启用服务登录
最佳安全做法是对服务帐户禁用交互式和远程交互式会话。 跨组织的安全团队有严格的控制措施来强制实施此最佳做法,以防止凭据被盗和相关攻击。
System Center - Service Manager (SM) 支持强化服务帐户,并且不需要为支持 SM 的多个帐户授予“允许本地登录”用户权限。
必须向 SM 管理服务器和数据仓库管理服务器使用的以下帐户提供服务登录权限。
Service Manager服务帐户:此帐户用于 System Center Data Access 服务和 System Center Management Configuration 服务。
此帐户需要服务登录权限。
Service Manager工作流帐户 此帐户用于运行MonitoringHost.exe进程, (运行所有工作流) 。 此帐户需要服务登录权限。
注意
建议向各种 SM 连接器使用的帐户提供服务登录权限, (AD、OM、SCO、CM、VMM、exchange 连接器) 。 服务报告帐户和 Analysis Services 帐户不需要服务登录权限。
启用服务登录
可以通过域策略或本地组策略授予服务登录权限。
若要使用域策略启用,请与管理员联系。 若要使用本地组策略,请参阅有关通过本地组策略启用服务的部分
确定需要服务登录权限的帐户
如果未向所需的帐户提供服务登录权限,则 monitoringhost.exe 不会在这些帐户下运行。 这意味着,某些工作流(如 SLA/SLO)不会运行。 在这种情况下,Operations Manager 事件日志中会记录以下错误事件:
运行状况服务无法登录管理组 XXXX 的运行方式帐户 XXXXXXX,因为它尚未被授予 *作为服务登录的权限
下面是一个示例错误:
通过本地组策略启用服务登录
请按照以下步骤操作:
使用管理员权限登录到要从中向帐户提供 “以服务身份登录 ”权限的计算机。
转到 “管理工具” ,然后选择“ 本地安全策略”。
展开“ 本地策略 ”,然后选择“ 用户权限分配”。 在右窗格中,右键单击“作为服务登录”并选择“属性”。
选择 “添加用户 或 组 ”选项以添加新用户。
在 “选择用户 或 组 ”对话框中,找到要添加的用户,然后选择“ 确定”。
在“作为服务登录”属性中选择“确定”以保存更改。
更改默认值的登录类型
默认登录类型为 服务登录。 新安装 SM 或升级后,登录类型默认为服务登录。
可以使用以下步骤更改默认登录类型: