Aktivieren der Dienstanmeldung

  • Artikel

Die bewährte Vorgehensweise in Bezug auf die Sicherheit besteht darin, interaktive Sitzungen und interaktive Remotesitzungen für Dienstkonten zu deaktivieren. Sicherheitsteams in allen Organisationen verfügen über strenge Kontrollen, um diese bewährte Methode zu erzwingen, um den Diebstahl von Anmeldeinformationen und damit verbundene Angriffe zu verhindern.

System Center: Service Manager (SM) unterstützt die Härtung von Dienstkonten und erfordert keine Gewährung des Benutzerrechtes Lokale Anmeldung zulassen für mehrere Konten, das zur Unterstützung von SM erforderlich ist.

Sie müssen die Dienstanmeldungsberechtigung für die folgenden Konten bereitstellen, die vom SM-Verwaltungsserver und dem Data Warehouse-Verwaltungsserver verwendet werden.

Service Manager-Dienstkonto: Dieses Konto wird für den System Center-Datenzugriffsdienst und den System Center Management Configuration-Dienst verwendet.

Für dieses Konto ist die Dienstanmeldungsberechtigung erforderlich.

Service Manager Workflowkonto Dieses Konto wird verwendet, um den MonitoringHost.exe-Prozess auszuführen (führt alle Workflows aus). Für dieses Konto ist die Dienstanmeldungsberechtigung erforderlich.

Hinweis

Es wird empfohlen, die Dienstanmeldungsberechtigung für die Konten bereitzustellen, die von verschiedenen SM-Connectors (AD, OM, SCO, CM, VMM, Exchange-Connectors) verwendet werden. Dienstberichtskonten und Analysis Services-Konten erfordern keine Dienstanmeldungsberechtigung.

So aktivieren Sie die Dienstanmeldung

Sie können die Dienstanmeldeberechtigung über eine Domänenrichtlinie oder eine lokale Gruppenrichtlinie erteilen.

Wenden Sie sich an Ihre Administratoren, um die Verwendung von Domänenrichtlinien zu aktivieren. Informationen zur Verwendung einer lokalen Gruppenrichtlinie finden Sie im Abschnitt aktivieren des Diensts über eine lokale Gruppenrichtlinie.

Identifizieren der Konten, für die die Dienstanmeldungsberechtigung erforderlich ist

Wenn erforderliche Konten nicht mit der Dienstanmeldungsberechtigung bereitgestellt werden, wird monitoringhost.exe unter diesen Konten nicht ausgeführt. Das bedeutet, dass einige Workflows wie SLA/SLO nicht ausgeführt werden. In diesem Fall wird das folgende Fehlerereignis im Operations Manager-Ereignisprotokoll protokolliert:

Der Integritätsdienst konnte sich nicht am RunAs-Konto XXXXXXX für die Verwaltungsgruppe XXXX anmelden, da ihm nicht *Anmelden als Dienst gewährt wurde.

Hier sehen Sie ein Beispiel für einen Fehler:

Screenshot: Identifizieren von Konten, die eine Dienstanmeldungsberechtigung benötigen

Aktivieren der Dienstanmeldung über eine lokale Gruppenrichtlinie

Führen Sie die folgenden Schritte aus:

  1. Melden Sie sich mit Administratorrechten bei dem Computer an, auf dem Sie Konten die Berechtigung Als Dienst anmelden bereitstellen möchten.

  2. Wechseln Sie zu Verwaltung, und wählen Sie Lokale Sicherheitsrichtlinie aus.

  3. Erweitern Sie Lokale Richtlinie , und wählen Sie Zuweisung von Benutzerrechten aus. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Als Dienst anmelden, und wählen Sie Eigenschaften.

  4. Wählen Sie die Option Benutzer oderGruppe hinzufügen aus, um den neuen Benutzer hinzuzufügen.

  5. Suchen Sie im Dialogfeld Benutzer oder Gruppen auswählen den Benutzer, den Sie hinzufügen möchten, und wählen Sie OK aus.

  6. Wählen Sie in den Eigenschaften anmelden als Dienst die Option OK aus, um die Änderungen zu speichern.

    Screenshot: Aktivieren der Dienstanmeldungsberechtigung

Ändern des Anmeldetyps von einem Standardwert

Der Standardanmeldungstyp ist Dienstanmeldung. Nach der Neuinstallation von SM oder einem Upgrade lautet der Anmeldetyp standardmäßig Dienstanmeldung.

Sie können den Standardanmeldungstyp mithilfe der folgenden Schritte ändern:

  1. Melden Sie sich mit Administratorrechten bei dem Computer an, auf dem Sie Konten die Berechtigung Als Dienst anmelden bereitstellen möchten.

  2. Ausführen von gpedit.msc

  3. Erweitern Sie unter Computerkonfigurationden Eintrag Administrative Vorlagen.

  4. Wählen Sie System Center – Operations Manager aus.

  5. Klicken Sie mit der rechten Maustaste auf Überwachungsaktion Konto-Anmeldetyp, wählen Sie Bearbeiten und dann Aktiviert aus.

  6. Wählen Sie im Dropdownmenü Anmeldetyp aus.

    Screenshot: Anmeldeberechtigung für den Änderungsdienst