Abilitare l'accesso al servizio
La procedura consigliata per la sicurezza consiste nel disabilitare sessioni interattive e remote per gli account del servizio. I team di sicurezza in tutte le organizzazioni hanno controlli rigorosi per applicare questa procedura consigliata per evitare il furto di credenziali e gli attacchi associati.
System Center - Service Manager (SM) supporta il rafforzamento degli account di servizio e non richiede la concessione del diritto Consenti accesso locale per diversi account, necessari per supportare SM.
È necessario fornire l'autorizzazione di accesso al servizio per gli account seguenti usati dal server di gestione sm e dal server di gestione del data warehouse.
Account dei servizi di Service Manager: questo account viene usato per il servizio di accesso ai dati di System Center e per il servizio di configurazione della gestione di System Center.
Questo account richiede l'autorizzazione di accesso al servizio.
Account del flusso di lavoro di Service Manager Questo account viene usato per eseguire il processo MonitoringHost.exe (esegue tutti i flussi di lavoro). Questo account richiede l'autorizzazione di accesso al servizio.
Nota
È consigliabile fornire l'autorizzazione di accesso al servizio per gli account usati da vari connettori SM (AD, OM, SCO, CM, VMM, exchange connector). Gli account di Service Reporting e analysis Services non richiedono l'autorizzazione di accesso al servizio.
Abilitare l'accesso al servizio come tipo di logon
È possibile concedere l'autorizzazione di accesso al servizio tramite criteri di dominio o criteri di gruppo locali.
Per abilitare l'uso dei criteri di dominio, contattare gli amministratori. Per usare i criteri di gruppo locali, vedere la sezione relativa all'abilitazione del servizio tramite criteri di gruppo locali
Identificare gli account che richiedono l'autorizzazione di accesso al servizio
Se gli account necessari non vengono forniti con l'autorizzazione di accesso al servizio, monitoringhost.exe non viene eseguito con tali account. Ciò significa che alcuni dei flussi di lavoro, ad esempio sla/SLO, non vengono eseguiti. In questo caso, l'evento di errore seguente viene registrato nel registro eventi di Operations Manager:
Il Servizio sanitario non è riuscito a effettuare l'accesso all'account RunAs XXXXXXX per il gruppo di gestione XXXX perché non è stato concesso l'accesso come servizio
Ecco un errore di esempio:
Abilitare l'accesso al servizio tramite criteri di gruppo locali
Seguire questa procedura:
Accedere con privilegi di amministratore al computer da cui si vuole fornire l'autorizzazione Accesso come servizio agli account.
Passare a Strumenti di amministrazione e selezionare Criteri di sicurezza locali.
Espandere Criteri di sicurezza locali e selezionare Assegnazione dei diritti utente. Nel riquadro destro fare clic con il pulsante destro del mouse su Accedi come servizio e scegliere Proprietà.
Selezionare l'opzione Aggiungi utente o gruppo per aggiungere il nuovo utente.
Nella finestra di dialogo Seleziona utenti o gruppi trovare l'utente da aggiungere e selezionare OK.
Selezionare OK in Proprietà accesso come servizio per salvare le modifiche.
Modificare il tipo di accesso da un valore predefinito
Il tipo di accesso predefinito è Accesso al servizio. Dopo la nuova installazione di SM o un aggiornamento, il tipo di accesso sarà Accesso al servizio, per impostazione predefinita.
È possibile modificare il tipo di accesso predefinito attenendosi alla procedura seguente:
Accedere con privilegi di amministratore al computer da cui si vuole fornire l'autorizzazione Accesso come servizio agli account.
Eseguire gpedit.msc
Sotto Configurazione del computer, espandi Modelli amministrativi.
Selezionare System Center - Operations Manager.
Fare clic con il pulsante destro del mouse sul tipo di accesso dell'account azione di monitoraggio, scegliere Modifica e selezionare Abilitato.
Scegliere Tipo di accesso dal menu a discesa.
