Operations Manager の ヘルス サービス ロックダウン ツールを使用してアクセスを制御する

ドメイン コントローラーなど、高いセキュリティを必要とするコンピューターでは、サーバーのセキュリティを危険にさらす可能性のあるルール、タスク、モニターへの特定の ID アクセスを拒否することが必要になる場合があります。 ヘルス サービス ロックダウン ツール (HSLockdown.exe) を使用すると、さまざまなコマンド ライン オプションを使用して、ルール、タスク、またはモニターの実行に使用する ID を管理し、制限できます。

Note

ヘルス サービス ロックダウン ツールを使用してアクション アカウントをロックアウトした場合、Microsoft Monitoring Agent サービスを開始できません。 Microsoft Monitoring Agent サービスを再起動できるようにするには、この記事の 2 番目の手順に従ってアクション アカウントのロックを解除します。

次のコマンド ライン オプションを使用できます。

• HSLockdown [ManagementGroupName] /L: アカウントとグループを一覧表示

• HSLockdown [ManagementGroupName] /A - 許可されたアカウント|グループを追加する

• HSLockdown [ManagementGroupName] /D - 拒否されたアカウント|グループを追加する

• HSLockdown [ManagementGroupName] /R - 許可/拒否されたアカウント|グループを削除する

アカウントは、次のいずれかの完全修飾ドメイン名 (FQDN) の形式で指定する必要があります。

• NetBios :ドメイン\ユーザー名

• UPN : username@fqdn.com

ヘルス サービス ロックダウン ツールの実行時に追加または拒否オプションを使用した場合は、変更を有効にする前に System Center 管理サービスを再起動する必要があります。

許可された一覧と拒否された一覧を評価する際は、拒否の方が許可よりも優先されることに注意してください。 許可された一覧に表示されていても、拒否された一覧に表示されているグループのメンバーであるユーザーは、拒否されます。

ヘルス サービス ロックダウン ツールを使用してアカウントを拒否するには

1. Administrators グループのメンバーであるアカウントを使用してコンピューターにサインインします。

2. Windows デスクトップで Start を選択し、 Run を選択します。

3. Run ダイアログで、「cmd」と入力し、OK を選択します。

4. コマンド プロンプトで、「 <drive_letter>: ( <drive_letter> は Operations Manager エージェントがインストールされているドライブ)」と入力し、 ENTER キーを押します。

5. 「 cd \Program Files\Microsoft Monitoring Agent\Agent 」と入力し、 ENTER キーを押します。

6. グループまたはアカウントを拒否する HSLockdown.exe [Management Group Name] /D [account or group] を入力し、 ENTER キーを押します。

7. Microsoft Monitoring Agent (HealthService) サービスを再起動して、変更を適用します。

アクション アカウントのロックを解除するには

1. Administrators グループのメンバーであるアカウントを使用してコンピューターにサインインします。

2. Windows デスクトップで Start を選択し、 Run を選択します。

3. Run ダイアログで、「cmd」と入力し、OK を選択します。

4. コマンド プロンプトで、「 <drive_letter>: ( <drive_letter> は Operations Manager エージェントがインストールされているドライブ)」と入力し、 ENTER キーを押します。

5. 「 cd \Program Files\Microsoft Monitoring Agent\Agent 」と入力し、 ENTER キーを押します。

6. 「 HSLockdown.exe [Management Group Name] /A <Action Account> 」と入力し、 ENTER キーを押します。

7. Microsoft Monitoring Agent (HealthService) サービスを再起動して、変更を適用します。

ローカル システム アカウントを追加するには

1. Administrators グループのメンバーであるアカウントを使用してコンピューターにサインインします。

2. Windows デスクトップで Start を選択し、 Run を選択します。

3. Run ダイアログで、「cmd」と入力し、OK を選択します。

4. コマンド プロンプトで、「 <drive_letter>: ( <drive_letter> は Operations Manager エージェントがインストールされているドライブ)」と入力し、 ENTER キーを押します。

5. 「 cd \Program Files\Microsoft Monitoring Agent\Agent 」と入力し、 ENTER キーを押します。

6. 「 HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM” 」と入力し、 ENTER キーを押します。

7. Microsoft Monitoring Agent (HealthService) サービスを再起動して、変更を適用します。

次のステップ

• 実行アカウントを作成して実行プロファイルに関連付ける方法については、「 実行アカウントを作成する方法と実行プロファイルに関連付ける方法を参照してください。

• 管理サーバー アクション アカウントの新しい資格情報を作成する必要がある場合は、「 Operations Manager で新しいアクション アカウントを作成する方法を参照してください。

• 実行アカウントの配布をエージェントで管理されたコンピューターに安全にターゲットにする方法を理解するには、「実行アカウントとプロファイルの配布とターゲット設定を確認してください。