L’Agent Operations Manager s’exécute sur chaque ordinateur surveillé par Operations Manager. Pour connaître les groupes d’ordinateurs surveillés par le Configuration Manager 2007 Management Pack, consultez la section Groupes d'ordinateurs pour le Configuration Manager 2007 Management Pack de ce guide. L’Agent Operations Manager 2007 collecte les données de surveillance sur l’ordinateur géré, applique des règles aux données collectées, puis envoie les données obtenues au serveur DCAM (Data Consolidator Agent Manager). La fonctionnalité de surveillance sur un ordinateur agent est fournie par le service Operations Manager 2007 (HealthService.exe), l’hôte Operations Manager 2007 (MonitoringHost.exe) et le compte d’action d’agent.

Pour déployer l’Agent Operations Manager 2007, vous pouvez utiliser l’Assistant Installation d’Operations Manager 2007 ou la distribution de logiciels SMS. Pour obtenir des détails sur le déploiement de l’Agent Operations Manager 2007 et sur l’utilisation de l’Assistant Installation d’Operations Manager 2007, consultez la section relative à la découverte d'ordinateurs et au déploiement d'Agents MOM dans le guide de déploiement de Microsoft Operations Manager 2007. Pour plus d’informations, consultez la page Web, éventuellement en anglais, relative à Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkID=83259).

Remarque
Il est recommandé d’exécuter l’Agent Operations Manager 2007 sur les ordinateurs dotés du fournisseur Configuration Manager à l’aide du compte LocalSystem ou d’un compte dont les droits permettent d’accéder aux espaces de noms WMI Configuration Manager root, root\cimv2, root\sms, ainsi qu’à la clé de Registre SMS et aux sous-clés.

Pour déterminer si l’analyse sans agent peut être utilisée dans votre environnement, consultez la partie consacrée à la prise en charge de l’analyse sans agent dans les Scénarios de surveillance du pack d’administration pour Configuration Manager 2007.

Définition de la variable d'environnement SMS permettant de prendre en charge les règles en journal

Plusieurs règles du Configuration Manager Management Pack lisent les fichiers journaux basés sur Configuration Manager pour y rechercher des erreurs.

Les règles suivantes sous Serveurs de site SMS - Commun sont respectivement basées sur les fichiers sender.log, distmgr.log et policypv.log :

  • Composant ConfigMgr 2007 : l’expéditeur ne peut pas se connecter au site distant via le réseau local (sécurité standard)
  • Composant ConfigMgr 2007 : l’expéditeur ne peut pas se connecter au site distant par la connexion RAS
  • Composant ConfigMgr 2007 : l’expéditeur ne peut pas se connecter au site distant par le réseau local (sécurité avancée)
  • Composant ConfigMgr 2007 : le Gestionnaire de distribution n’a pas pu traiter un package
  • Composant ConfigMgr 2007 : Le Gestionnaire de distribution n’a pas pu insérer le package SMS car le contenu de type SDM est absent de la table CI_Contents
  • Composant ConfigMgr 2007 : Le fournisseur de stratégies n'a pas réussi à obtenir de nouvelles stratégies de mise à jour de logiciel depuis la base de données de site SMS
  • Composant ConfigMgr 2007 : Le fournisseur de stratégies n'a pas réussi à créer une nouvelle stratégie de mise à jour de logiciel
  • Composant ConfigMgr 2007 : Le fournisseur de stratégies n'a pas réussi à obtenir de nouvelles stratégies de conformité depuis la base de données de site SMS
  • Composant ConfigMgr 2007 : Le fournisseur de stratégies n'a pas réussi à créer de nouvelles stratégies de conformité
  • Composant ConfigMgr 2007 : Le fournisseur de stratégies n'a pas réussi à notifier le Gestionnaire de hiérarchie d'un changement de stratégie

Pour surveiller ces journaux, l'emplacement du dossier d'installation de Configuration Manager doit être spécifié. Pour ce faire, créez la variable d'environnement système %SMS_INSTALL_DIR_PATH% sur un serveur de site de sorte que l'agent MOM exécuté sous Système local ou dans un contexte d'utilisateur administrateur ait accès aux fichiers journaux situés dans le répertoire %SMS_INSTALL_DIR_PATH%\Logs. Pour plus d'informations sur la définition de variables d'environnement système, consultez la page Web consacrée aux variables d'environnement système (http://go.microsoft.com/fwlink/?LinkId=92316) (éventuellement en anglais).

Pour que l'agent d'intégrité d'Operations Manager utilise cette variable d'environnement système, vous pouvez devoir redémarrer le serveur de site Configuration Manager.

Configuration des ordinateurs agents pour qu’ils s’exécutent dans les scénarios à faibles privilèges

La fonctionnalité de surveillance sur un ordinateur agent est fournie par le service Operations Manager 2007 (HealthService.exe), l’hôte Operations Manager 2007 (MonitoringHost.exe) et le compte d’action d’agent. Sous Microsoft Windows® 2000, le compte d’action doit être membre du groupe Administrateurs local. Sous Microsoft Windows™ 2003, vous pouvez, dans certaines circonstances, utiliser un compte à faibles privilèges pour le compte d’action de l’agent. Toutefois, pour que le compte d’action et le contexte utilisateur sous lesquels s’exécutent le service Operations Manager 2007 et l’hôte Operations Manager 2007 soient habilités à exécuter les fonctionnalités du Configuration Manager 2007 Management Pack, il est nécessaire de procéder à une configuration manuelle conséquente sur l’ordinateur agent. Sous Microsoft Windows Server™ 2003, le compte d’action d’agent doit disposer au minimum des autorisations et droits utilisateur suivants :

  • Membre du groupe Utilisateurs locaux
  • Accès aux journaux des événements Windows
  • Autorisation Gérer le journal d’audit et de la sécurité (SeSecurityPrivilege)
  • Autorisation Générer des audits de sécurité (SeAuditPrivilege)
  • Autorisation Permettre l’ouverture d'une session locale (SeInteractiveLogonRight)

Dans un scénario à faibles privilèges, le Configuration Manager 2007 Management Pack requiert que le compte utilisé pour le compte d’action d’agent possède des droits et des autorisations supplémentaires. Le tableau suivant détaille les droits d’accès devant être configurés manuellement.

Types d’accès requis par le Configuration Manager 2007 Management Pack

Ressource

Type d’accès

Instructions

Journal des événements Windows

Lire

Le compte d’action doit bénéficier du privilège Gérer le journal d’audit et de la sécurité, avec la stratégie locale ou globale.

Clés de Registre SMS

Lire

HKLM\Software\Microsoft\SMS

Ajoutez le compte d’action aux propriétés de Registre et fournissez un accès en lecture hérité par toutes les sous-clés.

Clés de Registre des services Win32

Lire

HKLM\System\CurrentControlSet\Services

Ajoutez le compte d’action au groupe Utilisateurs locaux.

Fichiers temporaires générés par des scripts

Lire et Écrire

Le chemin spécifié par la variable TMP pour l'agent d'action. Pour Système local, il s'agit de %Windir%\Temp

Ajoutez le compte d’action au groupe Utilisateurs locaux.

Fichiers journaux SMS

Lire

<ConfigMgrInstallFolder> \Logs

Ajoutez le compte d’action aux propriétés du dossier.

Espaces de noms WMI

Lire

root et root\cimv2

Aucune action n’est normalement requise.

Espaces de noms WMI

Lire

Aucune action n’est normalement requise.

Classes WMI SMS

Lire

SMS_Site

SMS_R_System

SMS_SiteControlFile

SMS_ProviderLocation

SMS_SCI_SiteDefinition

SMS_SystemResourceList

SMS_SystemResourceList SMS_SiteSystemSummarizer

Ajoutez le compte d’action à la classe pour toutes les instances.

Droits de connexion de sécurité sur l’instance par défaut

Autoriser l’accès

Pour l’instance par défaut sur un ordinateur SQL Server géré, le compte d’action doit être autorisé à accéder aux connexions de sécurité. Dans SQL Server Enterprise Manager, ajoutez le compte d’action au nœud suivant : nom_instance\Security\Logins.

Accès à la base de données master sur l’instance par défaut (nécessaire pour identifier la base de données du site SMS)

Autoriser

Pour l’instance par défaut sur un ordinateur SQL Server géré, le compte d’action doit être autorisé à accéder à la base de données master. Dans SQL Server Enterprise Manager, ajoutez le compte d’action au nœud suivant : nom_instance\Databases\Master\Users.

Conservez toutes les autorisations par défaut associées à ce nouvel utilisateur.

Accès à la base de données du site SMS sur l’instance par défaut

Autoriser

Pour l’instance par défaut sur un ordinateur SQL Server géré, le compte d’action doit être autorisé à accéder à la base de données du site SMS. Dans SQL Server Enterprise Manager, ajoutez le compte d’action au nœud suivant : nom_instance\Databases\<SMS site>\Users.

Conservez toutes les autorisations par défaut associées à ce nouvel utilisateur.

Voir aussi