次の方法で共有

サービス ログオンを有効にする

  • [アーティクル]

セキュリティのベスト プラクティスは、サービス アカウントに対して対話型セッションとリモート対話型セッションを無効にすることです。 組織全体のセキュリティ チームは、資格情報の盗難や関連する攻撃を防ぐために、このベスト プラクティスを適用するための厳格な制御を持っています。

System Center - Service Manager (SM) では、サービス アカウントのセキュリティ強化がサポートされており、SM のサポートに必要な複数のアカウントに対してローカルでのログオンを許可するユーザー権限を付与する必要はありません。

SM 管理サーバーとデータ ウェアハウス管理サーバーで使用される次のアカウントにサービス ログオンアクセス許可を提供する必要があります。

Service Manager サービス アカウント: このアカウントは、System Center Data Access Service および System Center Management Configuration サービスに使用されます。

このアカウントには、サービス ログオンアクセス許可が必要です。

Service Manager ワークフロー アカウント このアカウントは、MonitoringHost.exe プロセスを実行するために使用されます (すべてのワークフローが実行されます)。 このアカウントには、サービス ログオンアクセス許可が必要です。

Note

さまざまな SM コネクタ (AD、OM、SCO、CM、VMM、Exchange コネクタ) で使用されるアカウントにサービス ログオンアクセス許可を付与することをお勧めします。 サービス レポート アカウントと Analysis Services アカウントには、サービス ログオンアクセス許可は必要ありません。

サービス ログオンを有効にするには

ドメイン ポリシーまたはローカル グループ ポリシーを使用して、サービス ログオンアクセス許可を付与できます。

ドメイン ポリシーの使用を有効にするには、管理者に問い合わせてください。 ローカル グループ ポリシーを使用するには、「ローカル グループ ポリシーを使用してサービスを有効にする」のセクションを参照してください。

サービス ログオンアクセス許可が必要なアカウントを特定する

必要なアカウントにサービス ログオンアクセス許可が付与されていない場合、 monitoringhost.exe はそれらのアカウントでは実行されません。 つまり、SLA/SLO などの一部のワークフローは実行されません。 このような場合は、Operations Manager イベント ログに次のエラー イベントが記録されます。

管理グループ XXXX の RunAs アカウント XXXXXXX にログオンできませんでした。これは、*サービスとしてのログオンが許可されていないためです

エラーの例を次に示します。

サービス ログオンアクセス許可が必要なアカウントを特定するスクリーンショット。

ローカル グループ ポリシーを使用してサービス ログオンを有効にする

次の手順のようにします。

  1. アカウントに [サービスとしてログオン ] アクセス許可を付与するコンピューターに管理者特権でサインインします。

  2. [管理ツール] に移動し、[ローカル セキュリティ ポリシー] を選択します。

  3. [ ローカル ポリシー] を 展開し、[ ユーザー権利の割り当て] を選択します。 右側のウィンドウで、[サービスとしてログオンする] を右クリックし、[プロパティ] を選択します。

  4. [ユーザーの追加] または [グループ] オプションを選択して、新しいユーザーを追加します。

  5. [ユーザーまたはグループ選択] ダイアログで、追加するユーザーを見つけて、[OK] を選択します

  6. [サービスとしてログオン] の [プロパティ] で [OK] を選択して、変更を保存します。

    サービス ログオンアクセス許可の有効化を示すスクリーンショット。

既定値からログオンの種類を変更する

既定のログオンの種類は [サービス ログオン] です。 SM の新規インストールまたはアップグレード後、ログオンの種類は既定でサービス ログオンになります。

既定のログオンの種類は、次の手順を使用して変更できます。

  1. アカウントに [サービスとしてログオン ] アクセス許可を付与するコンピューターに管理者特権でサインインします。

  2. gpedit.msc を実行する

  3. [ コンピューターの構成] で、[ 管理用テンプレート] を展開します

  4. [ System Center – Operations Manager] を選択します

  5. [ 監視アクション アカウントのログオンの種類] を右クリックし、[ 編集] を選択して、[ 有効] を選択します。

  6. ドロップダウン メニューから [ ログオンの種類] を選択します。

    サービスログオン権限の変更を示すスクリーンショット。