Steuern des Zugriffs mithilfe des Sperrtools des Integritätsdiensts von Operations Manager
Wichtig
Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.
Auf Computern, die hohe Sicherheit erfordern, z. B. einem Domänencontroller, müssen Sie möglicherweise bestimmten Identitäten den Zugriff auf Regeln, Aufgaben und Monitore verweigern, die die Sicherheit Ihres Servers gefährden könnten. Das Sperrtool des Integritätsdiensts (HSLockdown.exe) ermöglicht Ihnen die Verwendung verschiedener Befehlszeilenoptionen, mit denen Sie die Identitäten kontrollieren und beschränken können, die Regeln, Tasks oder Monitore ausführen.
Hinweis
Sie können den Microsoft Monitoring Agent-Dienst nicht starten, wenn Sie das Health Service Lockdown-Tool verwendet haben, um das Aktionskonto zu sperren. Um den Microsoft Monitoring Agent-Dienst neu starten zu können, führen Sie das zweite Verfahren in diesem Artikel aus, um das Aktionskonto zu entsperren.
Folgende Befehlszeilenoptionen sind verfügbar:
HSLockdown [ManagementGroupName] /L - Listet Konten/Gruppen auf.
HSLockdown [ManagementGroupName] /A - Fügt ein zugelassenes Konto bzw. eine\r\n zugelassene Gruppe hinzu.
HSLockdown [ManagementGroupName] /D - Fügt ein abgelehntes Konto bzw. eine\r\n abgelehnte Gruppe hinzu.
HSLockdown [ManagementGroupName] /R - Entfernt ein zugelassenes/abgelehntes\r\n Konto bzw. eine zugelassene/abgelehnte\r\n Gruppe.
Konten müssen in einem der folgenden Formate für vollqualifizierte Domänennamen (FQDN) angegeben werden:
NetBios : DOMÄNE\Benutzername.
UPN : username@fqdn.com
Wenn Sie beim Ausführen des Health Service Lockdown-Tools die Add- oder Deny-Optionen verwendet haben, müssen Sie den System Center Management-Dienst neu starten, bevor die Änderungen wirksam werden.
Beim Auswerten von Auflistungen mit zugelassenen und abgelehnten Benutzern und Gruppen haben Ablehnungen Vorrang von Zulassungen. Wenn ein Benutzer als zugelassen aufgeführt ist und derselbe Benutzer Mitglied einer Gruppe ist, die als abgelehnt aufgeführt ist, wird der Benutzer abgelehnt.
So lehnen Sie ein Konto mit dem Sperrtool des Integritätsdiensts
Melden Sie sich beim Computer mit einem Konto an, das Mitglied der Gruppe Administratoren ist.
Wählen Sie auf dem Windows-Desktop Start und dann Ausführen aus.
Geben Sie im Dialogfeld Ausführenden Wert cmd ein, und wählen Sie dann OK aus.
Geben Sie an der Eingabeaufforderung ein
<drive_letter>:
(wobei<drive_letter>
das Laufwerk ist, auf dem der Operations Manager-Agent installiert ist), und drücken Sie dann die EINGABETASTE.Geben Sie
cd \Program Files\Microsoft Monitoring Agent\Agent
ein, und drücken Sie dann die EINGABETASTE.Geben Sie ein
HSLockdown.exe [Management Group Name] /D [account or group]
, um die Gruppe oder das Konto zu verweigern, und drücken Sie dann die EINGABETASTE.Starten Sie den Microsoft Monitoring Agent (HealthService) neu, um die Änderungen anzuwenden.
Entsperren des Aktionskontos
Melden Sie sich beim Computer mit einem Konto an, das Mitglied der Gruppe Administratoren ist.
Wählen Sie auf dem Windows-Desktop Start und dann Ausführen aus.
Geben Sie im Dialogfeld Ausführenden Wert cmd ein, und wählen Sie dann OK aus.
Geben Sie an der Eingabeaufforderung ein
<drive_letter>:
(wobei<drive_letter>
das Laufwerk ist, auf dem der Operations Manager-Agent installiert ist), und drücken Sie dann die EINGABETASTE.Geben Sie
cd \Program Files\Microsoft Monitoring Agent\Agent
ein, und drücken Sie dann die EINGABETASTE.Geben Sie
HSLockdown.exe [Management Group Name] /A <Action Account>
ein, und drücken Sie dann die EINGABETASTE.Starten Sie den Microsoft Monitoring Agent (HealthService) neu, um die Änderungen anzuwenden.
So fügen Sie das lokale Systemkonto hinzu
Melden Sie sich beim Computer mit einem Konto an, das Mitglied der Gruppe Administratoren ist.
Wählen Sie auf dem Windows-Desktop Start und dann Ausführen aus.
Geben Sie im Dialogfeld Ausführenden Wert cmd ein, und wählen Sie dann OK aus.
Geben Sie an der Eingabeaufforderung ein
<drive_letter>:
(wobei<drive_letter>
das Laufwerk ist, auf dem der Operations Manager-Agent installiert ist), und drücken Sie dann die EINGABETASTE.Geben Sie
cd \Program Files\Microsoft Monitoring Agent\Agent
ein, und drücken Sie dann die EINGABETASTE.Geben Sie
HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM”
ein, und drücken Sie dann die EINGABETASTE.Starten Sie den Microsoft Monitoring Agent (HealthService) neu, um die Änderungen anzuwenden.
Nächste Schritte
Informationen zum Erstellen eines ausführenden Kontos und Verknüpfen des Kontos mit einem ausführenden Profil finden Sie unter Erstellen eines ausführenden Kontos und Verknüpfen des Kontos mit einem ausführenden Profil.
Wenn Sie neue Anmeldeinformationen für das Verwaltungsserver-Aktionskonto erstellen müssen, finden Sie die entsprechenden Informationen unter Erstellen eines neuen Aktionskontos in Operations Manager.
Informationen zum sicheren Ziel der Ausführungskontoverteilung auf vom Agent verwaltete Computer finden Sie unter Verteilung und Targeting für ausführende Konten und Profile.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für