Serviceaanmelding inschakelen

De best practice voor beveiliging is om interactieve en externe interactieve sessies voor serviceaccounts uit te schakelen. Beveiligingsteams in organisaties hebben strikte controles om deze best practice af te dwingen om diefstal van referenties en bijbehorende aanvallen te voorkomen.

System Center : Service Manager (SM) ondersteunt beveiliging van serviceaccounts en vereist niet dat het gebruikersrecht Lokaal aanmelden toestaan voor meerdere accounts wordt verleend, vereist ter ondersteuning van SM.

U moet serviceaanmeldingsmachtigingen opgeven voor de volgende accounts die worden gebruikt door de SM-beheerserver en datawarehouse-beheerserver.

Service Manager-servicesaccount: dit account wordt gebruikt voor de System Center Data Access-service en de System Center Management Configuration-service.

Voor dit account is de aanmeldingsmachtiging van de service vereist.

Service Manager Werkstroomaccount Dit account wordt gebruikt om het MonitoringHost.exe proces uit te voeren (alle werkstromen worden uitgevoerd). Voor dit account is de aanmeldingsmachtiging van de service vereist.

Notitie

We raden u aan om serviceaanmeldingsmachtigingen te verlenen voor de accounts die worden gebruikt door verschillende SM-connectors (AD, OM, SCO, CM, VMM, exchange-connectors). Voor servicerapportageaccounts en Analysis Services-accounts is geen serviceaanmeldingsmachtiging vereist.

Serviceaanmelding inschakelen

U kunt serviceaanmeldingsmachtigingen verlenen via een domeinbeleid of een lokaal groepsbeleid.

Neem contact op met uw beheerders om het gebruik van domeinbeleid in te schakelen. Als u lokaal groepsbeleid wilt gebruiken, raadpleegt u de sectie over het inschakelen van service via een lokaal groepsbeleid

De accounts identificeren waarvoor serviceaanmeldingsmachtigingen nodig zijn

Als vereiste accounts niet zijn voorzien van serviceaanmeldingsmachtigingen, wordt monitoringhost.exe niet uitgevoerd onder deze accounts. Wat betekent dat sommige werkstromen, zoals SLA/SLO, niet worden uitgevoerd. In dat geval wordt de volgende foutgebeurtenis vastgelegd in het Operations Manager-gebeurtenislogboek:

De Health-service kan zich niet aanmelden bij het RunAs-account XXXXXXX voor beheergroep XXXX omdat er geen *Aanmelden als een service aan is toegewezen

Hier volgt een voorbeeldfout:

Service-aanmelding via een lokaal groepsbeleid inschakelen

Volg deze stappen:

1. Meld u met beheerdersbevoegdheden aan op de computer van waaruit u de machtiging Aanmelden als service wilt opgeven voor accounts.

2. Ga naar Systeembeheer en selecteer Lokaal beveiligingsbeleid.

3. Vouw Lokaal beleid uit en selecteer Toewijzing van gebruikersrechten. Klik in het rechterdeelvenster met de rechtermuisknop op Aanmelden als een service en selecteer Eigenschappen.

4. Selecteer de optie Gebruiker of groep toevoegen om de nieuwe gebruiker toe te voegen.

5. Zoek in het dialoogvenster Gebruikers of groepen selecteren de gebruiker die u wilt toevoegen en selecteer OK.

6. Selecteer OK in de Eigenschappen van aanmelden als een service om de wijzigingen op te slaan.

   

Aanmeldingstype wijzigen van een standaardwaarde

Standaardaanmeldingstype is Serviceaanmelding. Na een nieuwe installatie van SM of een upgrade is het aanmeldingstype standaard Serviceaanmelding.

U kunt het standaard aanmeldingstype wijzigen door de volgende stappen uit te voeren:

1. Meld u met beheerdersbevoegdheden aan op de computer van waaruit u de machtiging Aanmelden als service wilt opgeven voor accounts.

2. Voer gpedit.msc uit

3. Vouw onder Computerconfiguratiede optie Beheersjablonen uit.

4. Selecteer System Center – Operations Manager.

5. Klik met de rechtermuisknop op Aanmeldingstype bewakingsactieaccount, selecteer Bewerken en selecteer Ingeschakeld.

6. Kies Aanmeldingstype in de vervolgkeuzelijst.