Partager via

Activer l’ouverture de session du service

  • Article

La meilleure pratique en matière de sécurité consiste à désactiver les sessions interactives interactives et distantes pour les comptes de service. Les équipes de sécurité au sein des organisations ont des contrôles stricts pour appliquer cette meilleure pratique pour empêcher le vol d’informations d’identification et les attaques associées.

System Center - Service Manager (SM) prend en charge le renforcement des comptes de service et n’exige pas l’octroi de l’autorisation d’ouverture de session locale pour plusieurs comptes, requis pour prendre en charge SM.

Vous devez fournir l’autorisation d’ouverture de session de service aux comptes suivants utilisés par le serveur d’administration SM et le serveur d’administration de l’entrepôt de données.

Compte de services Service Manager : ce compte est utilisé pour le service d’accès aux données System Center et le service de configuration de la gestion de System Center.

Ce compte nécessite une autorisation d’ouverture de session de service.

Compte de flux de travail Service Manager Ce compte est utilisé pour exécuter le processus MonitoringHost.exe (exécute tous les flux de travail). Ce compte nécessite une autorisation d’ouverture de session de service.

Remarque

Nous vous recommandons de fournir l’autorisation d’ouverture de session de service aux comptes utilisés par différents connecteurs SM (AD, OM, SCO, CM, VMM, connecteurs exchange). Les comptes de création de rapports de service et les comptes Analysis Services ne nécessitent pas d’autorisation d’ouverture de session de service.

Activer l’ouverture de session du service en tant que type de connexion

Vous pouvez accorder l’autorisation d’ouverture de session du service via une stratégie de domaine ou une stratégie de groupe locale.

Pour activer l’utilisation de la stratégie de domaine, contactez vos administrateurs. Pour utiliser la stratégie de groupe locale, consultez la section sur l’activation du service via une stratégie de groupe locale

Identifier les comptes qui ont besoin d’une autorisation d’ouverture de session de service

Si les comptes requis ne sont pas fournis avec l’autorisation d’ouverture de session du service, monitoringhost.exe ne s’exécute pas sous ces comptes. Cela signifie que certains flux de travail tels que SLA/SLO ne s’exécuteraient pas. Dans ce cas, l’événement d’erreur suivant est enregistré dans le journal des événements Operations Manager :

Le service d’intégrité n’a pas pu se connecter au compte RunAs XXXXXXX pour le groupe d’administration XXXX, car il n’a pas reçu le *Se connecter en tant que service

Voici un exemple d’erreur :

Capture d’écran de l’identification des comptes qui ont besoin d’une autorisation d’ouverture de session de service.

Activer l’ouverture de session de service via une stratégie de groupe locale

Effectuez les étapes suivantes :

  1. Connectez-vous avec des privilèges d’administrateur à l’ordinateur à partir duquel vous souhaitez fournir l’autorisation Se connecter en tant que service aux comptes.

  2. Accédez à Outils d’administration et sélectionnez Stratégie de sécurité locale.

  3. Développez la stratégie locale et sélectionnez Attribution des droits utilisateur. Dans le volet droit, cliquez avec le bouton droit sur Se connecter en tant que service , puis sélectionnez Propriétés.

  4. Sélectionnez Ajouter un utilisateur ou une option de groupe pour ajouter le nouvel utilisateur.

  5. Dans la boîte de dialogue Sélectionner des utilisateurs ou des groupes , recherchez l’utilisateur que vous souhaitez ajouter et sélectionnez OK.

  6. Sélectionnez OK dans les propriétés de connexion en tant que service pour enregistrer les modifications.

    Capture d’écran montrant l’activation de l’autorisation d’ouverture de session du service.

Modifier le type d’ouverture de session à partir d’une valeur par défaut

Le type d’ouverture de session par défaut est Service log on. Après la nouvelle installation de SM ou d’une mise à niveau, le type d’ouverture de session est connecté au service, par défaut.

Vous pouvez modifier le type d’ouverture de session par défaut en procédant comme suit :

  1. Connectez-vous avec des privilèges d’administrateur à l’ordinateur à partir duquel vous souhaitez fournir l’autorisation Se connecter en tant que service aux comptes.

  2. Exécuter gpedit.msc

  3. Sous Configuration de l’ordinateur, développez Modèles d’administration.

  4. Sélectionnez System Center – Operations Manager.

  5. Cliquez avec le bouton droit sur Type d’ouverture de session du compte d’action de surveillance, sélectionnez Modifier, puis Activez.

  6. Choisissez Type d’ouverture de session dans le menu déroulant.

    Capture d’écran montrant la modification de l’autorisation d’ouverture de session du service.