Controllare l'accesso usando lo strumento di blocco Servizio integrità in Operations Manager

Nei computer che richiedono sicurezza elevata, ad esempio un controller di dominio, potrebbe essere necessario negare a determinate identità l'accesso a regole, attività e monitoraggi che potrebbero compromettere la sicurezza del server. Lo strumento di blocco Servizio integrità (HSLockdown.exe) consente di utilizzare varie opzioni della riga di comando per controllare e limitare le identità utilizzate per eseguire una regola, un'attività o un monitoraggio.

Nota

Non sarà possibile avviare il servizio Microsoft Monitoring Agent se è stato usato lo strumento di blocco Servizio integrità per bloccare l'account azione. Per poter riavviare il servizio Microsoft Monitoring Agent, seguire la seconda procedura descritta in questo articolo per sbloccare l'account azione.

Sono disponibili le seguenti opzioni della riga di comando:

• HSLockdown [Nome_gruppo_di_gestione] /L - Elenca gli account o i gruppi

• HSLockdown [ManagementGroupName] /A - Aggiungere un account consentito|gruppo

• HSLockdown [ManagementGroupName] /D - Aggiungere un account negato|gruppo

• HSLockdown [ManagementGroupName] /R - Rimuovere un account consentito/negato|gruppo

Gli account devono essere specificati in uno dei seguenti formati per nome di dominio completo (FQDN):

• NetBios: DOMINIO\nomeutente

• UPN : username@fqdn.com

Se sono state usate le opzioni di aggiunta o negazione durante l'esecuzione dello strumento di blocco Servizio integrità, è necessario riavviare il servizio System Center Management prima che le modifiche siano effettive.

Durante la valutazione degli elenchi di utenti consentiti e negati, tenere presente che la negazione ha priorità rispetto al consenso. Se un utente è elencato come consentito e lo stesso utente è membro di un gruppo riportato in un elenco di utenti negati, a tale utente verrà negata l'autorizzazione.

Per negare un account con lo strumento di blocco del servizio integrità

1. Accedere al computer con un account membro del gruppo Administrators.

2. Sul desktop di Windows selezionare Start e quindi esegui.

3. Nella finestra di dialogo Esegui immettere cmd e quindi selezionare OK.

4. Al prompt dei comandi immettere <drive_letter>: (dove <drive_letter> è l'unità in cui è installato l'agente di Operations Manager) e quindi premere INVIO.

5. Immettere cd \Program Files\Microsoft Monitoring Agent\Agent e quindi premere INVIO.

6. Immettere HSLockdown.exe [Management Group Name] /D [account or group] per negare il gruppo o l'account e quindi premere INVIO.

7. Riavviare il servizio Microsoft Monitoring Agent (HealthService) per applicare le modifiche.

Per sbloccare l'account azione

1. Accedere al computer con un account membro del gruppo Administrators.

2. Sul desktop di Windows selezionare Start e quindi esegui.

3. Nella finestra di dialogo Esegui immettere cmd e quindi selezionare OK.

4. Al prompt dei comandi immettere <drive_letter>: (dove <drive_letter> è l'unità in cui è installato l'agente di Operations Manager) e quindi premere INVIO.

5. Immettere cd \Program Files\Microsoft Monitoring Agent\Agent e quindi premere INVIO.

6. Immettere HSLockdown.exe [Management Group Name] /A <Action Account> e quindi premere INVIO.

7. Riavviare il servizio Microsoft Monitoring Agent (HealthService) per applicare le modifiche.

Per aggiungere l'account di sistema locale

1. Accedere al computer con un account membro del gruppo Administrators.

2. Sul desktop di Windows selezionare Start e quindi esegui.

3. Nella finestra di dialogo Esegui immettere cmd e quindi selezionare OK.

4. Al prompt dei comandi immettere <drive_letter>: (dove <drive_letter> è l'unità in cui è installato l'agente di Operations Manager) e quindi premere INVIO.

5. Immettere cd \Program Files\Microsoft Monitoring Agent\Agent e quindi premere INVIO.

6. Immettere HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM” e quindi premere INVIO.

7. Riavviare il servizio Microsoft Monitoring Agent (HealthService) per applicare le modifiche.

Passaggi successivi

• Per informazioni su come creare un account RunAs e associarlo a un profilo RunAs, vedere Come creare un account RunAs e associarlo a un profilo RunAs.

• Se è necessario creare nuove credenziali per l'account azione del server di gestione, vedere Come creare un nuovo account azione in Operations Manager.

• Per informazioni su come impostare come destinazione la distribuzione degli account RunAs in computer gestiti dall'agente in modo sicuro, vedere Distribuzione e destinazione per account e profili RunAs.