Aktivierung der Dienstanmeldung für Dienstkonten
Die beste Sicherheitspraxis besteht darin, interaktive Sitzungen und Remote-Sitzungen für Dienstkonten zu deaktivieren. Die Sicherheitsteams in den Unternehmen verfügen über strenge Kontrollen zur Durchsetzung dieser Best Practice, um den Diebstahl von Anmeldedaten und damit verbundene Angriffe zu verhindern.
System Center Operations Manager unterstützt die Stärkung von Dienstkonten und erfordert nicht die Gewährung des Benutzerrechts Lokale Anmeldung zulassen für mehrere Konten, die zur Unterstützung von Operations Manager erforderlich sind.
Frühere Versionen des Operations Managers haben Lokale Anmeldung zulassen als Standard-Anmeldetyp. Bei Operations Manager wird Service Log on standardmäßig verwendet. Daraus ergeben sich die folgenden Änderungen:
- Der Gesundheitsdienst verwendet standardmäßig den Anmeldetyp Service. In der Version Operations Manager 2016 war es Interaktiv.
- Operations Manager-Aktionskonten und Dienstkonten verfügen nun über die Berechtigung, sich als Dienst anzumelden.
- Aktionskonten und „Ausführen als“-Konten müssen über die Berechtigung Als Dienst anmelden verfügen, um MonitoringHost.exe auszuführen. Weitere Informationen
Änderungen an Operations Manager-Aktionskonten
Die folgenden Konten erhalten die Berechtigung Als Dienst anmelden während der Installation von Operations Manager und während des Upgrades von früheren Versionen:
Aktionskonto des Verwaltungsservers
Konten für den System Center-Konfigurationsdienst und den System Center-Datenzugriffsdienst
Agenten-Handlungskonto
Data Warehouse-Schreibzugriffskonto
Data-Readerkonto
Nach dieser Änderung benötigen alle Ausführen-als-Konten, die von Operations Manager-Administratoren für die Management Packs (MPs) erstellt wurden, das Recht Als Dienst anmelden, das die Administratoren gewähren sollten.
Anmeldungsart für Verwaltungsserver und Agenten anzeigen
Sie können den Anmeldetyp für Verwaltungsserver und Agents über die Operations Manager-Konsole anzeigen.
Um den Anmeldetyp für Verwaltungsserver anzuzeigen, gehen Sie zu Verwaltung>Operations Manager-Produkte>Verwaltungsserver.
Um den Anmeldetyp für Agenten anzuzeigen, gehen Sie zu Verwaltung>Operations Manager Produkte>Agenten.
Hinweis
Für Agents und Gateways, für die noch kein Upgrade durchgeführt wurde, wird der Anmeldetyp in der Konsole als Dienst angezeigt. Nach dem Upgrade des Agenten/Gateways wird der aktuelle Anmeldetyp angezeigt.
Aktivieren der Berechtigung zur Dienstanmeldung für "Run As"-Konten
Führen Sie folgende Schritte aus:
Melden Sie sich mit Administratorrechten an dem Computer an, von dem aus Sie die Berechtigung Als Dienst anmelden für ein „Ausführen als“-Konto erteilen möchten.
Gehen Sie zu Verwaltungstools und wählen Sie Lokale Sicherheitsrichtlinie aus.
Erweitern Sie Lokale Richtlinie und wählen Sie Zuweisung von Benutzerberechtigungen aus.
Klicken Sie im rechten Bereich mit der rechten Maustaste auf Anmelden als Dienst und wählen Sie Eigenschaften.
Wählen Sie die Option Benutzer oder Gruppe hinzufügen, um den neuen Benutzer hinzuzufügen.
Suchen Sie im Dialog Benutzer oder Gruppen auswählen den Benutzer, den Sie hinzufügen möchten, und wählen Sie OK aus.
Wählen Sie OK in den Anmelden als Dienst-Eigenschaften, um die Änderungen zu speichern.
Hinweis
Wenn Sie ein Upgrade auf Operations Manager 2019 von einer früheren Version durchführen oder eine neue Operations Manager 2019-Umgebung installieren, befolgen Sie die obigen Schritte, um die Berechtigung Als Dienst anmelden für die RunAs-Konten bereitzustellen.
Hinweis
Wenn Sie ein Upgrade auf Operations Manager 2022 von einer früheren Version durchführen oder eine neue Operations Manager 2022-Umgebung installieren, befolgen Sie die oben beschriebenen Schritte, um den „Ausführen als“-Konten die Berechtigung Als Dienst anmelden zu gewähren.
Hinweis
Wenn Sie ein Upgrade von einer früheren Version auf Operations Manager 2025 durchführen oder eine neue Operations Manager 2025-Umgebung installieren, führen Sie die oben genannten Schritte aus, um die Berechtigung „Anmelden als Dienst“ für „Ausführen als Konten“ bereitzustellen.
Änderung des Typs für einen Gesundheitsdienst
Wenn Sie den Anmeldetyp des Gesundheitsdienstes von Operations Manager auf Lokale Anmeldung zulassen ändern müssen, konfigurieren Sie die Sicherheitsrichtlinieneinstellung auf dem lokalen Gerät mithilfe der Konsole für lokale Sicherheitsrichtlinien.
Hier sehen Sie ein Beispiel:
Koexistenz mit dem Operations Manager 2016-Agenten
Mit der Änderung des Anmeldetyps, die in Operations Manager 2019 eingeführt wird, kann der Operations Manager 2016-Agent ohne Probleme koexistieren und interoperieren. Es gibt jedoch einige Szenarien, die von dieser Änderung betroffen sind:
- Für die Push-Installation des Agents über die Operations Manager-Konsole ist ein Konto mit Administratorrechten und das Recht Als Dienst anmelden auf dem Zielcomputer erforderlich.
- Das Operations Manager Management Server-Aktionskonto benötigt administrative Rechte auf Management-Servern zur Überwachung von Service Manager.
Problembehandlung
Wenn eines der „Ausführen als“-Konten über die erforderliche Berechtigung Als Dienst anmelden verfügt, erscheint eine kritische, auf einem Monitor basierende Warnung. Diese Warnung zeigt die Details des "Ausführen als"-Kontos an, das nicht über die Berechtigung Als Dienst anmelden verfügt.
Öffnen Sie auf dem Agenten-Computer die Ereignisanzeige. Suchen Sie im Operations Manager-Protokoll nach der Ereignis-ID 7002, um die Details zu den Run-As-Konten anzuzeigen, die die Berechtigung Als Dienst anmelden benötigen.
| Parameter | Nachricht |
|---|---|
| Alarmname | Das „Ausführen als“-Konto verfügt nicht über den benötigten Anmeldetyp. |
| Alarmbeschreibung | Das „Ausführen als“-Konto muss den angeforderten Anmeldetyp haben. |
| Warnungskontext | Der Gesundheitsdienst konnte sich nicht anmelden, da dem Konto "Ausführen als" für die Verwaltungsgruppe (Gruppenname) nicht die Berechtigung Als Dienst anmelden erteilt wurde. |
| Bildschirm | (Monitornamen hinzufügen) |
Erteilen Sie den entsprechenden Run As-Konten, die im Ereignis 7002 angegeben sind, die Berechtigung Als Dienst anmelden. Sobald Sie die Erlaubnis erteilt haben, wird die Ereignis-ID 7028 angezeigt, und der Monitor wechselt in den Status „fehlerfrei“.
