Habilitar el inicio de sesión del servicio
El procedimiento recomendado de seguridad consiste en deshabilitar las sesiones interactivas y remotas interactivas para las cuentas de servicio. Los equipos de seguridad de todas las organizaciones tienen controles estrictos para aplicar este procedimiento recomendado para evitar el robo de credenciales y los ataques asociados.
System Center Service Manager (SM) admite la protección de las cuentas de servicio y no requiere que se conceda el derecho de usuario Permitir el inicio de sesión local para varias cuentas, lo que se necesita para admitir SM.
Debes proporcionar permiso de inicio de sesión de servicio a las siguientes cuentas que usan el servidor de administración de SM y el servidor de administración de almacenamiento de datos.
Cuenta de servicios de Service Manager: esta cuenta se usa para el servicio de acceso a datos de System Center y el servicio de configuración de administración de System Center.
Esta cuenta requiere permiso de inicio de sesión de servicio.
Cuenta de flujo de trabajo de Service Manager: Esta cuenta se usa para ejecutar el proceso MonitoringHost.exe (ejecuta todos los flujos de trabajo). Esta cuenta requiere permiso de inicio de sesión de servicio.
Nota
Se recomienda proporcionar permiso de inicio de sesión de servicio a las cuentas usadas por varios conectores SM (AD, OM, SCO, CM, VMM, conectores de intercambio). Las cuentas de Service Reporting y las cuentas de Analysis Services no requieren permiso de inicio de sesión de servicio.
Habilitación del inicio de sesión del servicio como tipo de inicio de sesión
Puedes conceder permiso de inicio de sesión de servicio a través de una directiva de dominio o una directiva de grupo local.
Para habilitar el uso de la directiva de dominio, ponte en contacto con los administradores. Para usar la directiva de grupo local, consulta la sección sobre cómo habilitar el servicio a través de una directiva de grupo local.
Identificar las cuentas que necesitan permiso de inicio de sesión de servicio
Si las cuentas necesarias no se proporcionan con el permiso de inicio de sesión de servicio, monitoringhost.exe no se ejecuta en esas cuentas. Esto significa que algunos de los flujos de trabajo, como SLA/SLO, no se ejecutan. En este caso, se registra el siguiente evento de error en el registro de eventos de Operations Manager:
El Servicio de mantenimiento no pudo iniciar sesión en la cuenta de ejecución XXXXXXX para el grupo de administración XXXX porque no se le ha concedido el *Inicio de sesión como servicio
Este es un error de muestra:
Habilitar el inicio de sesión de servicio a través de una directiva de grupo local
Siga estos pasos:
Inicia sesión con privilegios de administrador en el equipo desde el que quieres proporcionar el permiso de inicio de sesión como servicio a las cuentas.
Ve a Herramientas administrativas y selecciona Directiva de seguridad local.
Expande el nodo Directiva local y selecciona Asignación de derechos de usuario. En el panel derecho, haz clic con el botón derecho en Iniciar sesión como un servicio y selecciona Propiedades.
Selecciona la opción Agregar usuario o Grupo para agregar el nuevo usuario.
En el cuadro de diálogo Seleccionar usuarios o Grupos, busca el usuario que quieres agregar y selecciona Aceptar.
Selecciona Aceptar en las propiedades de servicio de inicio de sesión para guardar los cambios.
Cambiar el tipo de inicio de sesión de un valor predeterminado
El tipo de inicio de sesión predeterminado es Inicio de sesión del servicio. Después de la nueva instalación de SM o una actualización, el tipo de inicio de sesión será Inicio de sesión del servicio de forma predeterminada.
Puedes cambiar el tipo de inicio de sesión predeterminado mediante los pasos siguientes:
Inicia sesión con privilegios de administrador en el equipo desde el que quieres proporcionar el permiso de inicio de sesión como servicio a las cuentas.
Ejecuta gpedit.msc
En Configuración del equipo, expande Plantillas administrativas.
Selecciona System Center - Operations Manager.
Haz clic con el botón derecho en Tipo de inicio de sesión de la cuenta de acción de supervisión, selecciona Editar y selecciona Habilitado.
Elige Tipo de inicio de sesión en el menú desplegable.
