サービス ログオンを有効にする
セキュリティのベスト プラクティスは、サービス アカウントの対話型およびリモート対話型セッションを無効にすることです。 組織全体のセキュリティ チームは、資格情報の盗難や関連する攻撃を防ぐために、このベスト プラクティスを適用するための厳格な制御を持っています。
System Center - Service Manager (SM) では、サービス アカウントのセキュリティ強化がサポートされており、
SM 管理サーバーとデータ ウェアハウス管理サーバーで使用される次のアカウントにサービス ログオンアクセス許可を付与する必要があります。
Service Manager サービス アカウント: このアカウントは、System Center Data Access Service および System Center Management Configuration サービスに使用されます。
このアカウントには、サービス ログオンのアクセス許可が必要です。
Service Manager ワークフロー アカウント このアカウントは、 MonitoringHost.exe プロセスを実行するために使用されます (すべてのワークフローを実行します)。 このアカウントには、サービス ログオンのアクセス許可が必要です。
Note
さまざまな SM コネクタ (AD、OM、SCO、CM、VMM、Exchange コネクタ) で使用されるアカウントにサービス ログオンアクセス許可を付与することをお勧めします。 サービス レポート アカウントと Analysis Services アカウントには、サービス ログオンアクセス許可は必要ありません。
ログオンの種類としてサービス ログオンを有効にする
ドメイン ポリシーまたはローカル グループ ポリシーを使用して、サービス ログオンアクセス許可を付与できます。
ドメイン ポリシーの使用を有効にするには、管理者に問い合わせてください。 ローカル グループ ポリシーを使用するには、ローカル グループ ポリシーを使用 有効なサービスに関するセクションを参照してください
サービス ログオンアクセス許可が必要なアカウントを特定する
必要なアカウントにサービス ログオンアクセス許可が付与されていない場合、 monitoringhost.exe はそれらのアカウントでは実行されません。 つまり、SLA や SLO などの一部のワークフローは実行されません。 このような場合は、Operations Manager イベント ログに次のエラー イベントが記録されます。
ヘルス サービスは、*サービスとしてのログオンが許可されていないため、管理グループ XXXX の実行アカウント XXXXXXX にログオンできませんでした
エラーの例を次に示します。
ローカル グループ ポリシーを使用してサービス ログオンを有効にする
次のステップを実行します。
アカウントに対する Log on Service アクセス許可を付与するコンピューターに管理者特権でサインインします。
Administrative Tools に移動しローカル セキュリティ ポリシー選択。
[ローカル ポリシー 展開し ユーザー権利の割り当て 選択します。 右側のウィンドウで[サービスとしてログオン] を右クリックしProperties を選択します。
ユーザーの追加または Group オプションを選択して、新しいユーザーを追加します。
ユーザーの選択または Groups ダイアログで、追加するユーザーを見つけて、OKを選択します。
Log on as a service Propertiesで OK を選択して変更を保存します。
既定値からログオンの種類を変更する
既定のログオンの種類は Service ログオンです。 SM の新規インストールまたはアップグレード後、ログオンの種類は既定でサービス ログオンになります。
既定のログオンの種類は、次の手順を使用して変更できます。
アカウントに対する Log on Service アクセス許可を付与するコンピューターに管理者特権でサインインします。
gpedit.msc を実行する
[ Computer 構成で、 Administrative Templates を展開します。
System Center – Operations Manager を選択します。
[アクション アカウントログオンの種類の監視を右クリックし編集を選択し、Enabledを選択します。
ドロップダウン メニューから Logon Type を選択します。
