Inschakelen van servicelogboek voor run-as-accounts
De beste beveiligingspraktijk is om interactieve en externe interactieve sessies voor serviceaccounts uit te schakelen. Beveiligingsteams in alle organisaties hebben strikte controles om deze best practice af te dwingen om diefstal van referenties en bijbehorende aanvallen te voorkomen.
System Center Operations Manager ondersteunt de verharding van serviceaccounts en vereist niet het verlenen van het Lokaal aanmelden toestaan gebruikersrecht voor verschillende accounts die vereist zijn ter ondersteuning van Operations Manager.
Eerdere versies van Operations Manager hebben Lokaal aanmelden toestaan ingesteld als het standaardtype aanmelding. Operations Manager maakt standaard gebruik van servicelogboek op. Dit leidt tot de volgende wijzigingen:
- Health Service maakt standaard gebruik van aanmeldingstype Service. Voor de versie van Operations Manager 2016 was het Interactive.
- Operations Manager-actieaccounts en -serviceaccounts hebben nu -machtiging aanmelden als een service.
- Actieaccounts en Uitvoeren als accounts moeten de machtiging 'Aanmelden als een service' hebben om MonitoringHost.exeuit te voeren. Meer informatie.
Wijzigingen in Operations Manager-actieaccounts
De volgende accounts krijgen de machtiging voor aanmelden als een service tijdens de installatie van Operations Manager en tijdens de upgrade vanaf eerdere versies.
Actie-account van beheerserver
System Center-configuratieservice en System Center-serviceaccounts voor gegevenstoegang
Account voor agentacties
Data Warehouse schrijfaccount
Gegevenslezer-account
Na deze wijziging vereisen alle Uitvoeren als-accounts die door Operations Manager-beheerders voor de management packs (MP's) zijn aangemaakt, het recht Aanmelden als een service; beheerders moeten dit recht verlenen.
Aanmeldingstype weergeven voor beheerservers en agents
U kunt het aanmeldingstype voor beheerservers en agents bekijken vanuit de Operations Manager-console.
Als u het aanmeldingstype voor beheerservers wilt weergeven, gaat u naar Administration>Operations Manager Products>Management-servers.
Als u het aanmeldingstype voor agents wilt bekijken, gaat u naar Administration>Operations Manager Products>Agents.
Notitie
Agent/gateway die nog niet is bijgewerkt, geeft het aanmeldingstype weer als Service in de console. Zodra de agent/gateway is bijgewerkt, wordt het huidige aanmeldingstype weergegeven.
Aanmeldingsmachtigingen voor services inschakelen voor Run As-accounts
Volg deze stappen:
Log in met beheerdersrechten op de computer vanwaaruit u de machtiging Aanmelden als Service wilt verlenen aan een Uitvoeren als-account.
Ga naar Beheerprogramma's en selecteer Lokaal Beveiligingsbeleid.
Vouw Lokaal Beleid uit en selecteer Toewijzing van Gebruikersrechten.
Klik in het rechterdeelvenster met de rechtermuisknop op Aanmelden als een service en selecteer Eigenschappen.
Selecteer optie Gebruiker of groep toevoegen om de nieuwe gebruiker toe te voegen.
Zoek in het dialoogvenster Gebruikers of groepen selecteren de gebruiker die u wilt toevoegen en selecteer OK.
Selecteer OK in de Eigenschappen voor Aanmelden als een service om de wijzigingen op te slaan.
Notitie
Als u een upgrade uitvoert naar Operations Manager 2019 vanaf een vorige versie of als u een nieuwe Operations Manager 2019-omgeving installeert, volgt u de bovenstaande stappen om aanmelden als een service machtiging voor Uitvoeren als-accounts op te geven.
Notitie
Als u een upgrade uitvoert naar Operations Manager 2022 vanaf een eerdere versie of een nieuwe Operations Manager 2022-omgeving installeert, voer dan de bovenstaande stappen uit om Machtiging voor aanmelden als een service toe te kennen aan de Run As-accounts.
Notitie
Als u een upgrade uitvoert naar Operations Manager 2025 vanaf een eerdere versie of als u een nieuwe Operations Manager 2025-omgeving installeert, volgt u de bovenstaande stappen om aanmelden als een service machtiging voor Uitvoeren als-accounts op te geven.
Aanmeldingstype wijzigen voor een health service
Als u het aanmeldingstype van de Operations Manager-statusservice wilt wijzigen in Lokaal aanmelden toestaan, configureert u de beveiligingsbeleidsinstelling op het lokale apparaat met behulp van de console Lokaal beveiligingsbeleid.
Hier volgt een voorbeeld:
Coëxistentie met agent van Operations Manager 2016
Met de wijziging van het aanmeldingstype die is geïntroduceerd in Operations Manager 2019, kan de Operations Manager 2016-agent zonder problemen naast elkaar bestaan en samenwerken. Er zijn echter een aantal scenario's die worden beïnvloed door deze wijziging:
- Push-installatie van agent vanuit de Operations Manager-console vereist een account met beheerdersbevoegdheden en de Aanmelden als een service rechtstreeks op de doelcomputer.
- Het actieaccount vereist beheerdersbevoegdheden op beheerservers voor het bewaken van Service Manager op de Operations Manager Management Server.
Probleemoplossing
Als een van de 'Run as'-accounts inderdaad beschikt over de vereiste machtiging om als een service aan te melden, verschijnt er een kritieke monitoring-gebaseerde waarschuwing. Deze waarschuwing geeft de details weer van het 'Uitvoeren als'-account, dat geen toestemming heeft voor Aanmelden als een service.
Open Logboeken op de agentcomputer. Zoek in het Operations Manager-logboek naar de gebeurtenis-id 7002 om de details weer te geven over de Run As-accounts waarvoor de aanmelden als een service-machtiging is vereist.
| Parameter | Bericht |
|---|---|
| Waarschuwingsnaam | Er is voor het Run As-account geen vereist aanmeldingstype. |
| Beschrijving van waarschuwing | Het Run As-account moet het aangevraagde inlogtype hebben. |
| Waarschuwingscontext | Health Service kan zich niet aanmelden, omdat het Uitvoeren als-account voor beheergroep (groepsnaam) niet is verleend aan het Aanmelden als een service machtiging. |
| Monitor | (monitornaam toevoegen) |
Geef aanmelden als een service- machtiging op voor de toepasselijke Uitvoeren als-accounts, die worden geïdentificeerd in gebeurtenis 7002. Zodra u de gegeven machtiging hebt, wordt gebeurtenis-ID 7028 weergegeven en verandert de monitor naar de status In orde.
