Povolení přihlášení ke službě pro účty Spustit jako
Osvědčeným postupem zabezpečení je zakázat interaktivní a vzdálené interaktivní relace pro účty služeb. Týmy zabezpečení napříč organizacemi mají přísné kontrolní mechanismy, které vynucují tento osvědčený postup, aby se zabránilo krádeži přihlašovacích údajů a přidružených útoků.
System Center Operations Manager podporuje posílení zabezpečení účtů služeb a nevyžaduje udělení práva Povolit místní přihlášení pro několik účtů požadovaných pro podporu Operations Manageru.
Starší verze Operations Manageru má možnost Povolit místní přihlášení jako výchozí typ přihlášení. Operations Manager ve výchozím nastavení používá protokol služby. To vede k následujícím změnám:
- Služba Health Service ve výchozím nastavení používá typ přihlášení. Pro verzi Operations Manageru 2016 byla interaktivní.
- Účty akcí Operations Manageru a účty služeb teď mají oprávnění přihlásit se jako služba .
- Účty akcí a účty Spustit jako musí mít oprávnění ke spuštění MonitoringHost.exe jako služba . Další informace.
Změny účtů akcí operations manageru
Při instalaci operations manageru a během upgradu z předchozích verzí se při instalaci operations manageru a během upgradu přidělují jako služba následující účty:
Účet akce serveru pro správu
Konfigurace služby System Center a účty služeb pro přístup k datům nástroje System Center
Účet akce agenta
Účet pro zápis do datového skladu
Účet Čtenář dat
Po této změně vyžadují všechny účty Spustit jako vytvořené správci Operations Manageru pro sady Management Pack (MPS) právo přihlásit se jako službu , které by měli správci udělit.
Zobrazení typu přihlášení pro servery pro správu a agenty
Typ přihlášení pro servery pro správu a agenty můžete zobrazit z konzoly nástroje Operations Manager.
Pokud chcete zobrazit typ přihlášení pro servery pro správu, přejděte na >servery pro správu Operations Manager Products>Management.
Pokud chcete zobrazit typ přihlášení pro agenty, přejděte do části Agenti sady Operations>Manager Products>.
Poznámka:
Agent nebo brána, která ještě není upgradovaná, zobrazí typ přihlášení jako služba v konzole. Po upgradu agenta nebo brány se zobrazí aktuální typ přihlášení.
Povolení oprávnění k přihlášení ke službě pro účty Spustit jako
Postupujte následovně:
Přihlaste se pomocí oprávnění správce k počítači, ze kterého chcete poskytnout oprávnění Přihlásit se jako služba k účtům Spustit jako.
Přejděte na Nástroje pro správu a vyberte Místní zásady zabezpečení.
Rozbalte místní zásady a vyberte Přiřazení uživatelských práv.
V pravém podokně klikněte pravým tlačítkem na Přihlásit jako službu a vyberte Vlastnosti.
Pokud chcete přidat nového uživatele, vyberte možnost Přidat uživatele nebo skupinu .
V dialogovém okně Vybrat uživatele nebo skupiny vyhledejte uživatele, kterého chcete přidat, a vyberte OK.
Výběrem možnosti OK v okně Přihlásit se jako vlastnosti služby uložte změny.
Poznámka:
Pokud upgradujete na Operations Manager 2019 z předchozí verze nebo instalujete nové prostředí Operations Manageru 2019, postupujte podle výše uvedených kroků a poskytněte oprávnění k přihlášení jako služby pro účty Spustit jako.
Poznámka:
Pokud upgradujete na Operations Manager 2022 z předchozí verze nebo instalujete nové prostředí Operations Manageru 2022, postupujte podle výše uvedených kroků a poskytněte oprávnění k přihlášení jako služby pro účty Spustit jako.
Poznámka:
Pokud upgradujete na Operations Manager 2025 z předchozí verze nebo instalujete nové prostředí Operations Manageru 2025, postupujte podle výše uvedených kroků a poskytněte oprávnění k přihlášení jako služby pro účty Spustit jako.
Typ přihlášení ke změně služby Health Service
Pokud potřebujete změnit typ služby stavu Operations Manageru tak, aby povolovali místní přihlášení, nakonfigurujte nastavení zásad zabezpečení na místním zařízení pomocí konzoly Místní zásady zabezpečení.
Tady je příklad:
Koexistence s agentem Operations Manageru 2016
Při změně typu přihlášení, která je zavedena v Operations Manageru 2019, může agent Operations Manageru 2016 existovat a spolupracovat bez jakýchkoli problémů. Existuje však několik scénářů, které jsou touto změnou ovlivněny:
- Nabízená instalace agenta z konzoly Operations Manageru vyžaduje účet s oprávněními správce a přihlášení jako službu přímo na cílovém počítači.
- Účet akce serveru pro správu nástroje Operations Manager vyžaduje oprávnění správce na serverech pro správu pro monitorování portálu Service Manager.
Řešení problému
Pokud některý z účtů Spustit jako má požadované oprávnění k přihlášení jako služby , zobrazí se kritická výstraha založená na monitorování. Tato výstraha zobrazí podrobnosti účtu Spustit jako, který nemá oprávnění k přihlášení jako služby .
Na počítači agenta otevřete Prohlížeč událostí. V protokolu nástroje Operations Manager vyhledejte ID události 7002, abyste zobrazili podrobnosti o účtech Spustit jako, které vyžadují oprávnění k přihlášení jako služby .
| Parametr | Zpráva |
|---|---|
| Název upozornění | Účet Spustit jako nemá požadovaný typ přihlášení. |
| Popis upozornění | Účet Spustit jako musí mít požadovaný typ přihlášení. |
| Kontext upozornění | Služba Health Service se nemohla přihlásit, protože účet Spustit jako pro skupinu pro správu (název skupiny) nemá udělené oprávnění k přihlášení jako služby . |
| Monitor | (přidání názvu monitorování) |
Zadejte oprávnění přihlásit se jako služba k příslušným účtům Spustit jako, které jsou identifikovány v události 7002. Jakmile udělíte oprávnění, zobrazí se ID události 7028 a monitorování se změní na stav v pořádku.
