Habilitar o Logon de Serviço para contas executar como
A prática recomendada de segurança é desabilitar sessões interativas e interativas remotas para contas de serviço. As equipes de segurança em todas as organizações têm controles rígidos para aplicar essa prática recomendada para evitar roubo de credenciais e ataques associados.
O System Center Operations Manager dá suporte à proteção de contas de serviço e não exige a concessão do direito de usuário Permitir logon localmente para várias contas necessárias para dar suporte ao Operations Manager.
A versão anterior do Operations Managers tem Permitir logon localmente como o tipo de logon padrão. O Operations Manager usa Logon de Serviço por padrão. Isso leva às seguintes alterações:
- O serviço de integridade usa o tipo de logon Serviço por padrão. Para a versão 2016 do Operations Manager, era Interativo.
- As contas de ação e as contas de serviço do Operations Manager agora têm permissão de logon como serviço .
- As contas de ação e as contas Executar como devem ter permissão de logon como serviço para executar MonitoringHost.exe. Saiba mais.
Alterações nas contas de ação do Operations Manager
As seguintes contas recebem permissão de logon como serviço durante a instalação do Operations Manager e durante a atualização das versões anteriores:
Conta de Ação do Servidor de Gerenciamento
Serviço de configuração do System Center e contas de serviço de acesso a dados do System Center
Conta de ação do agente
Conta de Gravação do Data Warehouse
Conta do Leitor de Dados
Após essa alteração, todas as contas Executar como criadas pelos administradores do Operations Manager para os MPs (pacotes de gerenciamento) exigem o direito Fazer logon como serviço , que os administradores devem conceder.
Exibir o tipo de logon para servidores e agentes de gerenciamento
Você pode exibir o tipo de logon para servidores e agentes de gerenciamento no console do Operations Manager.
Para exibir o tipo de logon para servidores de gerenciamento, acesse Servidores de gerenciamento de produtos>do Administration>Operations Manager.
Para exibir o tipo de logon dos agentes, acesse Agentes de Produtos>do Administration>Operations Manager.
Observação
Agente/gateway que ainda não foi atualizado, exibe o tipo de logon como Serviço no console. Depois que o agente/gateway for atualizado, o tipo de logon atual será exibido.
Habilitar a permissão de logon de serviço para contas Executar como
Siga estas etapas:
Entre com privilégios de administrador no computador do qual você deseja fornecer permissão de logon como serviço para uma conta Executar como.
Vá para Ferramentas Administrativas e selecione Política de Segurança Local.
Expanda Política Local e selecione Atribuição de Direitos de Usuário.
No painel direito, clique com o botão direito do mouse em Fazer logon como um serviço e selecione Propriedades.
Selecione a opção Adicionar usuário ou grupo para adicionar o novo usuário.
Na caixa de diálogo Selecionar usuários ou grupos, localize o usuário que deseja adicionar e selecione OK.
Selecione OK nas Propriedades de logon como serviço para salvar as alterações.
Observação
Se você estiver atualizando para o Operations Manager 2019 de uma versão anterior ou instalando um novo ambiente do Operations Manager 2019, siga as etapas acima para fornecer permissão de logon como serviço para contas Executar como.
Observação
Se você estiver atualizando para o Operations Manager 2022 de uma versão anterior ou instalando um novo ambiente do Operations Manager 2022, siga as etapas acima para fornecer permissão de logon como serviço para contas Executar como.
Tipo de logon de alterações para um serviço de integridade
Se você precisar alterar o tipo de logon do serviço de integridade do Operations Manager para Permitir logon localmente, defina a configuração da política de segurança no dispositivo local usando o console da Política de Segurança Local.
Veja um exemplo:
Coexistência com o agente do Operations Manager 2016
Com a alteração do tipo de logon introduzida no Operations Manager 2019, o agente do Operations Manager 2016 pode coexistir e interoperar sem problemas. No entanto, há alguns cenários afetados por essa alteração:
- A instalação por push do agente do console do Operations Manager requer uma conta que tenha privilégios administrativos e o direito Fazer logon como um serviço no computador de destino.
- A conta de ação do Servidor de Gerenciamento do Operations Manager requer privilégios administrativos em servidores de gerenciamento para monitorar Service Manager.
Solução de problemas
Se qualquer uma das contas Executar como tiver a permissão Fazer logon como serviço necessária, um alerta crítico baseado em monitor será exibido. Esse alerta exibe os detalhes da conta Executar como, que não tem permissão Fazer logon como serviço .
No computador do agente, abra o Visualizador de Eventos. No log do Operations Manager, procure a ID de evento 7002 exibir os detalhes sobre as contas Executar Como que requerem a permissão Fazer logon como um serviço.
| Parâmetro | Mensagem |
|---|---|
| Nome do alerta | A conta Executar como não tem o tipo de logon solicitado. |
| Descrição do alerta | A conta Executar como deve ter o tipo de logon solicitado. |
| Contexto do Alerta | O Serviço de Integridade não pôde fazer logon, pois a conta Executar como para o grupo de gerenciamento (nome do grupo) não recebeu a permissão Fazer logon como um serviço . |
| Monitor | (adicionar nome do monitor) |
Forneça a permissão Fazer logon como serviço para as contas Executar como aplicáveis, que são identificadas no evento 7002. Depois de fornecer a permissão, a ID do evento 7028 será exibida e o monitor mudará para o estado íntegro.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de