Habilitación del inicio de sesión del servicio para las cuentas de ejecución
El procedimiento recomendado de seguridad consiste en deshabilitar las sesiones interactivas y remotas de las cuentas de servicio. Los equipos de seguridad a los largo y ancho de las organizaciones tienen controles estrictos para aplicar este procedimiento recomendado para evitar el robo de credenciales y los ataques asociados.
System Center Operations Manager admite el endurecimiento de la seguridad de las cuentas de servicio y no requiere que se conceda el derecho de usuario Permitir el inicio de sesión local para varias cuentas, necesario para la compatibilidad con Operations Manager.
La versión anterior de Operations Managers tiene Permitir el inicio de sesión localmente como el tipo de inicio de sesión predeterminado. De forma predeterminada, Operations Manager usa el inicio de sesión del servicio. Esto da lugar a los siguientes cambios:
- El servicio de estado usa el tipo de inicio de sesión Servicio de forma predeterminada. Era Interactivo en el caso de Operations Manager 2016 version.
- Ahora, las cuentas de acción y las cuentas de servicio de Operations Manager incorporan el permiso Iniciar sesión como un servicio.
- Las cuentas de acción y las cuentas de ejecución deben tener el permiso Iniciar sesión como un servicio para ejecutar MonitoringHost.exe. Más información.
Cambios en las cuentas de acción de Operations Manager
Las siguientes cuentas tienen concedido el permiso Iniciar sesión como un servicio durante la instalación de Operations Manager y durante la actualización de las versiones anteriores:
Cuenta de acción del servidor de administración
Servicio de configuración de System Center y cuentas de servicio de acceso a los datos de System Center
Cuenta de acción del agente
Cuenta de escritura de almacenamiento de datos
Cuenta de lector de datos
Después de este cambio, las cuentas de ejecución creadas por los administradores de Operations Manager para los módulos de administración requieren el permiso Iniciar sesión como servicio, cuyo otorgamiento recae en los administradores.
Visualización del tipo de inicio de sesión para los servidores de administración y los agentes
Puedes ver el tipo de inicio de sesión de los servidores de administración y los agentes desde la consola de Operations Manager.
Para visualizar el tipo de inicio de sesión de los servidores de administración, accede a Administración>Productos de Operations Manager>Servidores de administración.
Para visualizar el tipo de inicio de sesión para los agentes, accede a Administración>Productos de Operations Manager>Agentes.
Nota:
El agente o la puerta de enlace aún no se han actualizado, se muestra el tipo de inicio de sesión como Servicio en la consola. Una vez actualizado el agente o la puerta de enlace, se muestra el tipo de inicio de sesión actual.
Habilitación del permiso de inicio de sesión del servicio para las cuentas de ejecución
Siga estos pasos:
Inicia sesión con privilegios de administrador en el equipo desde el que deseas proporcionar el permiso Iniciar sesión como un servicio a una cuenta de ejecución.
Accede a Herramientas administrativas y selecciona Directiva de seguridad local.
Expande el nodo Directiva local y selecciona Asignación de derechos de usuario.
En el panel derecho, haz clic con el botón derecho en Iniciar sesión como un servicio y selecciona Propiedades.
Selecciona la opción Agregar usuario o grupo para agregar el nuevo usuario.
En el cuadro de diálogo Seleccionar usuarios o grupos, busca el usuario que deseas agregar y selecciona Aceptar.
Selecciona Aceptar en las propiedades de Iniciar sesión como un servicio para guardar los cambios.
Nota:
Si estás actualizando a Operations Manager 2019 desde una versión anterior o estás instalando un nuevo entorno de Operations Manager 2019, sigue los pasos anteriores para proporcionar el permiso Iniciar sesión como un servicio para las cuentas de ejecución.
Nota:
Si se estás actualizando a Operations Manager 2022 desde una versión anterior o estás instalando un nuevo entorno de Operations Manager 2022, sigue los pasos anteriores para proporcionar el permiso Iniciar sesión como un servicio para las cuentas de ejecución.
Nota:
Si va a actualizar a Operations Manager 2025 desde una versión anterior o instala un nuevo entorno de Operations Manager 2025, siga los pasos anteriores para proporcionar permiso de inicio de sesión como servicio para las cuentas de ejecución.
Cambiar el tipo de inicio de sesión de un servicio de estado
Si necesitas cambiar el tipo de inicio de sesión del servicio de estado de Operations Manager a Permitir el inicio de sesión local, configura las opciones de la directiva de seguridad en el dispositivo local mediante la consola de directiva de seguridad local.
Este es un ejemplo:
Coexistencia con el agente de Operations Manager 2016
Con el cambio de tipo de inicio de sesión introducido en Operations Manager 2019, el agente de Operations Manager 2016 puede coexistir e interoperar sin problemas. Pero hay un par de escenarios que se ven afectados por este cambio:
- La instalación de inserción del agente desde la consola de Operations Manager requiere una cuenta que tenga privilegios administrativos y el derecho de Inicio de sesión como servicio en el equipo de destino.
- La cuenta de acción del servidor de administración de Operations Manager requiere tener privilegios administrativos en servidores de administración para supervisar Service Manager.
Solución de problemas
Si alguna de las cuentas de ejecución tiene el permiso Iniciar sesión como servicio necesario, aparece una alerta crítica basada en el monitor. Esta alerta muestra los detalles de la cuenta de ejecución, que no tiene el permiso Iniciar sesión como servicio.
En el equipo del agente, abre el Visor de eventos. En el registro de Operations Manager, busque el ID de evento 7002 para ver los detalles sobre las cuentas de ejecución que requieren el permiso Iniciar sesión como servicio.
Parámetro | Mensaje |
---|---|
Nombre de la alerta | La cuenta de ejecución no tiene el registro solicitado en tipo. |
Descripción de la alerta | La cuenta de ejecución debe tener el tipo de inicio de sesión solicitado. |
Contexto de alerta | Servicio de mantenimiento no pudo iniciar sesión, ya que no se ha concedido a la cuenta de ejecución para el grupo de administración (nombre de grupo) el permiso de Iniciar sesión como servicio. |
Monitor | (agregar el nombre del monitor) |
Da el permiso Iniciar sesión como servicio a las cuentas de ejecución aplicables, que se identifican en el evento 7002. Una vez dado el permiso, aparece el id. de evento 7028 y el monitor cambia al estado de mantenimiento.