Habilitar logon de serviço

A prática recomendada de segurança é desabilitar sessões interativas e interativas remotas para contas de serviço. As equipes de segurança em todas as organizações têm controles rígidos para aplicar essa prática recomendada para evitar roubo de credenciais e ataques associados.

O System Center - Service Manager (SM) oferece suporte ao endurecimento de contas de serviço e não exige a concessão do usuário Permitir logon localmente para várias contas, necessária no suporte do SM.

Você deve fornecer permissão de logon de serviço para as seguintes contas usadas pelo servidor de gerenciamento SM e pelo servidor de gerenciamento de data warehouse.

Conta de Serviços do Service Manager: essa conta é usada para o Serviço de Acesso a Dados do System Center e o serviço de Configuração de Gerenciamento do System Center.

Essa conta requer permissão de logon de serviço.

Conta de fluxo de trabalho do Service Manager Essa conta é usada para executar o processo MonitoringHost.exe (executa todos os fluxos de trabalho). Essa conta requer permissão de logon de serviço.

Observação

Recomendamos que você forneça permissão de logon de serviço para as contas usadas por vários conectores SM (AD, OM, SCO, CM, VMM, conectores Exchange). A conta de relatório de serviço e as contas de serviços de análise não requerem permissão de logon de serviço.

Habilitar o logon de serviço como tipo de logon

Você pode conceder permissão de logon de serviço por meio de uma política de domínio ou de uma política de grupo local.

Para habilitar o uso da política de domínio, entre em contato com seus administradores. Para usar a política de grupo local, consulte a seção sobre habilitar o serviço por meio de uma política de grupo local

Identificar as contas que precisam de permissão de logon de serviço

Se as contas necessárias não receberem permissão de logon de serviço, monitoringhost.exe não será executada nessas contas. O que significa que alguns dos fluxos de trabalho, como SLA/SLO, não seriam executados. Nesse caso, o seguinte evento de erro é registrado no log de eventos do Operations Manager:

O Serviço de Integridade não pôde logar na conta Executar como XXXXXXX do grupo de gerenciamento XXXX porque não recebeu a permissão *Logar como um serviço

Veja um exemplo de erro:

Habilitar o logon de serviço por meio de uma política de grupo local

Siga estas etapas:

1. Faça login com privilégios de administrador no computador do qual você quer conceder permissão de Fazer logon como serviço para contas.

2. Vá para Ferramentas Administrativas e selecione Política de Segurança Local.

3. Expanda Política Local e selecione Atribuição de Direitos de Usuário. No painel direito, clique com o botão direito em Fazer login como um serviço e selecione Propriedades.

4. Selecione a opção Adicionar usuário ou grupo para adicionar o novo usuário.

5. Na caixa de diálogo Selecionar usuários ou grupos, localize o usuário que deseja adicionar e selecione OK.

6. Selecione OK em Propriedades de logon como serviço para salvar as alterações.

   

Alterar o tipo de logon a partir de um valor padrão

O tipo de logon padrão é Logon de serviço. Após a nova instalação do SM ou de uma atualização, o tipo de logon será logon de serviço, por padrão.

Você pode alterar o tipo de logon padrão usando as seguintes etapas:

1. Faça login com privilégios de administrador no computador do qual você quer conceder permissão de Fazer logon como serviço para contas.

2. Execute gpedit.msc

3. Em Configuração do Computador, expanda Modelos Administrativos.

4. Selecione System Center – Operations Manager.

5. Clique com o botão direito do mouse em Tipo de Logon da Conta de Ação de Monitoramento, selecione Editar e selecione Habilitado.

6. Escolha o Tipo de logon no menu suspenso.