Toegang beheren met het Health Service-programma Lockdown in Operations Manager

Belangrijk

Deze versie van Operations Manager heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar Operations Manager 2022.

Op computers die een hoge beveiliging vereisen, bijvoorbeeld een domeincontroller, moet u mogelijk bepaalde identiteiten de toegang tot regels, taken en monitors weigeren die de beveiliging van uw server in gevaar kunnen brengen. Bij het hulpprogramma Health Service Lockdown (HSLockdown.exe) kunt u diverse opdrachtregelopties gebruiken om de identiteiten te beheren en beperken waarmee een regel, taak of bewakingsfunctie kan worden uitgevoerd.

Notitie

U kunt de Microsoft Monitoring Agent-service niet starten als u het hulpprogramma Health Service Lockdown hebt gebruikt om het actie-account te vergrendelen. Als u de Microsoft Monitoring Agent-service opnieuw wilt starten, volgt u de tweede procedure in dit artikel om het actieaccount te ontgrendelen.

De volgende opdrachtregelopties zijn beschikbaar:

• HSLockdown [ManagementGroupName] /L - Accounts/groepen weergeven

• HSLockdown [ManagementGroupName] /A - Een toegestaan account|groep toevoegen

• HSLockdown [ManagementGroupName] /D - Een geweigerd account toevoegen|groep

• HSLockdown [ManagementGroupName] /R - Een toegestaan/geweigerd account verwijderen|groep

Accounts moeten in een van de volgende FQDN-indelingen (Fully Qualified Domain Name) worden opgegeven:

• NetBios: DOMEIN\gebruikersnaam

• UPN: username@fqdn.com

Als u de opties voor toevoegen of weigeren hebt gebruikt bij het uitvoeren van het hulpprogramma Health Service Lockdown, moet u de System Center Management-service opnieuw starten voordat de wijzigingen van kracht worden.

Houd er bij het evalueren van lijsten met toegestane en geweigerde items rekening mee dat weigeren vóór toestaan gaat. Als een gebruiker als toegestaan in een lijst staat en dezelfde gebruiker is lid van een groep die als geweigerd vermeld staat, wordt de gebruiker geweigerd.

Een account weigeren met het hulpprogramma Health Service Lockdown

1. Meld u aan bij de computer met een account dat lid is van de groep Administrators.

2. Selecteer start op het Windows-bureaublad en selecteer vervolgens Uitvoeren.

3. Voer in het dialoogvenster Uitvoerencmd in en selecteer vervolgens OK.

4. Voer bij de opdrachtprompt in <drive_letter>: (waarbij <drive_letter> het station is waarop de Operations Manager-agent is geïnstalleerd) en druk vervolgens op ENTER.

5. Voer in cd \Program Files\Microsoft Monitoring Agent\Agent en druk op Enter.

6. Voer in HSLockdown.exe [Management Group Name] /D [account or group] om de groep of het account te weigeren en druk op Enter.

7. Start de Microsoft Monitoring Agent-service (HealthService) opnieuw om wijzigingen toe te passen.

Het Actie-account ontgrendelen

1. Meld u aan bij de computer met een account dat lid is van de groep Administrators.

2. Selecteer start op het Windows-bureaublad en selecteer vervolgens Uitvoeren.

3. Voer in het dialoogvenster Uitvoerencmd in en selecteer vervolgens OK.

4. Voer bij de opdrachtprompt in <drive_letter>: (waarbij <drive_letter> het station is waarop de Operations Manager-agent is geïnstalleerd) en druk vervolgens op ENTER.

5. Voer in cd \Program Files\Microsoft Monitoring Agent\Agent en druk op Enter.

6. Voer in HSLockdown.exe [Management Group Name] /A <Action Account> en druk op Enter.

7. Start de Microsoft Monitoring Agent-service (HealthService) opnieuw om wijzigingen toe te passen.

Het lokale systeemaccount toevoegen

1. Meld u aan bij de computer met een account dat lid is van de groep Administrators.

2. Selecteer start op het Windows-bureaublad en selecteer vervolgens Uitvoeren.

3. Voer in het dialoogvenster Uitvoerencmd in en selecteer vervolgens OK.

4. Voer bij de opdrachtprompt in <drive_letter>: (waarbij <drive_letter> het station is waarop de Operations Manager-agent is geïnstalleerd) en druk vervolgens op ENTER.

5. Voer in cd \Program Files\Microsoft Monitoring Agent\Agent en druk op Enter.

6. Voer in HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM” en druk op Enter.

7. Start de Microsoft Monitoring Agent-service (HealthService) opnieuw om wijzigingen toe te passen.

Volgende stappen

• Zie Een Uitvoeren als-account maken en koppelen aan een Uitvoeren als-profiel als u wilt weten hoe u een Uitvoeren als-account maakt en aan een Run As-profiel koppelt.

• Zie How to Create a New Action Account in Operations Manager (Een nieuw actie-account maken in Operations Manager) als u nieuwe referenties voor het actieaccount van de beheerserver moet maken.

• Zie Distributie en doelen voor Uitvoeren als-accounts en -profielen voor meer informatie over het veilig targeten van run as-accountdistributie naar door agents beheerde computers.