Włączanie logowania usługi dla kont Uruchom jako
Najlepszym rozwiązaniem w zakresie zabezpieczeń jest wyłączenie interakcyjnych i zdalnych sesji interakcyjnych dla kont usług. Zespoły ds. zabezpieczeń w organizacjach mają ścisłe mechanizmy kontroli w celu wymuszenia tego najlepszego rozwiązania w celu zapobiegania kradzieży poświadczeń i skojarzonych ataków.
Program System Center Operations Manager obsługuje wzmacnianie zabezpieczeń kont usług i nie wymaga udzielenia uprawnienia Zezwalaj na logowanie lokalne dla kilku kont wymaganych w obsłudze programu Operations Manager.
Wcześniejsza wersja programu Operations Manager ma ustawienie Zezwalaj na logowanie lokalne jako domyślny typ logowania. Program Operations Manager domyślnie używa logowania usługi . Prowadzi to do następujących zmian:
- Usługa kondycji domyślnie używa typu usługa logowania. W przypadku programu Operations Manager 1807 i starszych wersji była to wersja Interactive.
- Konta akcji i konta usług programu Operations Manager mają teraz uprawnienia Logowanie jako usługa .
- Konta akcji i konta Uruchom jako muszą mieć uprawnienie Logowanie jako usługa , aby można było wykonać MonitoringHost.exe. Dowiedz się więcej.
Zmiany kont akcji programu Operations Manager
Podczas instalacji programu Operations Manager i podczas uaktualniania z poprzednich wersji otrzymuje się następujące konta:
Konto działania serwera zarządzania
Konta usługi konfiguracji programu System Center i konta usługi dostępu do danych programu System Center
Konto działania agenta
Konto zapisu w magazynie danych
Konto czytnika danych
Po tej zmianie wszystkie konta Uruchom jako utworzone przez administratorów programu Operations Manager dla pakietów administracyjnych (MPS) wymagają prawa logowania jako usługi , które administratorzy powinni udzielić.
Wyświetlanie typu logowania dla serwerów zarządzania i agentów
Typ logowania dla serwerów zarządzania i agentów można wyświetlić w konsoli programu Operations Manager.
Aby wyświetlić typ logowania dla serwerów zarządzania, przejdź do pozycji Administracja>Serwery zarządzania produktami>programu Operations Manager.
Aby wyświetlić typ logowania dla agentów, przejdź do obszaru Administracja>Agentów produktów >programu Operations Manager.
Uwaga
Agent/brama, która nie została jeszcze uaktualniona, wyświetl pozycję Zaloguj się jako usługa w konsoli. Po uaktualnieniu agenta/bramy zostanie wyświetlony bieżący typ logowania.
Włączanie uprawnień logowania do usługi dla kont Uruchom jako
Wykonaj następujące kroki:
Zaloguj się przy użyciu uprawnień administratora na komputerze, z którego chcesz podać uprawnienia Logowanie jako usługa do kont Uruchom jako.
Przejdź do pozycji Narzędzia administracyjne i wybierz pozycję Zasady zabezpieczeń lokalnych.
Rozwiń węzeł Zasady lokalne i wybierz pozycję Przypisanie praw użytkownika.
W okienku po prawej stronie kliknij prawym przyciskiem myszy pozycję Zaloguj jako usługę i wybierz pozycję Właściwości.
Wybierz opcję Dodaj użytkownika lub grupę , aby dodać nowego użytkownika.
W oknie dialogowym Wybieranie użytkowników lub grup znajdź użytkownika, którego chcesz dodać, i wybierz przycisk OK.
Wybierz przycisk OK w obszarze Logowanie jako usługa Właściwości , aby zapisać zmiany.
Uwaga
Jeśli uaktualniasz program Operations Manager 2019 z poprzedniej wersji lub instalujesz nowe środowisko programu Operations Manager 2019, wykonaj powyższe kroki, aby podać uprawnienie Logowanie jako usługa do kont Uruchom jako.
Uwaga
Jeśli uaktualniasz program Operations Manager 2022 z poprzedniej wersji lub instalujesz nowe środowisko programu Operations Manager 2022, wykonaj powyższe kroki, aby podać uprawnienie Logowanie jako usługa do kont Uruchom jako.
Zmienianie typu logowania dla usługi kondycji
Jeśli musisz zmienić typ logowania usługi kondycji programu Operations Manager na Zezwalaj na logowanie lokalne, skonfiguruj ustawienie zasad zabezpieczeń na urządzeniu lokalnym przy użyciu konsoli zasady zabezpieczeń lokalnych.
Oto przykład:
Współistnienie z agentem programu Operations Manager 2016
W przypadku zmiany typu logowania wprowadzonej w programie Operations Manager 2019 agent programu Operations Manager 2016 może współistnieć i współpracować bez żadnych problemów. Istnieje jednak kilka scenariuszy, na które ma wpływ ta zmiana:
- Instalacja wypychana agenta z konsoli programu Operations Manager wymaga konta z uprawnieniami administracyjnymi i uprawnieniami logowania jako usługi bezpośrednio na komputerze docelowym.
- Konto działania serwera zarządzania programu Operations Manager wymaga uprawnień administracyjnych na serwerach zarządzania na potrzeby monitorowania Service Manager.
Rozwiązywanie problemów
Jeśli którekolwiek z kont Uruchom jako ma wymagane uprawnienie Logowanie jako usługa , zostanie wyświetlony alert krytyczny oparty na monitorze. Ten alert wyświetla szczegółowe informacje o koncie Uruchom jako, które nie ma uprawnienia Logowanie jako usługa .
Na komputerze agenta otwórz Podgląd zdarzeń. W dzienniku programu Operations Manager wyszukaj identyfikator zdarzenia 7002, aby wyświetlić szczegółowe informacje o kontach Uruchom jako, które wymagają uprawnienia Logowanie jako usługa .
| Parametr | Komunikat |
|---|---|
| Nazwa alertu | Konto Uruchom jako nie ma żądanego typu logowania. |
| Opis alertu | Konto Uruchom jako musi mieć żądany typ logowania. |
| Kontekst alertu | Usługa kondycji nie mogła się zalogować, ponieważ konto Uruchom jako dla grupy zarządzania (nazwa grupy) nie otrzymało uprawnienia Logowanie jako usługa . |
| Monitor | (dodaj nazwę monitora) |
Podaj uprawnienie Zaloguj się jako usługa do odpowiednich kont Uruchom jako, które są identyfikowane w zdarzeniu 7002. Po podaniu uprawnienia zostanie wyświetlony identyfikator zdarzenia 7028 i monitor zmieni się w stan dobrej kondycji.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla