Aktivieren der Dienstanmeldung
Die bewährte Vorgehensweise in Bezug auf die Sicherheit besteht darin, interaktive Sitzungen und interaktive Remotesitzungen für Dienstkonten zu deaktivieren. Sicherheitsteams in allen Organisationen verfügen über strenge Kontrollen, um diese bewährte Methode zu erzwingen, um den Diebstahl von Anmeldeinformationen und damit verbundene Angriffe zu verhindern.
System Center: Service Manager (SM) unterstützt die Härtung von Dienstkonten und erfordert keine Gewährung des Benutzerrechtes Lokale Anmeldung zulassen für mehrere Konten, das zur Unterstützung von SM erforderlich ist.
Sie müssen die Dienstanmeldungsberechtigung für die folgenden Konten bereitstellen, die vom SM-Verwaltungsserver und dem Data Warehouse-Verwaltungsserver verwendet werden.
Service Manager-Dienstkonto: Dieses Konto wird für den System Center-Datenzugriffsdienst und den System Center Management Configuration-Dienst verwendet.
Für dieses Konto ist die Dienstanmeldungsberechtigung erforderlich.
Service Manager Workflowkonto Dieses Konto wird verwendet, um den MonitoringHost.exe-Prozess auszuführen (führt alle Workflows aus). Für dieses Konto ist die Dienstanmeldungsberechtigung erforderlich.
Hinweis
Es wird empfohlen, die Dienstanmeldungsberechtigung für die Konten bereitzustellen, die von verschiedenen SM-Connectors (AD, OM, SCO, CM, VMM, Exchange-Connectors) verwendet werden. Dienstberichtskonten und Analysis Services-Konten erfordern keine Dienstanmeldungsberechtigung.
So aktivieren Sie die Dienstanmeldung
Sie können die Dienstanmeldeberechtigung über eine Domänenrichtlinie oder eine lokale Gruppenrichtlinie erteilen.
Wenden Sie sich an Ihre Administratoren, um die Verwendung von Domänenrichtlinien zu aktivieren. Informationen zur Verwendung einer lokalen Gruppenrichtlinie finden Sie im Abschnitt aktivieren des Diensts über eine lokale Gruppenrichtlinie.
Identifizieren der Konten, für die die Dienstanmeldungsberechtigung erforderlich ist
Wenn erforderliche Konten nicht mit der Dienstanmeldungsberechtigung bereitgestellt werden, wird monitoringhost.exe unter diesen Konten nicht ausgeführt. Das bedeutet, dass einige Workflows wie SLA/SLO nicht ausgeführt werden. In diesem Fall wird das folgende Fehlerereignis im Operations Manager-Ereignisprotokoll protokolliert:
Der Integritätsdienst konnte sich nicht am RunAs-Konto XXXXXXX für die Verwaltungsgruppe XXXX anmelden, da ihm nicht *Anmelden als Dienst gewährt wurde.
Hier sehen Sie ein Beispiel für einen Fehler:
Aktivieren der Dienstanmeldung über eine lokale Gruppenrichtlinie
Führen Sie die folgenden Schritte aus:
Melden Sie sich mit Administratorrechten bei dem Computer an, auf dem Sie Konten die Berechtigung Als Dienst anmelden bereitstellen möchten.
Wechseln Sie zu Verwaltung, und wählen Sie Lokale Sicherheitsrichtlinie aus.
Erweitern Sie Lokale Richtlinie , und wählen Sie Zuweisung von Benutzerrechten aus. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Als Dienst anmelden, und wählen Sie Eigenschaften.
Wählen Sie die Option Benutzer oderGruppe hinzufügen aus, um den neuen Benutzer hinzuzufügen.
Suchen Sie im Dialogfeld Benutzer oder Gruppen auswählen den Benutzer, den Sie hinzufügen möchten, und wählen Sie OK aus.
Wählen Sie in den Eigenschaften anmelden als Dienst die Option OK aus, um die Änderungen zu speichern.
Ändern des Anmeldetyps von einem Standardwert
Der Standardanmeldungstyp ist Dienstanmeldung. Nach der Neuinstallation von SM oder einem Upgrade lautet der Anmeldetyp standardmäßig Dienstanmeldung.
Sie können den Standardanmeldungstyp mithilfe der folgenden Schritte ändern:
Melden Sie sich mit Administratorrechten bei dem Computer an, auf dem Sie Konten die Berechtigung Als Dienst anmelden bereitstellen möchten.
Ausführen von gpedit.msc
Erweitern Sie unter Computerkonfigurationden Eintrag Administrative Vorlagen.
Wählen Sie System Center – Operations Manager aus.
Klicken Sie mit der rechten Maustaste auf Überwachungsaktion Konto-Anmeldetyp, wählen Sie Bearbeiten und dann Aktiviert aus.
Wählen Sie im Dropdownmenü Anmeldetyp aus.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für