Bereitstellen von Sicherheitsrechten

  • Artikel

Dieser Artikel enthält Informationen zum Bereitstellen von Sicherheitsrechten für gruppenverwaltete Dienstkonten (Group Managed Service Accounts, gMSA). Weitere Informationen finden Sie unter Für gMSA verwendete Konten.

Hinweis

Dieser Artikel bezieht sich auf Updaterollup 1 (UR1) für Operations Manager 2019 und höher.

Bereitstellen der Berechtigung Als Dienst anmelden

Führen Sie die folgenden Schritte aus, um die Berechtigung Als Dienst anmelden für gMSA-Konten bereitzustellen:

  1. Öffnen Sie das MMC-Snap-In Lokale Sicherheitsrichtlinie. Alternativ können Sie ein Ausführungsfeld öffnen und Folgendes eingeben: secpol.msc

  2. Navigieren Sie zu Lokale RichtlinienZuweisen von Benutzerrechten.

  3. Doppelklicken Sie auf den Als Dienst anmelden-Auftrag unter Richtlinie.

  4. Fügen Sie die gMSAs der Liste mit Konten hinzu, die sich als Dienst anmelden dürfen.

    Im Folgenden werden die Kontodetails aufgeführt:

    • SMX\momActGMSA$ : Verwaltungsserver-Aktionskonto

    • SMX\momDASGMSA$ : Konto für den Datenzugriffsdienst (SDK)

    • SMX\momDWGMSA$ : Data Warehouse-Konto für Schreibvorgänge

    • SMX\momRepGMSA$ : Data Warehouse-Konto für Lesevorgänge

      Screenshot der Eigenschaften des Anmeldediensts.

Bereitstellen der Berechtigung Anmelden als Batch

Führen Sie die folgenden Schritte aus, um den gMSAs zum Schreiben und Lesen von Daten die Berechtigung Anmelden als Batch zu gewähren:

  1. Öffnen Sie das MMC-Snap-In Lokale Sicherheitsrichtlinie. Alternativ können Sie ein Ausführungsfeld öffnen und Folgendes eingeben: secpol.msc

  2. Navigieren Sie zu Lokale RichtlinienZuweisen von Benutzerrechten.

  3. Wählen Sie Anmelden als Batch unter Richtlinie aus.

  4. Fügen Sie die gMSAs der Liste mit Konten hinzu, die sich als Batch anmelden dürfen.

    Screenshot: Anmelden als Batch

Generieren von Sicherheitsüberwachungen

Erteilen Sie dem gMSA-SDK-Konto Berechtigungen, wenn Sie Überwachungsereignisse generieren möchten. Folgen Sie diesen Schritten:

  1. Öffnen Sie das MMC-Snap-In Lokale Sicherheitsrichtlinie. Alternativ können Sie ein Ausführungsfeld öffnen und Folgendes eingeben: secpol.msc

  2. Navigieren Sie zu Lokale RichtlinienZuweisen von Benutzerrechten.

  3. Doppelklicken Sie auf Generieren von Sicherheitsüberwachungen unter Richtlinie.

  4. Fügen Sie der Liste der Konten, die zum Generieren von Sicherheitsüberwachungen berechtigt sind, die gMSAs hinzu.

    Screenshot: Generieren von Sicherheitsüberwachungen.

Nächste Schritte

Nachdem Sie die erforderlichen Zugriffsrechte bereitgestellt haben, ändern Sie die Datenbanken.