安全最佳做法是禁用服务帐户的交互式和远程交互式会话。 跨组织的安全团队具有严格的控制措施,以强制实施此最佳做法,以防止凭据盗窃和相关攻击。
System Center - Service Manager (SM) 支持服务帐户强化,并且不需要为多个帐户授予支持 SM 所需的“允许本地登录”用户权限。
必须向 SM 管理服务器和数据仓库管理服务器使用的以下帐户提供服务登录权限。
Service Manager 服务帐户:此帐户用于 System Center Data Access Service 和 System Center Management Configuration 服务。
此帐户需要服务登录权限。
Service Manager 工作流帐户此帐户用于运行MonitoringHost.exe进程(运行所有工作流)。 此帐户需要服务登录权限。
注意
建议向各种 SM 连接器使用的帐户(AD、OM、SCO、CM、VMM、Exchange 连接器)提供服务登录权限。 服务报告帐户和分析服务帐户不需要服务登录权限。
启用服务登录作为登录类型
可以通过域策略或本地组策略授予服务登录权限。
若要启用域策略,请与管理员联系。 若要使用本地组策略,请参阅有关 通过本地组策略启用服务的部分
确定需要服务登录权限的帐户
如果未向所需帐户提供服务登录权限,则 monitoringhost.exe 不会在这些帐户下运行。 这意味着,某些工作流(如 SLA/SLO)不会运行。 在这种情况下,Operations Manager 事件日志中记录了以下错误事件:
健康服务无法登录管理组 XXXX 的 RunAs 帐户 XXXXXXX,因为尚未被授予“作为服务登录”权限
下面是一个示例错误:
通过本地组策略启用服务登录功能
执行以下步骤:
使用管理员特权登录要从中向帐户提供“作为服务登录”权限的计算机。
转到管理工具并选择“本地安全策略”。
展开 本地策略 并选择“ 用户权限分配”。 在右窗格中,右键单击“ 以服务 身份登录”,然后选择“ 属性”。
选择“ 添加用户 或 组 ”选项以添加新用户。
在 “选择用户 或 组 ”对话框中,找到要添加的用户,然后选择“ 确定”。
在“登录即服务属性”中选择“确定”以保存更改。
从默认值更改登录类型
默认登录类型为 服务登录。 安装 SM 或升级后,登录类型默认为服务登录。
可以使用以下步骤更改默认登录类型:
使用管理员特权登录要从中向帐户提供“作为服务登录”权限的计算机。
运行 gpedit.msc
在“计算机配置”下,展开“管理模板”。
选择 System Center – Operations Manager。
右键单击“ 监视操作帐户登录类型”,选择“ 编辑”,然后选择“ 已启用”。
从下拉菜单中选择 “登录类型 ”。
