8digit
Goto Top

SCOM 2012 R2 Local System Action Account oder Adminaccount

Hi,

wir haben bei den SCOM 2012 R2 im Testeinsatz und mit einer Sache habe ich ein vermutlich ein kleines Verständnisproblem.

Momentan ist im SCOM nur unser SQL Cluster + SQL Managment Packs hinzugefügt. Hierbei hat der SCOM Action Account (domain\scomaction) Administratorenrechte auf jedem einzelnem Failover-Knoten Administratoren rechte.

Nun kann man bei der Installation eines Monitoring Agents ja auch als Action Account "Local System" eintragen.
Also habe ich mal 2 Windows 7 Clients genommen und folgendes installiert.

Client 1: Agend + domain\scomaction als Actionaccount und in die lokale Admin Gruppe
Client 2: Agend + local system Actionaccount

Auf den 2 Windows 7 PC's ist keine Extra Software installiert, es soll also nur der Windows-Client überwacht werden, doch im Healthexplorer zeigen sich doch gravierende Unterschiede.

Beim Client 1 ist das Windows Operating System auf Healthy und
beim Client 2 ist dieses not Monitored.


Muss ich denn nun z.B: ein domain\scomclientaction Account erstellen, diesen im SCOM und auf jedem Clienten als Admin eintragen, oder hab ich das mit dem Local System account falsch verstanden, also für was soll dieser gut sein, wenn dieser nichts außer PING monitored.

Grüße
8digit

Content-ID: 294336

Url: https://administrator.de/forum/scom-2012-r2-local-system-action-account-oder-adminaccount-294336.html

Ausgedruckt am: 24.12.2024 um 00:12 Uhr

DerWoWusste
DerWoWusste 27.01.2016 um 10:33:58 Uhr
Goto Top
Hi.

Ganz klar sollte man keine Extraccounts nutzen, die machen es nur unsicher. Das Systemaccount eines Domänenrechners kann alles, was Du brauchst. Da es nicht funktioniert, leigt nahe, dass dies Account am Server noch Rechte auf die Datenpfade erhalten muss, die der Server zur Ablage nutzt. Das KOnto muss also die Infos über den Healthstatus auch auf den Server übertragen/schreiben können. Ich kann Dir jedoch zu SCOM nichts sagen, schau mal, ob due es selbst findest.
8digit
8digit 27.01.2016 um 11:09:53 Uhr
Goto Top
Korrigiere mich bitte wenn ich falsch liege, aber wenn der Agend auf Client 2 läuft unter Local System und dieser sollte doch eigentlich auf dem Clienten selbst volle Admin rechte haben.

Genau, wir wollten auch ungern ExtraAccounts nutzen.
DerWoWusste
DerWoWusste 27.01.2016 um 11:46:01 Uhr
Goto Top
Klar, system kann alles. Nur hatte ich verstanden, dass das, was Du abliest, serverseitig gelesen wird - habe ich das missverstanden?
8digit
8digit 27.01.2016 um 12:15:54 Uhr
Goto Top
Da liegt vermutlich auch mein Denkfehler.

Also ich dachte der SCOM kommuniziert über TCP mit dem Monitoring Agend, welcher auf dem Clienten installiert ist. Dieser Agend wird dann als Local System ausgeführt und sollte so normalerweise alles auf System überwachen können.
DerWoWusste
DerWoWusste 27.01.2016 aktualisiert um 12:57:40 Uhr
Goto Top
Frag den Hersteller.
Ihr solltet nur bedenken, dass sich eventuell Risiken ergeben, wenn man ein Konto bei allen Rechnern erstellt und es das selbe Kennwort hat UND Admin ist.