Compartilhar via


Habilitar o logon de serviço para contas 'Executar Como'

A prática recomendada de segurança é desabilitar sessões interativas e interativas remotas para contas de serviço. As equipes de segurança em todas as organizações têm controles rígidos para aplicar essa prática recomendada para evitar roubo de credenciais e ataques associados.

O System Center Operations Manager oferece suporte à proteção de contas de serviço e não requer a concessão do direito de usuário Permitir logon localmente para várias contas, necessária no suporte do Operations Manager.

A versão anterior do Operations Manager permite Permitir logon localmente como tipo padrão de logon. O Operations Manager usa Logon de Serviço por padrão. Isso leva às seguintes alterações:

  • O serviço de saúde usa o logon do tipo Serviço por padrão. Para a versão 2016 do Operations Manager, era Interativo.
  • As contas de ação e as contas de serviço do Operations Manager agora têm permissão para logar como um serviço.
  • As contas de ação e as contas Run As devem ter Logon como Serviço permissão para executar MonitoringHost.exe. Saiba mais.

Alterações nas contas de ação do Operations Manager

A permissão para Fazer logon como um serviço é concedida às seguintes contas durante a instalação do Operations Manager e durante a atualização das versões anteriores:

  • Conta de ação do servidor de gerenciamento

  • Serviço de configuração do System Center e contas de serviço de acesso a dados do System Center

  • Conta de ação do agente

  • Conta de Gravação do Data Warehouse

  • Conta do Leitor de Dados

    Captura de tela da configuração de segurança local.

Após essa alteração, todas as contas de Executar Como criadas pelos administradores do Operations Manager para os MPs (pacotes de gerenciamento) exigem a permissão de Fazer logon como serviço, que deve ser concedida pelos administradores.

Exibir o tipo de logon para servidores e agentes de gerenciamento

Você pode exibir o tipo de logon para servidores e agentes de gerenciamento no console do Operations Manager.

Para exibir o tipo de logon para servidores de gerenciamento, acesse Administração>Produtos do Operations Manager>Servidores de gerenciamento.

Tipo de logon para servidores de gerenciamento

Para exibir o tipo de logon para agentes, vá para Administração>Produtos do Operations Manager>Agentes.

Tipo de logon para agentes

Observação

Agente/gateway que ainda não foi atualizado, exibe o tipo de logon como Serviço no console. Depois que o agente/gateway for atualizado, o tipo de logon atual será exibido.

Habilitar a permissão de logon de serviço para contas 'Executar Como'

Siga estas etapas:

  1. Faça login com privilégios de administrador no computador do qual você quer conceder permissão de Fazer logon como serviço para contas 'Executar Como'.

  2. Vá para Ferramentas Administrativas e selecione Política de Segurança Local.

  3. Expanda Política Local e selecione Atribuição de Direitos de Usuário.

  4. No painel direito, clique com o botão direito em Fazer login como um serviço e selecione Propriedades.

  5. Selecione a opção Adicionar usuário ou grupo para adicionar o novo usuário.

  6. Na caixa de diálogo Selecionar usuários ou grupos, localize o usuário que deseja adicionar e selecione OK.

  7. Selecione OK em Propriedades de Fazer Logon como um Serviço para salvar as alterações.

    Captura de tela de usuários selecionados.

Observação

Se estiver atualizando para o Operations Manager 2019 de uma versão anterior ou instalando um novo ambiente do Operations Manager 2019, siga as etapas acima para fornecer permissão para Fazer logon como um serviço a contas Executar Como.

Observação

Se estiver atualizando para o Operations Manager 2022 de uma versão anterior ou instalando um novo ambiente do Operations Manager 2022, siga as etapas acima para fornecer permissão para Fazer logon como um serviço a contas Executar Como.

Observação

Se estiver atualizando para o Operations Manager 2025 de uma versão anterior ou instalando um novo ambiente do Operations Manager 2025, siga as etapas acima para fornecer permissão para Fazer logon como um serviço a contas Executar Como.

Registro de alterações para um serviço de integridade

Se você precisar alterar o tipo de logon do serviço de integridade do Operations Manager para Permitir logon localmente, configure a configuração da política de segurança no dispositivo local usando o console da Política de Segurança Local.

Veja um exemplo:

Captura de tela dos tipos de logon da conta de ação de monitoramento.

Coexistência com o agente do Operations Manager 2016

Com a alteração do tipo de logon introduzida no Operations Manager 2019, o agente do Operations Manager 2016 pode coexistir e interoperar sem problemas. No entanto, há alguns cenários afetados por essa alteração:

  • A instalação por push do agente a partir do console do Operations Manager requer uma conta que tenha privilégios administrativos e a permissão de Fazer logon como um serviço no computador de destino.
  • A conta de ação do servidor de gerenciamento do Operations Manager requer privilégios administrativos nos servidores de gerenciamento para monitorar o Service Manager.

Solução de problemas

Se qualquer uma das contas Executar Como tiver a permissão necessária de Fazer logon como serviço, um alerta crítico baseado em monitor será exibido. Esse alerta exibe os detalhes da conta 'Executar Como', que não tem Fazer logon como um serviço.

Captura de tela das propriedades do alerta.

No computador do agente, abra o Visualizador de Eventos. No log do Operations Manager, procure a ID de evento 7002 exibir os detalhes sobre as contas Executar Como que requerem a permissão Fazer logon como um serviço.

Parâmetro Mensagem
Nome do alerta A conta Executar Como não possui o tipo de logon solicitado.
Descrição do alerta A conta Executar Como deve ter o tipo de logon solicitado.
Contexto do Alerta O Serviço de Integridade não conseguiu fazer logon, pois a conta Executar Como para o grupo de gerenciamento (nome do grupo) não foi concedida a permissão de Log on as a service.
Monitorar (adicionar nome do monitor)

Forneça a permissão Fazer logon como um serviço para as contas de Executar Como apropriadas, que são identificadas no evento 7002. Depois de fornecer a permissão, o ID do evento 7028 será exibido e o monitor mudará para o estado saudável.

Captura de tela do número de eventos.