Włączanie logowania usługi dla kont Uruchom jako
Najlepszym rozwiązaniem w zakresie zabezpieczeń jest wyłączenie interakcyjnych i zdalnych sesji interakcyjnych dla kont usług. Zespoły ds. zabezpieczeń w organizacjach mają ścisłe mechanizmy kontroli, aby wymusić takie najlepsze rozwiązanie, aby zapobiec kradzieży poświadczeń i skojarzonych ataków.
Program System Center Operations Manager obsługuje wzmacnianie zabezpieczeń kont usług i nie wymaga udzielenia uprawnienia Zezwalaj na logowanie lokalne dla kilku kont wymaganych w obsłudze programu Operations Manager.
Wcześniejsza wersja programu Operations Manager ma ustawienie Zezwalaj na logowanie lokalne jako domyślny typ logowania. Program Operations Manager domyślnie używa dziennika usługi. Prowadzi to do następujących zmian:
- Usługa kondycji domyślnie używa dziennika typu Usługa . W przypadku programu Operations Manager 2016 była to wersja Interactive.
- Konta akcji programu Operations Manager i konta usług mają teraz uprawnienie Logowanie jako usługa .
- Konta akcji i konta Uruchom jako muszą mieć uprawnienie Logowanie jako usługa , aby można było wykonać MonitoringHost.exe. Dowiedz się więcej.
Zmiany kont akcji programu Operations Manager
Podczas instalacji programu Operations Manager i podczas uaktualniania z poprzednich wersji są przyznawane następujące konta:
Konto działania serwera zarządzania
Konta usługi konfiguracji programu System Center i konta usługi dostępu do danych programu System Center
Konto działania agenta
Konto zapisu magazynu danych
Konto czytelnika danych
Po tej zmianie wszystkie konta Uruchom jako utworzone przez administratorów programu Operations Manager dla pakietów administracyjnych (deputowanych) wymagają prawa logowania jako usługi , które administratorzy powinni udzielić.
Wyświetlanie typu logowania dla serwerów zarządzania i agentów
Typ logowania dla serwerów zarządzania i agentów można wyświetlić w konsoli programu Operations Manager.
Aby wyświetlić typ logowania dla serwerów zarządzania, przejdź do pozycji Administracja>Serwery zarządzania produktami>programu Operations Manager.
Aby wyświetlić typ logowania dla agentów, przejdź do pozycji Administracja>Agenty produktów>programu Operations Manager.
Uwaga
Agent/brama, która nie została jeszcze uaktualniona, wyświetl pozycję Zaloguj się jako usługa w konsoli programu . Po uaktualnieniu agenta/bramy zostanie wyświetlony bieżący typ logowania.
Włączanie uprawnień logowania do usługi dla kont Uruchom jako
Wykonaj te kroki:
Zaloguj się przy użyciu uprawnień administratora na komputerze, z którego chcesz podać uprawnienie Zaloguj się jako usługa do kont Uruchom jako.
Przejdź do pozycji Narzędzia administracyjne i wybierz pozycję Zasady zabezpieczeń lokalnych.
Rozwiń węzeł Zasady lokalne i wybierz pozycję Przypisanie praw użytkownika.
W okienku po prawej stronie kliknij prawym przyciskiem myszy pozycję Zaloguj się jako usługa i wybierz pozycję Właściwości.
Wybierz opcję Dodaj użytkownika lub grupę , aby dodać nowego użytkownika.
W oknie dialogowym Wybieranie użytkowników lub grup znajdź użytkownika, który chcesz dodać, i wybierz przycisk OK.
Wybierz przycisk OK w obszarze Logowanie jako usługa Właściwości , aby zapisać zmiany.
Uwaga
Jeśli uaktualniasz program Operations Manager 2019 z poprzedniej wersji lub instalujesz nowe środowisko programu Operations Manager 2019, wykonaj powyższe kroki, aby podać uprawnienie Logowanie jako usługa do kont Uruchom jako.
Uwaga
Jeśli uaktualniasz program Operations Manager 2022 z poprzedniej wersji lub instalujesz nowe środowisko programu Operations Manager 2022, wykonaj powyższe kroki, aby podać uprawnienie Logowanie jako usługa do kont Uruchom jako.
Uwaga
Jeśli uaktualniasz program Operations Manager 2025 z poprzedniej wersji lub instalujesz nowe środowisko programu Operations Manager 2025, wykonaj powyższe kroki, aby podać uprawnienie Logowanie jako usługa do kont Uruchom jako.
Zmienianie typu logowania dla usługi kondycji
Jeśli musisz zmienić typ usługi kondycji programu Operations Manager na zezwalanie na logowanie lokalne, skonfiguruj ustawienie zasad zabezpieczeń na urządzeniu lokalnym przy użyciu konsoli Zasady zabezpieczeń lokalnych.
Oto przykład:
Współistnienie z agentem programu Operations Manager 2016
Po zmianie typu logowania wprowadzonej w programie Operations Manager 2019 agent programu Operations Manager 2016 może współistnieć i współpracować bez żadnych problemów. Istnieje jednak kilka scenariuszy, na które ma wpływ ta zmiana:
- Instalacja wypychana agenta z konsoli programu Operations Manager wymaga konta z uprawnieniami administracyjnymi i logowania jako usługi bezpośrednio na komputerze docelowym.
- Konto działania serwera zarządzania programu Operations Manager wymaga uprawnień administracyjnych na serwerach zarządzania na potrzeby monitorowania programu Service Manager.
Rozwiązywanie problemów
Jeśli którekolwiek z kont Uruchom jako ma wymagane uprawnienie Logowanie jako usługa , zostanie wyświetlony alert oparty na krytycznym monitorze. Ten alert wyświetla szczegóły konta Uruchom jako, które nie ma uprawnienia Logowanie jako usługa .
Na komputerze agenta otwórz Podgląd zdarzeń. W dzienniku programu Operations Manager wyszukaj identyfikator zdarzenia 7002, aby wyświetlić szczegółowe informacje o kontach Uruchom jako, które wymagają uprawnień Logowania jako usługa .
| Parametr | Komunikat |
|---|---|
| Nazwa alertu | Konto Uruchom jako nie ma żądanego typu logowania. |
| Opis alertu | Konto Uruchom jako musi mieć żądany typ logowania. |
| Kontekst alertu | Usługa kondycji nie można się zalogować, ponieważ konto Uruchom jako dla grupy zarządzania (nazwa grupy) nie zostało przyznane Zaloguj się jako uprawnienie usługi. |
| Monitor | (dodaj nazwę monitora) |
Podaj uprawnienie Logowanie jako usługa do odpowiednich kont Uruchom jako, które są identyfikowane w zdarzeniu 7002. Po podaniu uprawnienia zostanie wyświetlony identyfikator zdarzenia 7028 i monitor zmieni się w stan dobrej kondycji.
