Поделиться через


Включение входа службы для учетных записей запуска от имени

Рекомендуется отключить интерактивные и удаленные интерактивные сеансы для учетных записей служб. Группы безопасности в разных организациях имеют строгие средства контроля, чтобы применить эту рекомендацию, чтобы предотвратить кражу учетных данных и связанных атак.

System Center Operations Manager поддерживает ужесточение учетных записей служб и не требует предоставления права локального пользователя для входа в систему для нескольких учетных записей, необходимых для поддержки Operations Manager.

Более ранняя версия Operations Manager имеет возможность локального входа в качестве типа журнала по умолчанию. В Operations Manager по умолчанию используется тип входа в качестве службы. Это приводит к следующим изменениям:

  • Служба работоспособности использует вход в службу типов по умолчанию. Для Operations Manager 2016 версии она была интерактивной.
  • Учетные записи действий Operations Manager и учетные записи служб теперь имеют разрешение на вход в качестве службы .
  • Учетные записи действий и учетные записи запуска от имени должны иметь разрешение на вход в качестве службы для выполнения MonitoringHost.exe. Подробнее.

Изменения учетных записей действий Operations Manager

Следующие учетные записи предоставляются войдите в систему как разрешение на обслуживание во время установки Operations Manager и во время обновления с предыдущих версий:

  • Учетная запись действия сервера управления

  • Служба конфигурации System Center и учетные записи службы доступа к данным System Center

  • Учетная запись действия агента

  • Учетная запись для записи в хранилище данных

  • учетной записи чтения данных

    Снимок экрана: локальный параметр безопасности.

После этого изменения все учетные записи запуска от имени, созданные администраторами Operations Manager для пакетов управления (MPS), требуют права входа в качестве службы , которые администраторы должны предоставить.

Просмотр типа входа для серверов управления и агентов

Вы можете просмотреть тип входа для серверов управления и агентов из консоли Operations Manager.

Чтобы просмотреть тип журнала для серверов управления, перейдите на серверы администрирования>Operations Manager Products>Management.

Вход в систему для серверов управления

Чтобы просмотреть тип входа для агентов, перейдите в раздел "Администрирование>агентов продуктов>Operations Manager".

Тип входа для агентов

Примечание.

Для агента или шлюза, которые еще не обновлены, в консоли отображается тип входа в качестве службы. После обновления агента или шлюза будет отображаться текущий тип входа.

Включение входа службы для учетных записей запуска от имени

Выполните следующие действия:

  1. Войдите с правами администратора на компьютер, с которого требуется предоставить разрешение на вход в качестве службы для учетных записей запуска от имени.

  2. Перейдите к средствам администрирования и выберите локальную политику безопасности.

  3. Разверните локальную политику и выберите назначение прав пользователя.

  4. В правой области щелкните правой кнопкой мыши вход в качестве службы и выберите "Свойства".

  5. Нажмите кнопку "Добавить пользователя" или "Группа ", чтобы добавить нового пользователя.

  6. В диалоговом окне "Выбор пользователей или групп" найдите пользователя, который вы хотите добавить и нажмите кнопку "ОК".

  7. Нажмите кнопку "ОК" в разделе "Вход в качестве службы", чтобы сохранить изменения.

    Снимок экрана: выбор пользователей.

Примечание.

Если вы обновляетесь до Operations Manager 2019 из предыдущей версии или устанавливаете новую среду Operations Manager 2019, выполните описанные выше действия, чтобы предоставить разрешение на вход в качестве службы для учетных записей запуска от имени.

Примечание.

Если вы обновляетесь до Operations Manager 2022 из предыдущей версии или устанавливаете новую среду Operations Manager 2022, выполните описанные выше действия, чтобы предоставить разрешение на вход в качестве службы для учетных записей запуска от имени.

Изменение типа входа для службы работоспособности

Если необходимо изменить журнал в типе службы работоспособности Operations Manager, чтобы разрешить вход локально, настройте параметр политики безопасности на локальном устройстве с помощью консоли локальной политики безопасности.

Приведем пример:

Снимок экрана: журнал учетной записи мониторинга для типов.

Сосуществование с агентом Operations Manager 2016

При изменении типа, введенном в Operations Manager 2019, агент Operations Manager 2016 может сосуществовать и взаимодействовать без каких-либо проблем. Однако существует несколько сценариев, затронутых этим изменением:

  • Для принудительной установки агента из консоли Operations Manager требуется учетная запись с правами администратора и вход в систему в качестве службы прямо на целевом компьютере.
  • Учетная запись действий Operations Manager Management Server требует прав администратора на серверах управления для мониторинга Service Manager.

Устранение неполадок

Если у любой из учетных записей запуска от имени требуется разрешение на вход в качестве службы , появится критическое оповещение на основе монитора. Это оповещение отображает сведения об учетной записи запуска от имени, которая не имеет разрешения на вход в качестве службы .

Снимок экрана: свойства оповещений.

На компьютере агента откройте Просмотр событий. В журнале Operations Manager найдите событие с идентификатором 7002, чтобы просмотреть сведения об учетных записях запуска от имени, требующих разрешения Вход в качестве службы.

Параметр Сообщение
Имя оповещения Учетная запись запуска от имени не запрашивает вход по типу.
Описание предупреждения Учетная запись запуска от имени должна иметь запрошенный вход по типу.
Контекст предупреждения служба работоспособности не удалось войти, так как учетная запись запуска от имени для группы управления (имя группы) не была предоставлена Войдите в систему как разрешение службы.
Azure Monitor (добавление имени монитора)

Предоставьте разрешение на вход в качестве службы для применимых учетных записей запуска от имени, которые определены в событии 7002. После предоставления разрешения появится идентификатор события 7028, а монитор изменится на работоспособное состояние.

Снимок экрана: количество событий.