서비스 로그온 사용

보안 모범 사례는 서비스 계정에 대해 대화형 및 원격 대화형 세션을 사용하지 않도록 설정하는 것입니다. 조직 전체의 보안 팀은 자격 증명 도난 및 관련 공격을 방지하기 위해 이 모범 사례를 적용하기 위한 엄격한 제어를 가지고 있습니다.

System Center - SM(Service Manager)은 서비스 계정의 강화를 지원하며 SM을 지원하는 데 필요한 여러 계정에 대해 로컬로 로그온 허용 사용자 권한을 부여할 필요가 없습니다.

SM 관리 서버 및 데이터 웨어하우스 관리 서버에서 사용하는 다음 계정에 서비스 로그온 권한을 제공해야 합니다.

Service Manager Services 계정: 이 계정은 System Center Data Access Service 및 System Center 관리 구성 서비스에 사용됩니다.

이 계정에는 서비스 로그온 권한이 필요합니다.

Service Manager 워크플로 계정 이 계정은 MonitoringHost.exe 프로세스를 실행하는 데 사용됩니다(모든 워크플로 실행). 이 계정에는 서비스 로그온 권한이 필요합니다.

참고

다양한 SM 커넥터(AD, OM, SCO, CM, VMM, 교환 커넥터)에서 사용하는 계정에 서비스 로그온 권한을 제공하는 것이 좋습니다. 서비스 보고 계정 및 분석 서비스 계정에는 서비스 로그온 권한이 필요하지 않습니다.

서비스 로그온을 사용하도록 설정하려면

도메인 정책 또는 로컬 그룹 정책을 통해 서비스 로그온 권한을 부여할 수 있습니다.

도메인 정책을 사용하도록 설정하려면 관리자에게 문의하세요. 로컬 그룹 정책을 사용하려면 로컬 그룹 정책을 통해 서비스 사용 섹션을 참조하세요.

서비스 로그온 권한이 필요한 계정 식별

필요한 계정에 서비스 로그온 권한이 제공되지 않으면 monitoringhost.exe 해당 계정에서 실행되지 않습니다. 즉, SLA/SLO와 같은 일부 워크플로는 실행되지 않습니다. 이러한 경우 다음 오류 이벤트가 Operations Manager 이벤트 로그에 기록됩니다.

상태 서비스에서 관리 그룹 XXXX에 대한 실행 계정 XXXXXXX에 로그온할 수 없습니다. *서비스로 로그온이 부여되지 않았기 때문입니다.

다음은 샘플 경고입니다.

로컬 그룹 정책을 통해 서비스 로그온 사용

다음 단계를 수행합니다.

1. 계정에 서비스로 로그온 권한을 제공하려는 컴퓨터에 관리자 권한으로 로그인합니다.

2. 관리 도구로 이동하여 로컬 보안 정책을 선택합니다.

3. 로컬 정책을 확장하고 사용자 권한 할당을 선택합니다. 오른쪽 창에서 마우스 오른쪽 단추로 서비스로 로그온을 클릭하고, 속성을 선택합니다.

4. 사용자 추가 또는 그룹 옵션을 선택하여 새 사용자를 추가합니다.

5. 사용자 또는 그룹선택 대화 상자에서 추가할 사용자를 찾고 확인을 선택합니다.

6. 서비스로 로그온 속성에서 확인을 선택하여 변경 내용을 저장합니다.

   

기본값에서 로그온 유형 변경

기본 로그온 유형은 서비스 로그온입니다. SM 또는 업그레이드를 새로 설치한 후 로그온 유형은 기본적으로 서비스 로그온이 됩니다.

다음 단계를 사용하여 기본 로그온 유형을 변경할 수 있습니다.

1. 계정에 서비스로 로그온 권한을 제공하려는 컴퓨터에 관리자 권한으로 로그인합니다.

2. gpedit.msc 실행

3. 컴퓨터 구성에서 관리 템플릿을 확장합니다.

4. System Center – Operations Manager를 선택합니다.

5. 모니터링 작업 계정 로그온 유형을 마우스 오른쪽 단추로 클릭하고 편집을 선택한 다음 사용을 선택합니다.

6. 드롭다운 메뉴에서 로그온 유형을 선택합니다.