Operations Manager - SCOM

L'actualité des outils de supervision made in Microsoft

OpsMgr 2007 : Pourquoi la fonctionnalité d’intégration Active Directory est désactivée sur les contrôleurs de domaine ?

La fonctionnalité « AD Integration » permet d'automatiser la découverte et l'intégration des agents Operations Manager à un groupe d'administration. Ceci facilite grandement l'automatisation des installations dans les scénarii d'intégration à un master, GPO ou package SMS.

Cependant cette fonction n'est pas supportée sur les agents installés sur un contrôleur de domaine, mais pourquoi ? Certes ceci n'est pas dramatique J

LA réponse peut paraitre évidence lorsque l'on connaît le fonctionnement de ce processus, mais nos amis de System Center Forum on demandé à Microsoft et voici la réponse de Marc Reyhner :

-----------------------------------

To control which agents go in to what management groups we set an ACL on the object in AD representing the management group. Computers which should have access to the management group are granted read permissions to the SCP (service connection point) object for the management group. When an agent with AD integration is turned on it looks for all the SCPs it has read access to and learns what AD integrated management groups it should be a member of from this. This happens as part of the Health Service which is running as local system. On a domain controller local system has access to
pretty much everything in AD so it can read the SCP for every management group whether or not you really wanted that DC to be in that management group. The consequence of having AD integration turned on for an agent on a domain controller then is that it tries to join every AD integrated management group. Since this isn't desirable behavior we disable AD integration on domain controllers.

-----------------------------------

En résumé, la fonctionnalité «AD Integration » repose sur l'utilisation d'un objet Active Directory nommé « Service Connection Point  (SCP)» utilisé par les agents pour localiser le ou les groupes d'administration auquel ils appartiennent. Pour se faire il est nécessaire de posséder la permission de lecture sur cet objet. Et c'est là que se situe l'origine du problème puisque l'agent (Health Service) exécuté sur un contrôleur de domaine possède par définition l'accès en lecture sur l'ensemble des objets de l'annuaire. Cet agent est donc capable d'utiliser l'ensemble des SCP disponibles et annule l'intérêt de cette fonctionnalité. D'où cette désactivation sur ce type de serveur.

Posted: nov. 27 2007, 09:22 by nmilbrand | with 1 comment(s) |
Filed under: , , , , ,

Comments

Operations Manager said:

L'excellente équipe produit nous partage une fois de plus le détail d'une des nouvelles fonctionnalités

# janvier 4, 2008 12:29