5
SCOM 2012 R2 Local System Action Account oder Adminaccount
Hi,
wir haben bei den SCOM 2012 R2 im Testeinsatz und mit einer Sache habe ich ein vermutlich ein kleines Verständnisproblem.
Momentan ist im SCOM nur unser SQL Cluster + SQL Managment Packs hinzugefügt. Hierbei hat der SCOM Action Account (domain\scomaction) Administratorenrechte auf jedem einzelnem Failover-Knoten Administratoren rechte.
Nun kann man bei der Installation eines Monitoring Agents ja auch als Action Account "Local System" eintragen.
Also habe ich mal 2 Windows 7 Clients genommen und folgendes installiert.
Client 1: Agend + domain\scomaction als Actionaccount und in die lokale Admin Gruppe
Client 2: Agend + local system Actionaccount
Auf den 2 Windows 7 PC's ist keine Extra Software installiert, es soll also nur der Windows-Client überwacht werden, doch im Healthexplorer zeigen sich doch gravierende Unterschiede.
Beim Client 1 ist das Windows Operating System auf Healthy und
beim Client 2 ist dieses not Monitored.
Muss ich denn nun z.B: ein domain\scomclientaction Account erstellen, diesen im SCOM und auf jedem Clienten als Admin eintragen, oder hab ich das mit dem Local System account falsch verstanden, also für was soll dieser gut sein, wenn dieser nichts außer PING monitored.
Grüße
8digit
wir haben bei den SCOM 2012 R2 im Testeinsatz und mit einer Sache habe ich ein vermutlich ein kleines Verständnisproblem.
Momentan ist im SCOM nur unser SQL Cluster + SQL Managment Packs hinzugefügt. Hierbei hat der SCOM Action Account (domain\scomaction) Administratorenrechte auf jedem einzelnem Failover-Knoten Administratoren rechte.
Nun kann man bei der Installation eines Monitoring Agents ja auch als Action Account "Local System" eintragen.
Also habe ich mal 2 Windows 7 Clients genommen und folgendes installiert.
Client 1: Agend + domain\scomaction als Actionaccount und in die lokale Admin Gruppe
Client 2: Agend + local system Actionaccount
Auf den 2 Windows 7 PC's ist keine Extra Software installiert, es soll also nur der Windows-Client überwacht werden, doch im Healthexplorer zeigen sich doch gravierende Unterschiede.
Beim Client 1 ist das Windows Operating System auf Healthy und
beim Client 2 ist dieses not Monitored.
Muss ich denn nun z.B: ein domain\scomclientaction Account erstellen, diesen im SCOM und auf jedem Clienten als Admin eintragen, oder hab ich das mit dem Local System account falsch verstanden, also für was soll dieser gut sein, wenn dieser nichts außer PING monitored.
Grüße
8digit
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 294336
Url: https://administrator.de/contentid/294336
Printed on: April 19, 2024 at 03:04 o'clock
5 Comments
Latest comment
Hi.
Ganz klar sollte man keine Extraccounts nutzen, die machen es nur unsicher. Das Systemaccount eines Domänenrechners kann alles, was Du brauchst. Da es nicht funktioniert, leigt nahe, dass dies Account am Server noch Rechte auf die Datenpfade erhalten muss, die der Server zur Ablage nutzt. Das KOnto muss also die Infos über den Healthstatus auch auf den Server übertragen/schreiben können. Ich kann Dir jedoch zu SCOM nichts sagen, schau mal, ob due es selbst findest.
Ganz klar sollte man keine Extraccounts nutzen, die machen es nur unsicher. Das Systemaccount eines Domänenrechners kann alles, was Du brauchst. Da es nicht funktioniert, leigt nahe, dass dies Account am Server noch Rechte auf die Datenpfade erhalten muss, die der Server zur Ablage nutzt. Das KOnto muss also die Infos über den Healthstatus auch auf den Server übertragen/schreiben können. Ich kann Dir jedoch zu SCOM nichts sagen, schau mal, ob due es selbst findest.
Korrigiere mich bitte wenn ich falsch liege, aber wenn der Agend auf Client 2 läuft unter Local System und dieser sollte doch eigentlich auf dem Clienten selbst volle Admin rechte haben.
Genau, wir wollten auch ungern ExtraAccounts nutzen.
Genau, wir wollten auch ungern ExtraAccounts nutzen.
Klar, system kann alles. Nur hatte ich verstanden, dass das, was Du abliest, serverseitig gelesen wird - habe ich das missverstanden?
Da liegt vermutlich auch mein Denkfehler.
Also ich dachte der SCOM kommuniziert über TCP mit dem Monitoring Agend, welcher auf dem Clienten installiert ist. Dieser Agend wird dann als Local System ausgeführt und sollte so normalerweise alles auf System überwachen können.
Also ich dachte der SCOM kommuniziert über TCP mit dem Monitoring Agend, welcher auf dem Clienten installiert ist. Dieser Agend wird dann als Local System ausgeführt und sollte so normalerweise alles auf System überwachen können.
Frag den Hersteller.
Ihr solltet nur bedenken, dass sich eventuell Risiken ergeben, wenn man ein Konto bei allen Rechnern erstellt und es das selbe Kennwort hat UND Admin ist.
Ihr solltet nur bedenken, dass sich eventuell Risiken ergeben, wenn man ein Konto bei allen Rechnern erstellt und es das selbe Kennwort hat UND Admin ist.
