Ativar Início de Sessão do Serviço
A melhor prática de segurança é desativar sessões interativas e remotas interativas para contas de serviço. As equipas de segurança em todas as organizações têm controlos rigorosos para impor esta melhor prática para impedir o roubo de credenciais e ataques associados.
O System Center - Service Manager (SM) suporta a proteção de contas de serviço e não requer a concessão do direito permitir o início de sessão local do utilizador para várias contas, necessárias para o suporte do SM.
Tem de fornecer permissão de início de sessão do serviço às seguintes contas que são utilizadas pelo servidor de gestão de SM e pelo servidor de gestão do armazém de dados.
Conta Service Manager Services: esta conta é utilizada para o Serviço de Acesso a Dados do System Center e para o serviço de Configuração de Gestão do System Center.
Esta conta requer a permissão de início de sessão do serviço.
Service Manager conta de Fluxo de Trabalho Esta conta é utilizada para executar o processo deMonitoringHost.exe (executa todos os Fluxos de Trabalho). Esta conta requer a permissão de início de sessão do serviço.
Nota
Recomendamos que forneça permissão de início de sessão do serviço para as contas utilizadas por vários conectores de SM (AD, OM, SCO, CM, VMM, conectores do Exchange). As contas da conta de relatórios de serviço e do analysis services não necessitam de permissão de início de sessão do serviço.
Para ativar o início de sessão do serviço
Pode conceder permissão de início de sessão do serviço através de uma política de domínio ou de uma política de grupo local.
Para ativar a utilização da política de domínio, contacte os administradores. Para utilizar a política de grupo local, veja a secção ativar o serviço através de uma política de grupo local
Identificar as contas que precisam de permissão de início de sessão do serviço
Se as contas necessárias não forem fornecidas com a permissão de início de sessão do serviço, monitoringhost.exe não é executada nessas contas. O que significa que alguns dos fluxos de trabalho, como o SLA/SLO, não seriam executados. Nesse caso, o seguinte evento de erro é registado no registo de eventos do Operations Manager:
O Serviço de Estado de Funcionamento não conseguiu iniciar sessão na conta RunAs XXXXXXX para o grupo de gestão XXXX porque não lhe foi concedido o *Iniciar sessão como um serviço
Eis um erro de exemplo:
Ativar o início de sessão do serviço através de uma política de grupo local
Siga estes passos:
Inicie sessão com privilégios de administrador no computador a partir do qual pretende fornecer a permissão Iniciar sessão como Serviço às contas.
Aceda a Ferramentas Administrativas e selecione Política de Segurança Local.
Expanda Política Local e selecione Atribuição de Direitos de Utilizador. No painel direito, clique com o botão direito do rato em Iniciar sessão como um serviço e selecione Propriedades.
Selecione a opção Adicionar Utilizador ou Grupo para adicionar o novo utilizador.
Na caixa de diálogo Selecionar Utilizadores ou Grupos , localize o utilizador que pretende adicionar e selecione OK.
Selecione OK em Iniciar sessão como um serviço Propriedades para guardar as alterações.
Alterar o tipo de início de sessão de um valor predefinido
O tipo de início de sessão predefinido é Início de sessão do serviço. Após a nova instalação do SM ou de uma atualização, o tipo de início de sessão será Início de sessão do serviço, por predefinição.
Pode alterar o tipo de início de sessão predefinido com os seguintes passos:
Inicie sessão com privilégios de administrador no computador a partir do qual pretende fornecer a permissão Iniciar sessão como Serviço às contas.
Executar gpedit.msc
Em Configuração do Computador, expanda Modelos Administrativos.
Selecione System Center – Operations Manager.
Clique com o botão direito do rato em Monitorizar Tipo de Início de Sessão da Conta de Ação, selecione Editar e selecione Ativado.
Selecione Tipo de Início de Sessão no menu pendente.