Activer l’ouverture de session au service
La bonne pratique de sécurité consiste à désactiver les sessions interactives et les sessions interactives à distance pour les comptes de service. Les équipes de sécurité de toutes les organisations disposent de contrôles stricts pour appliquer cette bonne pratique afin d’empêcher le vol d’informations d’identification et les attaques associées.
System Center - Service Manager (SM) prend en charge le renforcement des comptes de service et n’exige pas l’octroi du droit d’utilisateur Autoriser la connexion locale pour plusieurs comptes, requis pour la prise en charge de SM.
Vous devez fournir l’autorisation d’ouverture de session au service pour les comptes suivants qui sont utilisés par le serveur d’administration SM et le serveur d’administration de l’entrepôt de données.
compte des services Service Manager : ce compte est utilisé pour le service d’accès aux données System Center et le service de configuration de system Center Management.
Ce compte nécessite l’autorisation d’ouverture de session du service.
Service Manager Compte de flux de travail Ce compte est utilisé pour exécuter le processus MonitoringHost.exe (exécute tous les workflows). Ce compte nécessite l’autorisation d’ouverture de session du service.
Notes
Nous vous recommandons de fournir l’autorisation d’ouverture de session de service aux comptes utilisés par différents connecteurs SM (AD, OM, SCO, CM, VMM, connecteurs exchange). Les comptes de rapports de service et analysis Services ne nécessitent pas d’autorisation d’ouverture de session de service.
Pour activer l’ouverture de session au service
Vous pouvez accorder l’autorisation d’ouverture de session au service via une stratégie de domaine ou une stratégie de groupe locale.
Pour activer l’utilisation de la stratégie de domaine, contactez vos administrateurs. Pour utiliser la stratégie de groupe locale, consultez la section relative à l’activation du service via une stratégie de groupe locale
Identifier les comptes qui ont besoin d’une autorisation d’ouverture de session au service
Si les comptes requis ne sont pas fournis avec l’autorisation d’ouverture de session au service, monitoringhost.exe ne s’exécute pas sous ces comptes. Cela signifie que certains flux de travail, tels que le contrat SLA/SLO, ne s’exécutent pas. Dans ce cas, l’événement d’erreur suivant est enregistré dans le journal des événements Operations Manager :
Le service d’intégrité n’a pas pu se connecter au compte d’identification XXXXXXX pour le groupe d’administration XXXX, car il n’a pas reçu le *Se connecter en tant que service
Voici un exemple d’erreur :
Activer la connexion au service via une stratégie de groupe locale
Procédez comme suit :
Connectez-vous avec des privilèges d’administrateur à l’ordinateur à partir duquel vous souhaitez fournir l’autorisation Ouvrir une session en tant que service aux comptes.
Accédez à Outils d’administration et sélectionnez Stratégie de sécurité locale.
Développez Stratégie locale , puis sélectionnez Attribution de droits utilisateur. Dans le volet de droite, cliquez avec le bouton droit sur Se connecter en tant que service, puis sélectionnez Propriétés.
Sélectionnez l’option Ajouter un utilisateur ou un groupe pour ajouter le nouvel utilisateur.
Dans la boîte de dialogue Sélectionner des utilisateurs ou des groupes , recherchez l’utilisateur que vous souhaitez ajouter, puis sélectionnez OK.
Sélectionnez OK dans les propriétés Se connecter en tant que service pour enregistrer les modifications.
Modifier le type d’ouverture de session à partir d’une valeur par défaut
Le type d’ouverture de session par défaut est Journal du service activé. Après une nouvelle installation de SM ou une mise à niveau, le type d’ouverture de session est Connexion au service, par défaut.
Vous pouvez modifier le type d’ouverture de session par défaut en procédant comme suit :
Connectez-vous avec des privilèges d’administrateur à l’ordinateur à partir duquel vous souhaitez fournir l’autorisation Ouvrir une session en tant que service aux comptes.
Exécuter gpedit.msc
Sous Configuration de l’ordinateur, développez Modèles d’administration.
Sélectionnez System Center – Operations Manager.
Cliquez avec le bouton droit sur Type d’ouverture de compte d’action de surveillance, sélectionnez Modifier, puis Sélectionnez Activé.
Choisissez Type de connexion dans le menu déroulant.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour