Aktivieren der Dienstanmeldung für ausführende Konten
Die bewährte Vorgehensweise in Bezug auf die Sicherheit besteht darin, interaktive Sitzungen und interaktive Remotesitzungen für Dienstkonten zu deaktivieren. Sicherheitsteams in allen Organisationen verfügen über strenge Kontrollen, um diese bewährte Methode zu erzwingen, um den Diebstahl von Anmeldeinformationen und zugehörige Angriffe zu verhindern.
System Center Operations Manager unterstützt die Härtung von Dienstkonten und erfordert keine Gewährung des Benutzerrechtes Lokale Anmeldung zulassen für mehrere Konten, die zur Unterstützung von Operations Manager erforderlich sind.
In früheren Operations Manager-Versionen wird Lokal anmelden zulassen als Standardanmeldetyp verwendet. Bei Operations Manager wird standardmäßig die Dienstanmeldung verwendet. Dies führt zu folgenden Änderungen:
- Für den Integritätsdienst wird standardmäßig der Anmeldetyp Dienst genutzt. Für Operations Manager 1807 und frühere Versionen war es Interactive.
- Operations Manager-Aktions- und -Dienstkonten verfügen jetzt über die Berechtigung Als Dienst anmelden.
- Aktionskonten und ausführende Konten müssen über die Berechtigung Als Dienst anmelden verfügen, um „MonitoringHost.exe“ ausführen zu können. Weitere Informationen
Änderungen an Operations Manager-Aktionskonten
Den folgenden Konten wird während der Operations Manager-Installation und während des Upgrades der vorherigen Versionen die Berechtigung Log on as a Service erteilt:
Verwaltungsserver-Aktionskonto
Konten für System Center-Konfigurationsdienst und -Datenzugriffsdienst
Agentaktionskonto
Data Warehouse-Konto für Schreibvorgänge
Datenlesekonto
Nach dieser Änderung benötigen alle ausführenden Konten, die von Operations Manager-Administratoren für die Management Packs (MPs) erstellt wurden, das Recht Als Dienst anmelden, das von Administratoren gewährt werden muss.
Anzeigen des Anmeldetyps für Verwaltungsserver und Agents
Sie können den Anmeldetyp für Verwaltungsserver und Agents über die Operations Manager-Konsole anzeigen.
Navigieren Sie zu VerwaltungOperations Manager-ProdukteVerwaltungsserver, um den Anmeldetyp für Verwaltungsserver anzuzeigen.
Navigieren Sie zum Anzeigen des Typs für Agents zu VerwaltungOperations Manager-ProdukteAgents.
Hinweis
Agent/Gateway, das noch kein Upgrade ausgeführt hat, zeigt den Anmeldetyp als Dienst in der Konsole an. Nach dem Upgrade des Agents bzw. Gateways wird der aktuelle Anmeldetyp angezeigt.
Aktivieren der Berechtigung für die Dienstanmeldung für ausführende Konten
Führen Sie die folgenden Schritte aus:
Melden Sie sich mit Administratorrechten an dem Computer an, über den Sie einem ausführenden Konto die Berechtigung Als Dienst anmelden gewähren möchten.
Wechseln Sie zu Verwaltung, und wählen Sie Lokale Sicherheitsrichtlinie aus.
Erweitern Sie Lokale Richtlinie, und wählen Sie Zuweisung von Benutzerrechten aus.
Klicken Sie im rechten Bereich mit der rechten Maustaste auf Als Dienst anmelden, und wählen Sie Eigenschaften.
Wählen Sie Die Option Benutzer oder Gruppe hinzufügen aus, um den neuen Benutzer hinzuzufügen.
Suchen Sie im Dialogfeld Benutzer oder Gruppen auswählen den Benutzer, den Sie hinzufügen möchten, und wählen Sie OK aus.
Wählen Sie ok in den Eigenschaften Anmelden als Dienst aus, um die Änderungen zu speichern.
Hinweis
Wenn Sie ein Upgrade auf Operations Manager 2019 von einer früheren Version durchführen oder eine neue Operations Manager 2019-Umgebung installieren, führen Sie die obigen Schritte aus, um die Berechtigung Anmelden als Dienst für ausführende Konten bereitzustellen.
Hinweis
Wenn Sie ein Upgrade auf Operations Manager 2022 von einer früheren Version durchführen oder eine neue Operations Manager 2022-Umgebung installieren, führen Sie die obigen Schritte aus, um die Berechtigung Anmelden als Dienst für ausführende Konten bereitzustellen.
Ändern des Anmeldetyps für einen Integritätsdienst
Konfigurieren Sie die Einstellung der Sicherheitsrichtlinie auf dem lokalen Gerät, indem Sie die Konsole für die lokale Sicherheitsrichtlinie verwenden, wenn Sie den Anmeldetyp des Operations Manager-Integritätsdiensts in Lokal anmelden zulassen ändern müssen.
Hier sehen Sie ein Beispiel:
Koexistenz mit Operations Manager 2016-Agent
Aufgrund der Änderung des Anmeldetyps, die mit Operations Manager 2019 eingeführt wurde, kann der Operations Manager 2016-Agent parallel vorhanden sein, und die Interoperabilität bereitet keine Probleme. Es gibt aber einige Szenarien, auf die sich diese Änderung auswirkt:
- Für die Pushinstallation des Agents über die Operations Manager-Konsole wird ein Konto benötigt, das über Administratorrechte und das Recht Als Dienst anmelden auf dem Zielcomputer verfügt.
- Für das Aktionskonto des Operations Manager-Verwaltungsservers werden Administratorrechte auf Verwaltungsservern für die Überwachung von Service Manager benötigt.
Problembehandlung
Falls keines der ausführenden Konten über die erforderliche Berechtigung Als Dienst anmelden verfügt, wird eine monitorbasierte kritische Warnung angezeigt. In dieser Warnung werden die Details des ausführenden Kontos angezeigt, das nicht über die Berechtigung "Als Dienst anmelden" verfügt.
Öffnen Sie auf dem Agent-Computer die Ereignisanzeige. Suchen Sie im Operations Manager-Protokoll nach der Ereignis-ID 7002, um die Details zu den ausführenden Konten anzuzeigen, für die die Berechtigung Als Dienst anmelden benötigt wird.
Parameter | `Message` |
---|---|
Name der Warnung | Das Ausführen des Kontos hat keinen Anmeldetyp angefordert. |
Warnungsbeschreibung | Das ausführende Konto muss über den angeforderten Anmeldetyp verfügen. |
Warnungskontext | Der Integritätsdienst konnte sich nicht anmelden, da dem Ausführen des Kontos für die Verwaltungsgruppe (Gruppenname) die Berechtigung Anmelden als Dienst nicht erteilt wurde. |
Monitor | (Monitorname hinzufügen) |
Geben Sie die Berechtigung Als Dienst anmelden für die zutreffenden ausführenden Konten an, die im Ereignis 7002 aufgeführt sind. Nachdem Sie die Berechtigung angegeben haben, wird die Ereignis-ID 7028 angezeigt, und der Monitor wechselt in den fehlerfreien Status.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für