Control del acceso mediante la herramienta de bloqueo del servicio de mantenimiento en Operations Manager

En los equipos que requieren alta seguridad, por ejemplo, un controlador de dominio, es posible que deba denegar el acceso de determinadas identidades a reglas, tareas y monitores que podrían poner en peligro la seguridad del servidor. La herramienta de bloqueo del servicio de mantenimiento (HSLockdown.exe) permite usar varias opciones de línea de comandos para controlar y limitar las identidades usadas para ejecutar una regla, tarea o monitor.

Nota:

No podrás iniciar el servicio Microsoft Monitoring Agent si has usado la herramienta de bloqueo del servicio de mantenimiento para bloquear la cuenta de acción. Para poder reiniciar el servicio Microsoft Monitoring Agent, sigue el segundo procedimiento de este artículo para desbloquear la cuenta de acción.

Las siguientes opciones están disponibles para el comando:

• HSLockdown [ManagementGroupName] /L - List Accounts/groups

• HSLockdown [ManagementGroupName] /A - Add an allowed account|group

• HSLockdown [ManagementGroupName] /D - Add a denied account|group

• HSLockdown [ManagementGroupName] /R - Remove an allowed/denied account|group

Las cuentas deben especificarse en uno de los siguientes formatos de nombre de dominio completo (FQDN):

• NetBios : DOMAIN\username

• UPN: username@fqdn.com

Si usaste las opciones de agregar o denegar al ejecutar la herramienta bloqueo del servicio de mantenimiento, deberás reiniciar el servicio de administración de System Center antes de que los cambios surtan efecto.

Al evaluar las listas permitidas y denegadas, debes saber que las denegaciones tienen prioridad sobre los permisos. Si un usuario aparece como permitido y el mismo usuario es miembro de un grupo que aparece como denegado, se denegará al usuario.

Para denegar una cuenta con la herramienta de bloqueo del servicio de mantenimiento

1. Inicia sesión en el equipo cliente con una cuenta que sea miembro del grupo Administradores.

2. En el escritorio de Windows, selecciona Inicio y, a continuación, selecciona Ejecutar.

3. En el cuadro de diálogo Ejecutar , escribe cmd y selecciona Aceptar.

4. En el símbolo del sistema, escribe <drive_letter>: (donde <drive_letter> es la unidad donde está instalado el agente de Operations Manager) y presiona ENTRAR.

5. Escribe cd \Program Files\Microsoft Monitoring Agent\Agent y, después, pulsa Entrar.

6. Escribe HSLockdown.exe [Management Group Name] /D [account or group] para denegar el grupo o la cuenta y presiona Entrar.

7. Reinicie el servicio Microsoft Monitoring Agent (HealthService) para aplicar los cambios.

Para desbloquear la cuenta de acción

1. Inicia sesión en el equipo cliente con una cuenta que sea miembro del grupo Administradores.

2. En el escritorio de Windows, selecciona Inicio y, a continuación, selecciona Ejecutar.

3. En el cuadro de diálogo Ejecutar , escribe cmd y selecciona Aceptar.

4. En el símbolo del sistema, escribe <drive_letter>: (donde <drive_letter> es la unidad donde está instalado el agente de Operations Manager) y presiona ENTRAR.

5. Escribe cd \Program Files\Microsoft Monitoring Agent\Agent y, después, pulsa Entrar.

6. Escribe HSLockdown.exe [Management Group Name] /A <Action Account> y, después, pulsa Entrar.

7. Reinicie el servicio Microsoft Monitoring Agent (HealthService) para aplicar los cambios.

Para agregar la cuenta de sistema local

1. Inicia sesión en el equipo cliente con una cuenta que sea miembro del grupo Administradores.

2. En el escritorio de Windows, selecciona Inicio y, a continuación, selecciona Ejecutar.

3. En el cuadro de diálogo Ejecutar , escribe cmd y selecciona Aceptar.

4. En el símbolo del sistema, escribe <drive_letter>: (donde <drive_letter> es la unidad donde está instalado el agente de Operations Manager) y presiona ENTRAR.

5. Escribe cd \Program Files\Microsoft Monitoring Agent\Agent y, después, pulsa Entrar.

6. Escribe HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM” y, después, pulsa Entrar.

7. Reinicie el servicio Microsoft Monitoring Agent (HealthService) para aplicar los cambios.

Pasos siguientes

• Para comprender cómo crear una cuenta de ejecución y asociarla a un perfil de ejecución, consulta How to Create a Run As Account and Associate with a Run As Profile (Cómo crear una cuenta de ejecución y asociar con un perfil de ejecución).

• Si necesitas crear nuevas credenciales para la cuenta de acción del servidor de administración, consulta Creación de una nueva cuenta de acción en Operations Manager.

• Consulta Distribución y establecimiento de destinos para cuentas y perfiles de ejecución para comprender cómo seleccionar el destino de la distribución de las cuentas de ejecución en equipos administrados por agente de manera segura.