SCOM 管理者グループを Active Directory から削除してしまった際の対処方法

  • Article

こんにちは。日本マイクロソフトの三島です。

今回は、Operations Manager 管理者のユーザーロールに設定しているグループを、Active Directory から削除してしまった場合の対処方法をご案内いたします。
一度目を通しておくといざという時に安心かと思いますので、この機会にぜひご一読下さい。

シナリオ:
=============================
Operations Manager 管理者のユーザーロールに設定しているグループを Active Directory から削除してしまった場合、
SCOM 管理コンソールを起動しようとすると以下のエラーメッセージと追加情報が出力され、管理コンソールの起動に失敗してしまいます。

   

---------------------------------------------------------------------------------------------
日付: 2012/02/27 17:05:28
アプリケーション: System Center Operations Manager 2007 R2
アプリケーションのバージョン: 6.1.7221.0
重要度: 警告
メッセージ: サーバー 'Ops4Rms.kami.local' に接続できません。十分な特権がありません

Microsoft.EnterpriseManagement.Common.UnauthorizedAccessMonitoringException: ユーザー KAMI\scomadmin には操作を実行する十分なアクセス許可がありません。
   場所 Microsoft.EnterpriseManagement.DataAbstractionLayer.SdkDataAbstractionLayer.HandleIndigoExceptions(Exception ex)
   場所 Microsoft.EnterpriseManagement.DataAbstractionLayer.SdkDataAbstractionLayer.CreateChannel(TieredManagementGroupConnectionSettings managementGroupTier)
   場所 Microsoft.EnterpriseManagement.DataAbstractionLayer.SdkDataAbstractionLayer..ctor(DuplexChannelFactory`1 channelFactory, TieredManagementGroupConnectionSettings managementGroupTier, IClientDataAccess callback, CacheMode cacheMode)
   場所 Microsoft.EnterpriseManagement.DataAbstractionLayer.SdkDataAbstractionLayer.CreateEndpoint(ManagementGroupConnectionSettings connectionSettings, IClientDataAccess clientCallback)
   場所 Microsoft.EnterpriseManagement.DataAbstractionLayer.SdkDataAbstractionLayer.Connect(ManagementGroupConnectionSettings connectionSettings)
   場所 Microsoft.EnterpriseManagement.ManagementGroup..ctor(ManagementGroupConnectionSettings connectionSettings)
   場所 Microsoft.EnterpriseManagement.ManagementGroup.Connect(ManagementGroupConnectionSettings connectionSettings)
   場所 Microsoft.EnterpriseManagement.Mom.Internal.UI.Common.ManagementGroupSessionManager.Connect(String server, String username, SecureString password, String domain)
   場所 Microsoft.EnterpriseManagement.Mom.Internal.UI.Console.ConsoleWindowBase.ConnectWithCredentials(Exception ex, ConsoleJobEventArgs args)
---------------------------------------------------------------------------------------------

このような状況になってしまった場合、SCOM 管理コンソールをシステム権限で起動する事によって、Operations Manager 管理者に再度有効なグループを設定する事ができます。
方法は以下のとおりです。

対処方法:
=============================
まず SCOM サーバーに対してSYSTEM アカウントが十分な権限を有しているかを確認します。
SYSTEM アカウントが十分な権限を保持していない場合には、後述の手順を実施する事ができません。

事前作業
-----------------------------
1. ローカルの管理者権限で SCOM 管理サーバーにログインします。
2. [スタート] - [ファイル名を指定して実行] から以下の様に入力して、[承認マネージャ] を起動します。

azman.msc

3. 左ペインの [承認マネージャ] を右クリックして、[承認ストアを開く] をクリックします。
4. [XML ファイル] を選択し、[参照] ボタンをクリックします。
5. SCOM のインストールパスから [SDK Service State] を開き [MomAuth.xml] ファイルを選択します。
※既定のインストールパスは、\Program Files\System Center Operations Manager 2007 です。

6. "承認ストアを開く" 画面で、[OK] をクリックします。
7. 左ペインから、[Microsoft Operations Manager] - [597f9d98-356f-4186-8712-4f020f2d98b4] - [役割の割り当て] の順にノードを展開し、ノード内に表示されたアイテムをクリックします。
8. 右ペインに、SCOM サーバーに対する権限のリストが表示されます。
一覧に [SYSTEM] と [不明なアカウント (GUID)] が表示されている事を確認します。
  
※[不明なアカウント (GUID)] は、Active Directory から削除してしまったグループの情報です。削除されてしまっているため不明と表示されます。
※注意:SYSTEM が一覧に表示されていない場合は、残念ながら後述の対処方法を実施する事はできません。

対処手順
----------------------------
1. 以下の URL から PsExec.exe をダウンロードします。

PsExec v1.98
https://technet.microsoft.com/en-us/sysinternals/bb897553

2. 管理者権限でコマンドプロンプトを起動します。
3. PsExec.exe を展開したパスに移動して、以下のコマンドを実行します。

> PSExec.exe - i - s cmd.exe

4. ライセンスの画面が表示されるので、[Agree] を選択します。
5. 新しく起動したコマンドプロンプトにて以下のコマンドを実行します。

> Whoami

結果が以下のようになり、このコマンドプロンプトが SYSTEM 権限で起動している事が判ります。

> nt authority\system

6. SYSTEM 権限で起動しているコマンドプロンプトにて、SCOM のインストールパスに移動して、Microsoft.Mom.UI.Console.exe を実行します。
※既定のインストールパスは、\Program Files\System Center Operations Manager 2007 です。

7. 自動的に SCOM 管理コンソールがシステム権限で起動します。
8. [管理] ペインから、[ユーザーロール] を選択し、[Operations Manager 管理者] の [プロパティ] を開きます。
9. [ユーザー ロール メンバ] の [追加] ボタンをクリックし、Operations Manager 管理者ユーザー ロールに設定するグループを指定します。
10. [OK] をクリックします。
11. 指定したグループ内に所属するユーザーの権限で SCOM 管理コンソールを起動できる事を確認して下さい。

手順は以上です。
承認マネージャから新しく追加されたグループを確認する事もできます。
事前作業の手順を実施して下さい。

参考情報
-----------------------
承認マネージャ
https://technet.microsoft.com/ja-jp/library/cc732290(v=WS.10).aspx