Steuern des Zugriffs mithilfe des Integritätsdienst „Sperrmodus“-Tools in Operations Manager

Auf Computern mit hohen Sicherheitsanforderungen, z. B. einem Domänencontroller, müssen Sie möglicherweise bestimmten Identitäten den Zugriff auf Regeln, Aufgaben und Monitore verweigern, die die Sicherheit Ihres Servers gefährden könnten. Mit dem Integritätsdienst Sperrmodustool (HSLockdown.exe) können Sie verschiedene Befehlszeilenoptionen verwenden, um die Identitäten zu steuern und einzuschränken, mit denen eine Regel, Aufgabe oder Überwachung ausgeführt wird.

Hinweis

Sie können den Microsoft Monitoring Agent-Dienst nicht starten, wenn Sie das Integritätsdienst-Sperrmodustool zum Sperren des Aktionskontos verwendet haben. Um den Microsoft Monitoring Agent-Dienst neu starten zu können, führen Sie das zweite Verfahren in diesem Artikel aus, um das Aktionskonto zu entsperren.

Die folgenden Befehlszeilenoptionen sind verfügbar:

• HSLockdown [ManagementGroupName] /L - Konten/Gruppen auflisten

• HSLockdown [ManagementGroupName] /A – Hinzufügen eines zulässigen Kontos|gruppe

• HSLockdown [ManagementGroupName] /D – Hinzufügen eines verweigerten Kontos|gruppe

• HSLockdown [ManagementGroupName] /R - Entfernen eines zulässigen/verweigerten Kontos|gruppe

Konten müssen in einem der folgenden vollqualifizierten Domänennamenformate (Fully Qualified Domain Name, FQDN) angegeben werden:

• NetBios : DOMAIN\username

• UPN : username@fqdn.com

Wenn Sie beim Ausführen des Integritätsdienst Sperrmodus-Tools die Optionen zum Hinzufügen oder Verweigern verwendet haben, müssen Sie den System Center Management-Dienst neu starten, bevor die Änderungen wirksam werden.

Bei der Auswertung von erlaubten und verweigerten Einträgen ist zu beachten, dass verweigerte Einträge Vorrang vor erlaubten haben. Wenn ein Benutzer als zulässig aufgeführt ist und derselbe Benutzer Mitglied einer Gruppe ist, die als verweigert aufgeführt wird, wird der Benutzer verweigert.

So lehnen Sie ein Konto mit dem Sperrtool des Integritätsdiensts

1. Melden Sie sich auf dem Clientcomputer mit einem Konto an, das Mitglied der Gruppe „Administratoren" ist.

2. Wählen Sie auf dem Windows-Desktop Start, und wählen Sie dann Ausführen aus.

3. Geben Sie im Dialog Ausführen cmd ein und wählen Sie dann OK aus.

4. Geben Sie an der Eingabeaufforderung <drive_letter>: ein (wobei <drive_letter> das Laufwerk ist, auf dem der Operations Manager-Agent installiert ist) und drücken Sie dann die EINGABETASTE.

5. Geben Sie cd \Program Files\Microsoft Monitoring Agent\Agentein, und drücken Sie die EINGABETASTE.

6. Geben Sie HSLockdown.exe [Management Group Name] /D [account or group] ein, um die Gruppe oder das Konto abzulehnen, und drücken Sie dann die EINGABETASTE.

7. Starten Sie den Microsoft Monitoring Agent (HealthService) neu, um die Änderungen anzuwenden.

Entsperren des Kontos

1. Melden Sie sich auf dem Clientcomputer mit einem Konto an, das Mitglied der Gruppe „Administratoren" ist.

2. Wählen Sie auf dem Windows-Desktop Start, und wählen Sie dann Ausführen aus.

3. Geben Sie im Dialog Ausführen cmd ein und wählen Sie dann OK aus.

4. Geben Sie an der Eingabeaufforderung <drive_letter>: ein (wobei <drive_letter> das Laufwerk ist, auf dem der Operations Manager-Agent installiert ist) und drücken Sie dann die EINGABETASTE.

5. Geben Sie cd \Program Files\Microsoft Monitoring Agent\Agentein, und drücken Sie die EINGABETASTE.

6. Geben Sie HSLockdown.exe [Management Group Name] /A <Action Account> ein, und drücken Sie die EINGABETASTE.

7. Starten Sie den Microsoft Monitoring Agent (HealthService) neu, um die Änderungen anzuwenden.

So fügen Sie das lokale Systemkonto hinzu

1. Melden Sie sich auf dem Clientcomputer mit einem Konto an, das Mitglied der Gruppe „Administratoren" ist.

2. Wählen Sie auf dem Windows-Desktop Start, und wählen Sie dann Ausführen aus.

3. Geben Sie im Dialog Ausführen cmd ein und wählen Sie dann OK aus.

4. Geben Sie an der Eingabeaufforderung <drive_letter>: ein (wobei <drive_letter> das Laufwerk ist, auf dem der Operations Manager-Agent installiert ist) und drücken Sie dann die EINGABETASTE.

5. Geben Sie cd \Program Files\Microsoft Monitoring Agent\Agentein, und drücken Sie die EINGABETASTE.

6. Geben Sie HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM” ein, und drücken Sie die EINGABETASTE.

7. Starten Sie den Microsoft Monitoring Agent (HealthService) neu, um die Änderungen anzuwenden.

Nächste Schritte

• Wie Sie ein „Ausführen-als"-Konto erstellen und mit einem „Ausführen-als"-Profil verknüpfen, erfahren Sie unter Wie Sie ein „Ausführen-als"-Konto erstellen und mit einem „Ausführen-als"-Profil verknüpfen.

• Wenn Sie neue Anmeldeinformationen für das Aktionskonto des Verwaltungsservers erstellen müssen, lesen Sie So erstellen Sie ein neues Aktionskonto in Operations Manager.

• Um zu verstehen, wie Sie die Verteilung von „Ausführen-als"-Konten an von Agenten verwaltete Computer sicher steuern können, lesen Sie Verteilung und Steuerung von „Ausführen-als"-Konten und Profilen.