Abilitare l'accesso al servizio per gli account RunAs
La procedura consigliata per la sicurezza consiste nel disabilitare sessioni interattive e remote per gli account del servizio. I team di sicurezza in tutte le organizzazioni hanno controlli rigorosi per applicare questa procedura consigliata per evitare il furto di credenziali e gli attacchi associati.
System Center Operations Manager supporta la protezione avanzata degli account di servizio e non richiede la concessione del diritto Consenti accesso locale per diversi account necessari per il supporto di Operations Manager.
Nella versione precedente di Operations Manager è consentito l'accesso locale come tipo di accesso predefinito. Operations Manager usa l'accesso al servizio per impostazione predefinita. Ciò comporta le modifiche seguenti:
- Il servizio integrità usa il tipo di accesso Service per impostazione predefinita. Per La versione di Operations Manager 2016 era Interactive.
- Gli account azione e gli account di servizio di Operations Manager dispongono ora dell'autorizzazione Accesso come servizio .
- Gli account azione e gli account RunAs devono disporre dell'autorizzazione Accesso come servizio per eseguire MonitoringHost.exe. Altre informazioni.
Modifiche agli account azione di Operations Manager
Durante l'installazione di Operations Manager e durante l'aggiornamento dalle versioni precedenti vengono concessi gli account seguenti:
Account azione del server di gestione
Servizio di configurazione di System Center e account del servizio di accesso ai dati di System Center
Account azione agente
Account scrittura data warehouse
Account lettore dati
Dopo questa modifica, gli account RunAs creati dagli amministratori di Operations Manager per i Management Pack richiedono il diritto Accedi come servizio , che gli amministratori devono concedere.
Visualizzare il tipo di accesso per server e agenti di gestione
È possibile visualizzare il tipo di accesso per server di gestione e agenti dalla console di Operations Manager.
Per visualizzare il tipo di accesso per i server di gestione, passare a Amministrazione dei>server di gestione prodotti>di Operations Manager.
Per visualizzare il tipo di accesso per gli agenti, passare ad Amministrazione agenti>prodotti> Operations Manager.
Nota
Agente/gateway non ancora aggiornato, visualizzare Tipo di accesso come Servizio nella console. Dopo l'aggiornamento dell'agente/gateway, verrà visualizzato il tipo di accesso corrente.
Abilitare l'autorizzazione di accesso al servizio per gli account RunAs
Seguire questa procedura:
Accedere con privilegi di amministratore al computer da cui si vuole fornire l'autorizzazione Accesso come servizio a un account RunAs.
Passare a Strumenti di amministrazione e selezionare Criteri di sicurezza locali.
Espandere Criteri locali e selezionare Assegnazione diritti utente.
Nel riquadro destro fare clic con il pulsante destro del mouse su Accedi come servizio e scegliere Proprietà.
Selezionare l'opzione Aggiungi utente o gruppo per aggiungere il nuovo utente.
Nella finestra di dialogo Seleziona utenti o gruppi trovare l'utente da aggiungere e selezionare OK.
Selezionare OK in Proprietà accesso come servizio per salvare le modifiche.
Nota
Se si esegue l'aggiornamento a Operations Manager 2019 da una versione precedente o si installa un nuovo ambiente Operations Manager 2019, seguire la procedura precedente per fornire l'autorizzazione Accesso come servizio per gli account RunAs.
Nota
Se si esegue l'aggiornamento a Operations Manager 2022 da una versione precedente o si installa un nuovo ambiente Operations Manager 2022, seguire la procedura precedente per fornire l'autorizzazione Accesso come servizio per gli account RunAs.
Modificare il tipo di accesso per un servizio integrità
Se è necessario modificare il tipo di accesso del servizio integrità di Operations Manager in Consenti accesso in locale, configurare l'impostazione dei criteri di sicurezza nel dispositivo locale usando la console Criteri di sicurezza locali.
Ecco un esempio:
Coesistenza con l'agente di Operations Manager 2016
Con la modifica del tipo di accesso introdotta in Operations Manager 2019, l'agente di Operations Manager 2016 può coesistere e interagire senza problemi. Esistono tuttavia alcuni scenari interessati da questa modifica:
- L'installazione push dell'agente dalla console di Operations Manager richiede un account con privilegi amministrativi e accesso come servizio direttamente nel computer di destinazione.
- L'account azione di Operations Manager Management Server richiede privilegi amministrativi nei server di gestione per il monitoraggio di Service Manager.
Risoluzione dei problemi
Se uno degli account Runas dispone dell'autorizzazione Di accesso come servizio necessaria, viene visualizzato un avviso critico basato sul monitoraggio. Questo avviso visualizza i dettagli dell'account RunAs, che non dispone dell'autorizzazione Accesso come servizio .
Nel computer agente aprire Visualizzatore eventi. Nel log di Operations Manager cercare l'ID evento 7002 per visualizzare i dettagli sugli account RunAs che richiedono l'autorizzazione Accesso come servizio .
| Parametro | Message |
|---|---|
| Nome avviso | L'account RunAs non ha richiesto il tipo di accesso. |
| Descrizione avviso | L'account RunAs deve avere il tipo di accesso richiesto. |
| Contesto avviso | Servizio integrità non è stato possibile accedere perché non è stato concesso l'account RunAs per il gruppo di gestione (nome gruppo)Accedere come autorizzazione del servizio. |
| Monitoraggio | (aggiungere il nome del monitoraggio) |
Specificare l'autorizzazione Accesso come servizio per gli account RunAs applicabili, identificati nell'evento 7002. Dopo aver fornito l'autorizzazione, viene visualizzato l'ID evento 7028 e il monitoraggio passa allo stato integro.
