先コンピューターを確認することで、上述したスプーフィングのシナリオを避けることができます。 低セキュリティ オプションを選択すると、特定のコンピューターを指定する必要がなく、資格情報がエージェントで管理されたコンピューターすべてに配布されます。

Note

Operations Manager では、資格情報を使用してコンピューターにローカルでログオンできるかどうかなどの、実行アカウントの資格情報を検証するテストが実行されます。 アカウントがローカルでログオンする権限を持たない場合はアラートが生成されます。

次のステップ