Activer l’ouverture de session de service pour les comptes d’identification
La meilleure pratique en matière de sécurité consiste à désactiver les sessions interactives interactives et distantes pour les comptes de service. Les équipes de sécurité au sein des organisations ont des contrôles stricts pour appliquer cette meilleure pratique pour empêcher le vol d’informations d’identification et les attaques associées.
System Center Operations Manager prend en charge le renforcement des comptes de service et ne nécessite pas l’octroi de l’autorisation d’ouverture de session localement pour plusieurs comptes requis pour prendre en charge Operations Manager.
La version antérieure des gestionnaires d’opérations autorise l’ouverture de session localement en tant que type de journal par défaut. Par défaut, Operations Manager utilise la Connexion du service. Cela entraîne les modifications suivantes :
- Le service d’intégrité utilise le service de type de journal par défaut. Pour la version d’Operations Manager 2016, elle était interactive.
- Les comptes d’action Operations Manager et les comptes de service disposent désormais de l’autorisation Se connecter en tant que service .
- Les comptes d’action et les comptes d’identification doivent disposer de l’autorisation Se connecter en tant que service pour exécuter MonitoringHost.exe. Plus d’informations
Modifications apportées aux comptes d’action Operations Manager
Les comptes suivants sont autorisés à se connecter en tant que service pendant l’installation d’Operations Manager et pendant la mise à niveau à partir des versions précédentes :
Compte d’action du serveur d’administration
Service de configuration System Center et comptes de service d’accès aux données System Center
Compte d’action de l’agent
Compte d'écriture de l'entrepôt de données
Compte du lecteur de données
Après cette modification, tous les comptes d’identification créés par les administrateurs Operations Manager pour les packs d’administration (MPS) nécessitent le droit de connexion en tant que service , que les administrateurs doivent accorder.
Afficher le type de journal pour les serveurs d’administration et les agents
Vous pouvez afficher le type de connexion pour les serveurs d’administration et les agents à partir de la console Operations Manager.
Pour afficher le type de connexion pour les serveurs d’administration, accédez aux serveurs Administration>Operations Manager Products>Management.
Pour afficher le type de connexion des agents, accédez à Administration>Operations Manager Products>Agents.
Remarque
L’agent/passerelle n’est pas encore mis à niveau et indique le type de connexion Service dans la console. Une fois l’agent/la passerelle mis à niveau, le type de journal actuel s’affiche.
Activer l’autorisation de connexion de service pour les comptes d’identification
Effectuez les étapes suivantes :
Connectez-vous avec des privilèges d’administrateur à l’ordinateur à partir duquel vous souhaitez fournir l’autorisation Se connecter en tant que service à un compte d’identification.
Accédez à Outils d’administration et sélectionnez Stratégie de sécurité locale.
Développez la stratégie locale et sélectionnez Attribution des droits utilisateur.
Dans le volet droit, cliquez avec le bouton droit sur Se connecter en tant que service , puis sélectionnez Propriétés.
Sélectionnez Ajouter un utilisateur ou une option de groupe pour ajouter le nouvel utilisateur.
Dans la boîte de dialogue Sélectionner des utilisateurs ou des groupes , recherchez l’utilisateur que vous souhaitez ajouter et sélectionnez OK.
Sélectionnez OK dans les propriétés de connexion en tant que service pour enregistrer les modifications.
Remarque
Si vous effectuez une mise à niveau vers Operations Manager 2019 à partir d’une version précédente ou si vous installez un nouvel environnement Operations Manager 2019, suivez les étapes ci-dessus pour fournir une autorisation de connexion en tant que service pour les comptes d’identification.
Remarque
Si vous effectuez une mise à niveau vers Operations Manager 2022 à partir d’une version précédente ou si vous installez un nouvel environnement Operations Manager 2022, suivez les étapes ci-dessus pour fournir une autorisation de connexion en tant que service aux comptes d’identification.
Remarque
Si vous effectuez une mise à niveau vers Operations Manager 2025 à partir d’une version précédente ou si vous installez un nouvel environnement Operations Manager 2025, suivez les étapes ci-dessus pour fournir une autorisation de connexion en tant que service pour les comptes d’identification.
Modifier le type de journal pour un service d’intégrité
Si vous devez modifier le type de journal du service d’intégrité Operations Manager pour autoriser l’ouverture de session localement, configurez le paramètre de stratégie de sécurité sur l’appareil local à l’aide de la console Stratégie de sécurité locale.
Voici un exemple :
Coexistence avec l’agent Operations Manager 2016
Avec la modification de type de connexion introduite dans Operations Manager 2019, l’agent Operations Manager 2016 peut coexister et interagir sans aucun problème. Toutefois, il existe quelques scénarios qui sont affectés par cette modification :
- L’installation push de l’agent à partir de la console Operations Manager nécessite un compte disposant de privilèges d’administration et de connexion en tant que service directement sur l’ordinateur de destination.
- Le compte d’action Operations Manager Management Server nécessite des privilèges d’administration sur les serveurs d’administration pour surveiller Service Manager.
Dépannage
Si l’un des comptes d’identification dispose de l’autorisation Connexion en tant que service requise, une alerte critique basée sur un moniteur s’affiche. Cette alerte affiche les détails du compte d’identification, qui n’a pas d’autorisation de connexion en tant que service .
Sur l’ordinateur de l’agent, ouvrez l’Observateur d’événements. Dans le journal Operations Manager, recherchez l’ID d’événement 7002 pour voir le détail des comptes qui nécessitent l’autorisation Se connecter en tant que service.
Paramètre | Message |
---|---|
Nom de l’alerte | Le compte d’identification n’a pas demandé de type de connexion. |
Description d'alerte | Le compte d’identification doit avoir le type de connexion demandé. |
Contexte de l'alerte | Le service d’intégrité n’a pas pu se connecter, car le compte d’identification du groupe d’administration (nom du groupe) n’a pas reçu l’autorisation Se connecter en tant que service . |
Monitor | (ajouter un nom de moniteur) |
Fournissez l’autorisation Se connecter en tant que service aux comptes d’identification applicables, identifiés dans l’événement 7002. Une fois que vous avez fourni l’autorisation, l’ID d’événement 7028 apparaît et le moniteur passe à l’état sain.