Aktivieren der Dienstanmeldung für die „Ausführung-als"-Konten
Die beste Sicherheitspraxis besteht darin, interaktive und interaktive Remote-Sitzungen für Dienstkonten zu deaktivieren. Die Sicherheitsteams in den Unternehmen verfügen über strenge Kontrollen zur Durchsetzung dieser Best Practice, um den Diebstahl von Anmeldedaten und damit verbundene Angriffe zu verhindern.
System Center Operations Manager unterstützt die Stärkung von Dienstkonten und erfordert nicht die Gewährung des Benutzerrechts Lokale Anmeldung zulassen für mehrere Konten, die zur Unterstützung von Operations Manager erforderlich sind.
Frühere Versionen des Operations Managers haben Lokale Anmeldung zulassen als Standard-Anmeldetyp. Bei Operations Manager wird standardmäßig die Dienstanmeldung verwendet. Daraus ergeben sich die folgenden Änderungen:
- Der Integritätsdienst verwendet standardmäßig den Anmeldetyp Service. In der Version Operations Manager 2016 war es Interaktiv.
- Operations Manager-Aktionskonten und Dienstkonten haben jetzt die Berechtigung Als Dienst anmelden.
- Aktionskonten und „Ausführen als“-Konten müssen die Berechtigung Als Dienst anmelden haben, um MonitoringHost.exe auszuführen. Weitere Informationen
Änderungen an Operations Manager-Aktionskonten
Die folgenden Konten erhalten die Berechtigung Als Dienst anmelden während der Installation von Operations Manager und während des Upgrades von früheren Versionen:
Verwaltungsserver-Aktionskonto
Konten für den System Center-Konfigurationsdienst und den System Center-Datenzugriffsdienst
Agenten-Aktionskonto
Data Warehouse-Schreibzugriffskonto
Data-Readerkonto
Nach dieser Änderung benötigen alle Ausführen-als-Konten, die von Operations Manager-Administratoren für die Management Packs (MPs) erstellt wurden, das Recht Als Dienst anmelden, das die Administratoren gewähren sollten.
Anmeldungsart für Verwaltungsserver und Agenten anzeigen
Sie können den Anmeldetyp für Verwaltungsserver und Agents über die Operations Manager-Konsole anzeigen.
Um den Anmeldetyp für Verwaltungsserver anzuzeigen, gehen Sie zu Verwaltung>Operations Manager-Produkte>Verwaltungsserver.
Um den Anmeldetyp für Agenten anzuzeigen, gehen Sie zu Verwaltung>Operations Manager Produkte>Agenten.
Hinweis
Für Agents und Gateways, für die noch kein Upgrade durchgeführt wurde, wird der Anmeldetyp in der Konsole als Dienst angezeigt. Nach dem Upgrade des Agenten/Gateways wird der aktuelle Anmeldetyp angezeigt.
Aktivieren der Dienstanmeldungsberechtigung für „Ausführen-als"-Konten
Führen Sie folgende Schritte aus:
Melden Sie sich mit Administratorrechten an dem Computer an, von dem aus Sie die Berechtigung Als Dienst anmelden für ein „Ausführen als“-Konto erteilen möchten.
Gehen Sie zu Verwaltungstools und wählen Sie Lokale Sicherheitsrichtlinie aus.
Erweitern Sie Lokale Richtlinie und wählen Sie Benutzerrechtezuweisung.
Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf Als Dienst anmelden und wählen Sie Eigenschaften aus.
Wählen Sie die Option Benutzer oder Gruppe hinzufügen, um den neuen Benutzer hinzuzufügen.
Suchen Sie im Dialog Benutzer oder Gruppen auswählen den Benutzer, den Sie hinzufügen möchten, und wählen Sie OK aus.
Wählen Sie OK in den Eigenschaften als Dienst anmelden, um die Änderungen zu speichern.
Hinweis
Wenn Sie ein Upgrade auf Operations Manager 2019 von einer früheren Version durchführen oder eine neue Operations Manager 2019-Umgebung installieren, befolgen Sie die obigen Schritte, um die Berechtigung Als Dienst anmelden für die „Ausführen-als“-Konten bereitzustellen.
Hinweis
Wenn Sie ein Upgrade auf Operations Manager 2022 von einer früheren Version durchführen oder eine neue Operations Manager 2022-Umgebung installieren, befolgen Sie die oben genannten Schritte, um den „Ausführen als“-Konten die Berechtigung Als Dienst anmelden zu erteilen.
Ändern des Anmeldetyps für einen Integritätsdienst
Wenn Sie den Anmeldetyp des Operations Manager-Integritätsdienstes auf Lokale Anmeldung zulassen ändern müssen, konfigurieren Sie die Sicherheitsrichtlinieneinstellung auf dem lokalen Gerät mithilfe der Konsole für lokale Sicherheitsrichtlinien.
Ein Beispiel:
Koexistenz mit Operations Manager 2016-Agent
Mit der Änderung des Anmeldetyps, die in Operations Manager 2019 eingeführt wird, kann der Operations Manager 2016-Agent ohne Probleme koexistieren und interoperieren. Es gibt jedoch einige Szenarien, die von dieser Änderung betroffen sind:
- Für die Push-Installation des Agents über die Operations Manager-Konsole ist ein Konto mit Administratorrechten und das Recht Als Dienst anmelden direkt auf dem Zielcomputer erforderlich.
- Das Operations Manager Management Server-Aktionskonto benötigt administrative Rechte auf Management-Servern zur Überwachung von Service Manager.
Problembehandlung
Wenn eines der „Ausführen als“-Konten über die erforderliche Berechtigung Als Dienst anmelden verfügt, wird eine kritische monitorbasierte Warnung angezeigt. Diese Meldung zeigt die Details des Kontos „Ausführen als“ an, das nicht über die Berechtigung Als Dienst anmelden verfügt.
Öffnen Sie auf dem Agenten-Computer die Ereignisanzeige. Suchen Sie im Operations Manager-Protokoll nach der Ereignis-ID 7002, um die Details zu den ausführenden Konten anzuzeigen, für die die Berechtigung Als Dienst anmelden benötigt wird.
| Parameter | `Message` |
|---|---|
| Name der Warnung | Das Konto „Ausführen als“ hat keinen angeforderten Anmeldetyp. |
| Warnungsbeschreibung | Das „Ausführen als"-Konto muss über den angeforderten Anmeldetyp verfügen. |
| Warnungskontext | Der Integritätsdienst konnte sich nicht anmelden, da dem „Ausführen als“-Konto für die Verwaltungsgruppe (Gruppenname) nicht die Berechtigung Als Dienst anmelden erteilt wurde. |
| Monitor | (Monitornamen hinzufügen) |
Erteilen Sie den entsprechenden „Ausführen als“-Konten, die im Ereignis 7002 angegeben sind, die Berechtigung Als Dienst anmelden. Sobald Sie die Erlaubnis erteilt haben, wird die Ereignis-ID 7028 angezeigt, und der Monitor wechselt in den Status „fehlerfrei“.
