Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El procedimiento recomendado de seguridad consiste en deshabilitar las sesiones interactivas y remotas de las cuentas de servicio. Los equipos de seguridad a los largo y ancho de las organizaciones tienen controles estrictos para aplicar este procedimiento recomendado para evitar el robo de credenciales y los ataques asociados.
System Center Operations Manager admite el endurecimiento de la seguridad de las cuentas de servicio y no requiere que se conceda el derecho de usuario Permitir el inicio de sesión local para varias cuentas, necesario para la compatibilidad con Operations Manager.
La versión anterior de Operations Managers tiene Permitir el inicio de sesión localmente como el tipo de inicio de sesión predeterminado. De forma predeterminada, Operations Manager usa el inicio de sesión del servicio. Esto da lugar a los siguientes cambios:
- El servicio de salud usa el tipo de inicio de sesión Servicio de forma predeterminada. Era Interactivo en el caso de la versión 2016 de Operations Manager.
- Las cuentas de acción y las cuentas de servicio de Operations Manager ahora tienen permiso Iniciar sesión como servicio.
- Las cuentas de acción y las cuentas de ejecución deben tener permiso Iniciar sesión como servicio para ejecutar MonitoringHost.exe. Más información.
Cambios en las cuentas de acción de Operations Manager
Las siguientes cuentas tienen permiso Iniciar sesión como servicio durante la instalación de Operations Manager y durante la actualización de versiones anteriores:
Servidor de administración Cuenta de acción
Servicio de configuración de System Center y cuentas de servicio de acceso a los datos de System Center
Cuenta de acción de agente
Almacén de datos Cuenta de escritura
Cuenta de lector de datos
Después de este cambio, las cuentas de ejecución creadas por los administradores de Operations Manager para los módulos de administración requieren el permiso Iniciar sesión como servicio, cuyo otorgamiento recae en los administradores.
Visualización del tipo de inicio de sesión para los servidores de administración y los agentes
Puedes ver el tipo de inicio de sesión de los servidores de administración y los agentes desde la consola de Operations Manager.
Para visualizar el tipo de inicio de sesión de los servidores de administración, accede a Administración>Productos de Operations Manager>Servidores de administración.
Para visualizar el tipo de inicio de sesión para los agentes, accede a Administración>Productos de Operations Manager>Agentes.
Nota:
El agente o la puerta de enlace aún no se han actualizado, se muestra el tipo de inicio de sesión como Servicio en la consola. Una vez actualizado el agente/gateway, se mostrará el tipo de inicio de sesión actual.
Habilitar permiso de inicio de sesión de servicio para cuentas de ejecución
Siga estos pasos:
Inicie sesión con privilegios de administrador en el equipo desde el que desea proporcionar Permiso de inicio de sesión como servicio a una cuenta de ejecución.
Accede a Herramientas administrativas y selecciona Directiva de seguridad local.
Expande el nodo Directiva local y selecciona Asignación de derechos de usuario.
En el panel derecho, haz clic con el botón derecho en Iniciar sesión como un servicio y selecciona Propiedades.
Selecciona la opción Agregar usuario o grupo para agregar el nuevo usuario.
En el cuadro de diálogo Seleccionar usuarios o grupos, busca el usuario que deseas agregar y selecciona Aceptar.
Selecciona Aceptar en las propiedades de Iniciar sesión como un servicio para guardar los cambios.
Nota:
Si estás actualizando a Operations Manager 2019 desde una versión anterior o estás instalando un nuevo entorno de Operations Manager 2019, sigue los pasos anteriores para otorgar el permiso Iniciar sesión como un servicio para las cuentas Run As.
Nota:
Si se está actualizando a Operations Manager 2022 desde una versión anterior o está instalando un nuevo entorno de Operations Manager 2022, siga los pasos anteriores para proporcionar el permiso Iniciar sesión como servicio para las cuentas de ejecución.
Nota:
Si se está actualizando a Operations Manager 2025 desde una versión anterior o está instalando un nuevo entorno de Operations Manager 2025, siga los pasos anteriores para proporcionar el permiso Iniciar sesión como servicio para las cuentas de ejecución.
Cambiar el tipo de inicio de sesión para un servicio de mantenimiento
Si necesitas cambiar el tipo de inicio de sesión del servicio de estado de Operations Manager a Permitir el inicio de sesión local, configura las opciones de la directiva de seguridad en el dispositivo local mediante la consola de directiva de seguridad local.
Este es un ejemplo:
Coexistencia con el agente de Operations Manager 2016
Con el cambio de tipo de inicio de sesión introducido en Operations Manager 2019, el agente de Operations Manager 2016 puede coexistir e interoperar sin problemas. Pero hay un par de escenarios que se ven afectados por este cambio:
- La instalación remota del agente desde la consola de Operations Manager requiere una cuenta que tenga privilegios administrativos y el derecho de Inicio de sesión como servicio en el equipo de destino.
- La cuenta de acción del servidor de administración de Operations Manager requiere tener privilegios administrativos en servidores de administración para supervisar Service Manager.
Solución de problemas
Si alguna de las cuentas de ejecución tiene el permiso necesario Iniciar sesión como servicio, aparecerá una alerta crítica basada en la supervisión. Esta alerta muestra los detalles de la cuenta de ejecución, que no tiene el permiso Iniciar sesión como servicio.
En el equipo del agente, abra el Visor de sucesos. En el registro de Operations Manager, busque el ID de evento 7002 para ver los detalles sobre las cuentas de ejecución que requieren el permiso Iniciar sesión como servicio.
| Parámetro | Mensaje |
|---|---|
| Nombre de la alerta | La cuenta de ejecución no tiene el tipo de inicio de sesión solicitado. |
| Descripción de la alerta | La cuenta de ejecución debe tener el tipo de inicio de sesión solicitado. |
| Contexto de alerta | El servicio de salud no pudo iniciar sesión, ya que la cuenta de ejecución para el grupo de administración (nombre de grupo) no tiene concedido el permiso Iniciar sesión como servicio. |
| Supervisión | (agregar el nombre del monitor) |
Da el permiso Iniciar sesión como servicio a las cuentas de ejecución aplicables, que se identifican en el evento 7002. Una vez dado el permiso, aparece el ID de evento 7028 y el monitor cambia al estado saludable.
