Aktivera tjänstinloggning

Bästa praxis för säkerhet är att inaktivera interaktiva och fjärranslutna interaktiva sessioner för tjänstkonton. Säkerhetsteam i organisationer har strikta kontroller för att framtvinga den här bästa metoden för att förhindra stöld av autentiseringsuppgifter och associerade attacker.

System Center – Service Manager (SM) stöder härdning av tjänstkonton och kräver inte beviljande av behörigheten Tillåt inloggning lokalt för flera konton som krävs för stöd för SM.

Du måste ge behörighet för tjänstinloggning till följande konton som används av SM-hanteringsservern och datalagerhanteringsservern.

Service Manager Services-konto: Det här kontot används för System Center Data Access Service och System Center Management Configuration Service.

Det här kontot kräver behörighet för tjänstinloggning.

Service Manager Arbetsflödeskonto Det här kontot används för att köra MonitoringHost.exe processen (kör alla arbetsflöden). Det här kontot kräver behörighet för tjänstinloggning.

Anteckning

Vi rekommenderar att du ger tjänstinloggningsbehörighet till de konton som används av olika SM-anslutningsappar (AD, OM, SCO, CM, VMM, exchange connectors). Konton för tjänstrapportering och analysis services kräver inte behörighet för tjänstinloggning.

Aktivera tjänstinloggning

Du kan bevilja behörighet för tjänstinloggning via en domänprincip eller en lokal grupprincip.

Om du vill aktivera med domänprincip kontaktar du dina administratörer. Om du vill använda en lokal grupprincip läser du avsnittet om att aktivera tjänsten via en lokal grupprincip

Identifiera de konton som behöver behörighet för tjänstinloggning

Om nödvändiga konton inte har behörighet för tjänstinloggning körs monitoringhost.exe inte under dessa konton. Vilket innebär att vissa av arbetsflödena, till exempel SLA/SLO, inte skulle köras. I så fall loggas följande felhändelse i Operations Manager-händelseloggen:

Hälsotjänsten kunde inte logga in på RunAs-kontot XXXXXXX för hanteringsgruppen XXXX eftersom den inte har beviljats *Logga in som en tjänst

Här är ett exempelfel:

Aktivera tjänstloggning via en lokal grupprincip

Följ de här stegen:

1. Logga in med administratörsbehörighet till den dator som du vill ge inloggning som tjänstbehörighet till konton.

2. Gå till Administrationsverktyg och välj Lokal säkerhetsprincip.

3. Expandera Lokal princip och välj Tilldelning av användarrättigheter. Högerklicka på Logga in som en tjänst i den högra rutan och välj Egenskaper.

4. Välj alternativet Lägg till användare eller grupp för att lägga till den nya användaren.

5. I dialogrutan Välj användare eller grupper letar du reda på den användare som du vill lägga till och väljer OK.

6. Välj OK i Logga in som en tjänst Egenskaper för att spara ändringarna.

   

Ändra inloggningstyp från ett standardvärde

Standardtyp för inloggning är Tjänstloggning. Efter ny installation av SM eller en uppgradering är inloggningstypen Tjänstlogg som standard.

Du kan ändra standardinloggningstypen med hjälp av följande steg:

1. Logga in med administratörsbehörighet till den dator som du vill ge inloggning som tjänstbehörighet till konton.

2. Kör gpedit.msc

3. Under Datorkonfiguration expanderar du Administrativa mallar.

4. Välj System Center – Operations Manager.

5. Högerklicka på Inloggningstyp för övervakningsåtgärdskonto, välj Redigera och välj Aktiverad.

6. Välj Inloggningstyp på den nedrullningsbara menyn.