Включение входа в качестве службы для учетных записей запуска от имени

  • Статья

По соображениям безопасности рекомендуется отключить интерактивные и удаленные сеансы для учетных записей служб. Группы безопасности в разных организациях имеют строгие меры контроля, чтобы обеспечить соблюдение этой рекомендации, чтобы предотвратить кражу учетных данных и связанные с ними атаки.

System Center Operations Manager поддерживает усиление защиты учетных записей служб и не требует предоставления права разрешить локальный вход пользователя для нескольких учетных записей, необходимых для поддержки Operations Manager.

В ранней версии Operations Manager Разрешить локальный вход в систему является типом входа по умолчанию. В Operations Manager по умолчанию используется тип входа в качестве службы. Это приводит к следующим изменениям:

  • Служба работоспособности использует тип входа в качестве службы по умолчанию. Для Operations Manager 1807 и более ранних версий это был Интерактивный.
  • У учетных записей действий и учетных записей служб Operations Manager теперь есть разрешение Вход в качестве службы.
  • Для выполнения файла MonitoringHost.exe у учетных записей действий и учетных записей запуска от имени должно быть разрешение Вход в качестве службы. Подробнее.

Изменения, касающиеся учетных записей действий Operations Manager

Следующие учетные записи получают разрешение Вход в качестве службы во время установки Operations Manager и во время обновления с предыдущих версий:

  • учетная запись действия сервера управления;

  • учетная запись службы конфигурации System Center и службы доступа к данным System Center;

  • учетная запись действия агента;

  • Учетная запись для записи в хранилище данных

  • учетной записи чтения данных

    Снимок экрана: параметр локальной безопасности.

После этого изменения любой учетной записи запуска от имени, созданной администраторами Operations Manager для пакетов управления, администратор должен предоставить право Вход в качестве службы.

Просмотр типа входа для серверов управления и агентов

Вы можете просмотреть тип входа для серверов управления и агентов в консоли Operations Manager.

Чтобы просмотреть тип входа для серверов управления, выберите АдминистрированиеПродукты Operations ManagerСерверы управления.

Тип входа для серверов управления

Чтобы просмотреть тип входа для агентов, выберите АдминистрированиеПродукты Operations ManagerАгенты.

Тип входа для агентов

Примечание

Агент или шлюз, который еще не обновлен, отображает тип входа в качестве службы в консоли. После обновления агента или шлюза будет отображаться текущий тип входа.

Разрешение на включение входа в качестве службы для учетных записей запуска от имени

Выполните следующие действия.

  1. Войдите с правами администратора на компьютер, с которого вы хотите предоставить разрешение Вход в качестве службы учетной записи запуска от имени.

  2. Перейдите в раздел Администрирование и выберите Локальная политика безопасности.

  3. Разверните узел Локальная политика и выберите Назначение прав пользователя.

  4. В области справа щелкните право Вход в качестве службы правой кнопкой мыши и в контекстном меню выберите Свойства.

  5. Выберите Добавить пользователя или группу , чтобы добавить нового пользователя.

  6. В диалоговом окне Выбор пользователей или групп найдите пользователя, который вы хотите добавить, и нажмите кнопку ОК.

  7. Нажмите кнопку ОК в разделе Свойства входа в качестве службы , чтобы сохранить изменения.

    Снимок экрана: выбор пользователей.

Примечание

Если вы выполняете обновление до Operations Manager 2019 с предыдущей версии или устанавливаете новую среду Operations Manager 2019, выполните описанные выше действия, чтобы предоставить разрешение на вход в качестве службы для учетных записей запуска от имени.

Примечание

Если вы выполняете обновление до Operations Manager 2022 с предыдущей версии или устанавливаете новую среду Operations Manager 2022, выполните описанные выше действия, чтобы предоставить разрешение на вход в качестве службы для учетных записей запуска от имени.

Изменение типа входа для службы работоспособности

Если вы хотите изменить тип входа службы работоспособности Operations Manager на Разрешить локальный вход в систему, настройте параметр политики безопасности на локальном устройстве с помощью консоли локальной политики безопасности.

Ниже приведен пример:

Снимок экрана: тип входа в учетную запись действия мониторинга.

Сосуществование с агентом Operations Manager 2016

Агент Operations Manager 2016 может сосуществовать с Operations Manager 2019, в котором представлено изменение типа входа, и взаимодействовать с ним без каких-либо проблем. Однако существует несколько сценариев, на которые влияет это изменение:

  • принудительная установка агента с консоли Operations Manager требует учетной записи с правами администратора и правом Вход в качестве службы на компьютере назначения;
  • учетной записи действия сервера управления Operations Manager требуются права администратора на серверах управления, чтобы выполнять мониторинг Service Manager.

Устранение неполадок

Если у любой учетной записи запуска от имени есть необходимое разрешение Вход в качестве службы, в результате мониторинга появится критическое оповещение. Это оповещение отображает сведения об учетной записи запуска от имени, которая не имеет разрешения на вход в качестве службы .

Снимок экрана со свойствами оповещений.

На компьютере агента откройте компонент "Просмотр событий". В журнале Operations Manager найдите событие с идентификатором 7002, чтобы просмотреть сведения об учетных записях запуска от имени, требующих разрешения Вход в качестве службы.

Параметр Message
Имя предупреждения Учетная запись запуска от имени не имеет запрошенного типа входа.
Описание предупреждения The Run As account must have the requested log on type (Учетной записи запуска от имени необходим запрошенный тип входа).
Контекст предупреждения Службе работоспособности не удалось войти в систему, так как учетной записи запуска от имени для группы управления (имя группы) не предоставлено разрешение Вход в качестве службы .
Монитор (добавьте имя монитора)

Предоставьте разрешение Вход в качестве службы применимым учетным записям запуска от имени, которые обозначены в событии 7002. После предоставления разрешения появится событие с идентификатором 7028, а состояние монитора изменится на работоспособное.

Снимок экрана: количество событий.