После того, как выполнена установка всех компонентов системы Service Manager необходимо её первоначальную настройку.
Первоначальная настройка Service Manager включает в себя довольно обширный список задач по настройке, но в этой публикации мы рассмотрим следующий перечень действий:
- Настройка коннекторов к смежным системам. Мы рассмотрим пример настройки коннектора к Active Directory.
- Настройка параметров основных типов запросов.
- Настройка периода хранения заявок в оперативной базе.
- Настройки ролей безопасности и назначение ролей пользователям.
Настройка коннектора к Active Directory
System Center Service Manager поддерживает коннекторы к следующим сторонним системам:
- Microsoft Active Directory. Позволяет импортировать в CMDB (Configuration Management Database) объекты пользователей групп компьютеров и других объектов Active Directory.
- Configuration Manager Connector. Позволяет импортировать в CMDB Service Manager информацию об оборудовании компьютеров, информацию о соответствии связки “пользователь-компьютер” и информацию о мобильных устройствах.
- Operations Manager. Для Operations Manager предусмотрено два типа коннектора: Configuration Item (CI) и Alert. Позволяет импортировать в CMDB Service Manager информацию об обнаруженных объектах через Operations Manager (CI коннектор) и алертах (Alert коннектор).
- Orchestrator. Позволяет импортировать в Service Manager ранбуки из System Center Orchestrator, которые позволяют настроить рабочий процесс или иную последовательность действий, котрые должны быть выполнены с заявкой или иными объектами Service Manaer.
- Virtual Machine Manager. Позволяет импортировать в CMDB Service Manager информацию о шаблонах сервисов или виртуальаных машин, классификации подсистемы хранения и т.д.
- Microsoft Exchnage. При использовании этого типа коннектора появляется возможность создать заявку в Service Manager просто отправив письмо на определенный электронный адрес.
В данной публикации мы рассмотрим создание коннектора к Microsoft Active Directory.
Для того, чтобы создать коннектор к Active Directory выполните следующие шаги:
1. Запустите консоль Service Manager.
2. В меню слева выберите пункты “Administration” – “Connectors”.
3. В области панели задач справа выберите тип коннектора “Active Directory Connector”.
4. В появившемся окне мастера настройки коннектора нажмите “Next”.
5. На следующем шаге мастера настройки коннектора необходимо указать имя коннектора, отметить опцию “Enable this connector” и нажать кнопку “Next”.
6. На следующем шаги мастера необходимо указать домен, объекты которого будут импортироваться в CMDB и учетную запись от имени которой будет идти обращение к Active Directory. Если у вас несколько доменов, то нужно будет создать минимум по одному коннектору на каждый домен. У УЗ должны быть права на чтение в AD. Мы будем использовать нашу сервисную учетную запись, но вы можете создать отдельную. Нажмите кнопку “Next” и укажите пароль УЗ.
7. На следующем шаге необходимо указать область, объекты которой будут импортированы в CMDB. Например, вы можете указать, что необходимо импортировать все объекты, либо объекты, которые соответствуют определенному LDAP запросу. Мы будем импортировать все объекты. После указания необходимой области нажмите кнопку
8. Укажите расписание, по которому будет происходить запуск коннектора. Нажмите “Next”.
9. На последнем шаге мастера ознакомьтесь с итоговыми параметрами создания коннектора и нажмите кнопку “Create”. Затем нажмите кнопку “Close”.
10. Дождитесь окончания процедуры создания и работы коннектора. Принудительно коннектор можно запустить, нажав кнопку “Synchronize Now” в панели задач справа.
11. В случае успешного завершения работы коннектора вы должны увидеть импортированных пользователей Active Directory перейдя по пути “Configuration Items” – “Users”, как показано на рисунке ниже.
Импортирование пользователей из Active Directory позволяет указывать их в качестве пользователей, от которых поступила заявка, либо в качестве исполнителей по конкретной заявке. Строго говоря коннектор к Active Directory не является обязательным, но крайне желателен. В противном случае вам придется создавать всех пользователей в CMDB вручную, а также при любом изменении информации у сотрудника в AD (например, номер телефона или фамилия) вносить соответствующие изменения в объект пользователя в CMDB.
Настройка параметров основных типов запросов
К основным типам запросов Service Manager относятся:
- Инциденты (Incident).
- Запросы на обслуживание (Service Request).
- Запрос на изменение (Change Request).
- Проблема (Problem).
- Действия (Activities): ручные действия (manual activity), действия рецензирования (reviewer activity), параллельные действия (parallel activiry) и т.д.
По каждому из вышеуказанных типов запросов есть не мало разъяснение в книгах по методологии ITIL (nformation Technology Infrastructure Library) и MOF (Microsoft Operations Framework), но мы остановимся на очень краткой версии 🙂 Лишь отмечу, что границы между проблемой и инцидентом не всегда явно выражены, т.е. нет какого-то единого критерия, по которому можно сказать, что первое событие инцидент, а второго другое событие – это проблема. Аналогично и для запроса на обслуживания и запроса на изменение.
Инцидент – событие, которое повлияло на работу какого-либо сервиса. Например, деградация производительности сервиса. Иногда инцидент может быть следствием какой-то проблемы, но далеко не всегда.
Проблема – событие, корневая причина которого не всегда известна. В некоторых случаях может отражаться на состоянии сервисов, в некоторых нет.
Запросы на обслуживание – как правило – это улучшение, либо доработка уже имеющегося сервиса.
Запрос на изменение – изменение конфигурации имеющегося сервиса.
Ручное действие – работы непосредственного исполнителя по заявке.
Действие рецензирования – принятие решения об утверждении или отклонении заявки со стороны одного или нескольких согласующих.
Параллельное действие – действие, которое может объединять в себе несколько действий.
Для каждого из указанных выше действий в Service Manager предусмотрены настройки. Для каких-то больше, для каких-то меньше.
Чтобы измененить параметры записей перейдите в соответствующий пункт настроек: “Administration” – “Settings”.
Параметры Запросов на обслуживания
Начнем с запросов на обслуживание (ЗнО).
Здесь мы можем указать префикс ЗнО (параметр “Service Request ID prefix“). По умолчанию это SR. Пример наименования ЗнО: SR1234589.
Параметр “Maximum number of attached files” ограничивает кол-во файлов, которые может приложить заявитель ЗнО.
Параметр “Maximum size (KB)” ограничивает размер прилагаемых файлов.
Параметры Инцидентов
Для настройки параметров инцидентов предусмотрено больше всего опций.
Есть настройки по аналогии с запросами на обслуживание: префикс, количество и размер файлов вложения. Однако, есть дополнительная настройка – можно указать группу поддержки, которая будет назначаться по умолчанию. Про группы поддержки мы поговорим в следующих публикациях, но пока укажем группу поддержки Tier 1.
В части настроек дочерних инцидентов при разрешении родительского инцидента, либо изменении статуса родительского инцидента оставим стандартные настройки.
Настройки приоритета позволяют указать матрицу вычисления приоритета на основе соответствия влияния и срочности. Чем ниже итоговое значение, тем более приоритетная заявка. Мы укажем следующие настройки, но под ваши требования
Далее для каждого из приоритетов необходимо указать целевое время разрешения инцидента.
На следующей странице вы можете указать адрес Web консоли SCOM (System Center Operations Manager). Это позволяет в ряде случаев переходить на веб консоль SCOM прямо с формы заявки в SCSM.
На странице с указанием параметром обработки электронной почты. Обработку заявок по электронной почте мы рассмотрим в следующих публикациях. Пока оставим поля в том виде, в каком они есть сейчас.
Нажмите “ОК” для сохранения внесенных изменений.
Параметры проблем
Для проблем, как и для ЗнО и инцидентов, необходимо указать параметры префикса для заявок, ограничение количества и размера вложений. Дополнительно необходимо заполнить матрицу вычисления приоритета на основе срочности и влияния.
Мы укажем следующие параметры и нажмем кнопку “ОК”.
Параметры записей выпуска
В параметрах для записей выпуска укажите префикс и ограничение на количество и размер вложений, либо оставьте значения по умолчанию.
Параметры запросов на изменение
В параметрах запросов на изменение укажите префикс и ограничение на количество и размер вложений, либо оставьте значения по умолчанию.
Параметры действий
В настройках параметров действий укажите префиксы для различных типов запросов на сохраните внесенные изменения. Мы оставим значения по умолчанию.
Параметры записей базы знаний
Для записей базы знаний необходимо указать префикс, который будет присваиваться всем записям, либо оставить стандартное значение.
Настройка периода хранения заявок в оперативной базе
В архитектуре Service Manager заложено два вида баз данных: база данных для хранения оперативной информацию (для краткосрочного хранения) и базы данных хранилища данных (для долгосрочного хранения).
Период хранения краткосрочных данных можно изменить под ваши требования. После того, как срок хранения данных превысит указанное время хранения, данные из оперативной базы будут удалены. Однако, они будут доступны через подсистему отчетов сервера хранения данных.
Для изменения параметров периода хранения данных в оперативной базе выполните следующие действия:
1. Перейдите в следующий пункт настроек в консоли Service Manager: “Administration” – “Settings”.
2. В основном окне выберите пункт “Data Retention Settings”.
3. В появившемся диалоговом окне укажите необходимые параметры хранения соответствующих элементов.
Настройки ролей безопасности и назначение ролей пользователям
После установки Service Manager в настройках безопасности уже доступен набор встроенных ролей безопасности, которые позволяют выдать конечному пользователю системы именно тот набор разрешений, который им необходим.
Ест возможность создавать свои собственные роли на основе уже существующих ролей, но обо всем по порядку.
Использование существующих ролей
Из коробки Service Manager уже содержит 13 встроенных ролей безопасности. Сводная информация по данным ролям приведена в таблице ниже.
Стоит отметить, что стандартные роли имеют глобальную область действия, т.е., например, операторы с глобальной областью действия могут выполнять работу со всеми инцидентами. При создании собственной роли, основанной на стандартной роли “Специалисты по разрешению инцидентов” вы можете указать, например, что пользователи данной роли могут работать только с заявки, скажем, назначенных на группу поддержки 1С. Тем самым вы укажете уже не глобальную область для роли, а ограниченную определенными набором рабочих элементов.
| Название роли | Описание роли | Назначенные группы по умолчанию |
|---|---|---|
| Activity Implementers | Данная роль обладает правами для работы с ручными действиями в заданной области роли. Так же у данной роли есть права на просмотр других рабочих элементов в заданной области роли. | Не назначено |
| Administrators | Группа с полными правами на все элементы и настройки системы Service Manager | Учетная запись или группа AD, указанная в процессе установки Service Manager |
| Advanced Operators | Операторы с расширенными правами могут редактировать все рабочие элементы в пределах своей области. Так же могут создавать, редактировать и удалять объявления на портале самообслуживания. | Не назначено |
| Change Initiators | Инициаторы изменений могут создавать новые запросы или действия для рабочих элементов в пределах своей области. | Не назначено |
| Service Request Analysts | Аналитики запросов на обслуживание могут создавать и редактировать ЗнО, а также действия (например, действия рецензирования или ручные действия) в пределах своей области. | Не назначено |
| End Users | Конечные пользователи системы Service Manager могут использовать портал самообслуживания для создания новых заявок. | NT AUTHORIRY\Authenticated Users |
| Read-Only Operators | Операторы только для чтения имеют доступ ко всем элементам конфигурации и рабочим элементам в заданной области, но только на просмотр элементов. | Не назначено |
| Release Managers | Менеджеры изменений могут создавать и редактировать записи выпуска, а так же действия (например, действия рецензирования или ручные действия) в пределах своей области. | Не назначено |
| Authors | Авторы могут создавать и редактировать любые рабочие элементы и элементы конфигурации в своей области действия. Так же они могут создавать, редактировать и удалять объявления на портале самообслуживания. Дополнительно авторы могут вносить некоторые изменения в пакеты управления. Например, создавать, редактировать или удалять элементы списков, задачи, шаблоны, представления и папки. | Не назначено |
| Problem Analysts | Аналитики проблем могут создавать и редактировать заявки типа “Проблема”. Так же аналитики проблем обладают правами на чтение других рабочих элементов в заданной области. Например, запросы на изменение. | Не назначено |
| Workflows | Пользователи рабочих процессов могут создавать и редактировать любые элементы конфигурации. | Учетная запись рабочего процесса, указанного в процессе установки Service Manager |
| Incident Resolvers | Специалисты по разрешению инцидентов могут создавать инциденты, проблемы и ручные действия с заданной области действия. | Не назначено |
| Change Managers | Менеджеры изменений могут создавать и редактировать запросы на изменение и элементы действий в пределах заданной области действия. | Не назначено |
Для того, чтобы добавить пользователя или группу пользователей в одну из встроенных ролей необходимо выполнить следующие действия:
1. Перейдите в следующий пункт настроек в консоли Service Manager: “Administration” – “Security” – “User Roles”.
2. В основном окне выберите пункт роль безопасности, в которую необходимо добавить пользователя или группу пользователей.
3. В появившемся диалоговом окне слева выберите пункт “Users” и нажмите кнопку “Add” в основной области диалогового окна.
4. В стандартном диалоговом окне по поиску и выбору пользователей Active Directory укажите пользователя или группу и сохраните внесенные изменения.
Создание собственной роли безопасности
Далеко не всегда стандартного наборе ролей безопасности Service Manager бывает достаточно. Очень часто приходится создавать роли безопасности под какие-то определенные требования. Service Manager позволяет создавать новые роли безопасности на основе стандартных ролей. Зачастую достаточно ограничить область действия одной из стандартных ролей.
В нашем примере мы создадим роль, которая позволяет работать с инцидентами, но только с теми, которые назначены на группу поддержки Tier1.
Процесс создания роли будет разделен на два этапа:
- Создание очереди для инцидентов группы поддержки Tier1. Отдельная очередь инцидентов необходима для того, чтобы настройки нашей роли безопасности применились только к определенной группы рабочих элементов. В нашем случае – это инциденты, которые назначены группе поддержки Tier1.
- Создание роли безопасности.
Для создания очереди инцидентов группы Tier1 выполните следующие шаги:
1. Перейдите в следующий пункт настроек в консоли Service Manager: “Library” – “Queues”.
2. В области задач справа выбрать “Create Queue”.
3. В появившемся диалоговом окне мастера создания новой очереди нажмите кнопку “Next”.
4. На следующем шаге мастера укажите имя области, типа рабочих элементов, которые будет хранить очереди и пакет управления для сохранения изменений. Нажмите кнопку “Next”.
5. На следующем шаге мастера укажите условия фильтрации. На необходимо, чтобы в очередь попадали только инциденты, которые назначены группу поддержки Tier1. Условия для такой фильтрации приведены ниже. Нажмите “Next”.
6. На последнем шаге мастера создания очереди ознакомьтесь со всеми параметрами создаваемой очереди и нажмите кнопку “Create”.
Для создание новой роли безопасности необходимо выполнить следующие действия:
1. Перейдите в следующий пункт настроек в консоли Service Manager: “Administration” – “Security” – “User Roles”.
2. В области задач справа выбрать “Create User Role” и далее выбрать стандартную роль, которая будет использоваться в качестве основы. Поскольку мы планируем работать с инцидентами, то мы выберем роль “Incident Resolvers”.
3. В появившемся диалоговом окне мастера создания новой роли нажмите кнопку “Next”.
4. На следующем шаге мастера укажите имя новой роли безопасности и нажмите “Next”.
5. На этапе выборе пакетов управления выберите “Select All” и нажмите “Next”.
6. На следующем шаге мастера создания новой роли безопасности необходимо ограничить набор рабочих элементов, которые будут доступны пользователям роли. Для этого выберите очередь, которую мы создали ранее и нажмите кнопку “Next”.
7. Поскольку нашей роли не нужен доступ к элементам конфигурации, то на соответствующем шаге мастера мы укажем настройки, которые приведены ниже и нажмем кнопку “Next”.
8. На этапе выбора группы элементов каталога нажмите кнопку “Next”.
9. На этапе выбора списка доступных задач нажмите кнопку “Next”.
10. На этапе выбора представлений нажмите кнопку “Next”.
11. На этапе выбора шаблонов нажмите кнопку “Next”.
12. На следующем этапе необходимо выбрать пользователей или группу, которой будет назначена новая роль безопасности. Для этого нажмите кнопку “Add” и в стандартном диалоговом окне по поиску и выбору пользователей Active Directory укажите пользователя или группу и последовательно нажмите “OK” и “Next”.
13. На последнем шаге мастера создания очереди ознакомьтесь со всеми параметрами создаваемой роли безопасности и нажмите кнопку “Create”, а затем “Close”.
Поле того, как пользователи роли безопасности подключаться к системе Service Manager через консоль, то им будут доступны только инциденты, которые назначены на группу поддержки Tier1.
В следующих публикациях мы продолжим первоначальную конфигурацию системы Service Manager.