Contrôler l’accès à l’aide de l’outil de verrouillage du service d’intégrité dans Operations Manager

Sur les ordinateurs nécessitant une haute sécurité, par exemple un contrôleur de domaine, vous devrez peut-être refuser à certaines identités l’accès aux règles, aux tâches et aux moniteurs susceptibles de compromettre la sécurité de votre serveur. L'outil de verrouillage du service d'intégrité (HSLockdown.exe) vous permet d'utiliser diverses options de ligne de commande pour contrôler et limiter les identités utilisées pour exécuter une règle, une tâche ou une analyse.

Remarque

Vous ne pourrez pas démarrer le service Microsoft Monitoring Agent si vous avez utilisé l’outil de verrouillage du service d’intégrité pour verrouiller le compte d’action. Pour pouvoir redémarrer le service Microsoft Monitoring Agent, suivez la deuxième procédure décrite dans cet article pour déverrouiller le compte d’action.

Les options de ligne de commande suivantes sont disponibles :

• HSLockdown [nom_groupe_d'administration] /L - Répertorier les comptes/groupes

• HSLockdown [ManagementGroupName] /A - Ajouter un compte autorisé|group

• HSLockdown [ManagementGroupName] /D - Ajouter un compte refusé|groupe

• HSLockdown [ManagementGroupName] /R - Supprimer un compte autorisé/refusé|groupe

Les comptes doivent être spécifiés dans l'un des formats de nom de domaine complet (FQDN) suivants :

• NetBios : DOMAINE\nom_utilisateur

• UPN : username@fqdn.com

Si vous avez utilisé les options d’ajout ou de refus lors de l’exécution de l’outil de verrouillage du service d’intégrité, vous devez redémarrer le service De gestion System Center avant que les modifications ne prennent effet.

Lors de l'évaluation de listes d'autorisations et de listes de refus, sachez que les refus l'emportent sur les autorisations. Si un utilisateur est autorisé mais qu'il est membre d'un groupe défini comme refusé, l'utilisateur sera refusé.

Pour refuser un compte avec l’outil de verrouillage du service de contrôle d’intégrité

1. Connectez-vous à l’ordinateur avec un compte membre du groupe Administrateurs.

2. Sur le bureau Windows, sélectionnez Démarrer, puis Exécutez.

3. Dans la boîte de dialogue Exécuter , entrez cmd , puis sélectionnez OK.

4. À l’invite de commandes, entrez <drive_letter>: (où <drive_letter> se trouve le lecteur où l’agent Operations Manager est installé), puis appuyez sur Entrée.

5. Entrez, puis appuyez cd \Program Files\Microsoft Monitoring Agent\Agent sur Entrée.

6. Entrez HSLockdown.exe [Management Group Name] /D [account or group] pour refuser le groupe ou le compte, puis appuyez sur Entrée.

7. Redémarrez le service Microsoft Monitoring Agent (HealthService) pour appliquer les modifications.

Pour déverrouiller le compte Action

1. Connectez-vous à l’ordinateur avec un compte membre du groupe Administrateurs.

2. Sur le bureau Windows, sélectionnez Démarrer, puis Exécutez.

3. Dans la boîte de dialogue Exécuter , entrez cmd , puis sélectionnez OK.

4. À l’invite de commandes, entrez <drive_letter>: (où <drive_letter> se trouve le lecteur où l’agent Operations Manager est installé), puis appuyez sur Entrée.

5. Entrez, puis appuyez cd \Program Files\Microsoft Monitoring Agent\Agent sur Entrée.

6. Entrez, puis appuyez HSLockdown.exe [Management Group Name] /A <Action Account> sur Entrée.

7. Redémarrez le service Microsoft Monitoring Agent (HealthService) pour appliquer les modifications.

Pour ajouter le compte système local

1. Connectez-vous à l’ordinateur avec un compte membre du groupe Administrateurs.

2. Sur le bureau Windows, sélectionnez Démarrer, puis Exécutez.

3. Dans la boîte de dialogue Exécuter , entrez cmd , puis sélectionnez OK.

4. À l’invite de commandes, entrez <drive_letter>: (où <drive_letter> se trouve le lecteur où l’agent Operations Manager est installé), puis appuyez sur Entrée.

5. Entrez, puis appuyez cd \Program Files\Microsoft Monitoring Agent\Agent sur Entrée.

6. Entrez, puis appuyez HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM” sur Entrée.

7. Redémarrez le service Microsoft Monitoring Agent (HealthService) pour appliquer les modifications.

Étapes suivantes

• Pour comprendre comment créer un compte d’identification et l’associer à un profil d’identification, consultez Comment créer un compte d’identification et l’associer à un profil d’identification.

• Si vous devez créer de nouvelles informations d’identification pour le compte d’action du serveur d’administration, consultez Comment créer un compte d’action dans Operations Manager.

• Pour comprendre comment cibler la distribution de compte d’identification sur des ordinateurs gérés par l’agent en toute sécurité, passez en revue la distribution et le ciblage pour les comptes et profils d’identification.