Kontrola dostępu za pomocą narzędzia Usługa kondycji Lockdown w programie Operations Manager

Na komputerach wymagających wysokich zabezpieczeń, na przykład kontroler domeny, może być konieczne odmowę dostępu niektórych tożsamości do reguł, zadań i monitorów, które mogą zagrozić bezpieczeństwu serwera. Narzędzie Usługa kondycji blokady (HSLockdown.exe) umożliwia używanie różnych opcji wiersza polecenia do kontrolowania i ograniczania tożsamości używanych do uruchamiania reguły, zadania lub monitora.

Uwaga

Nie będzie można uruchomić usługi Microsoft Monitoring Agent, jeśli użyto narzędzia Usługa kondycji Blokada w celu zablokowania konta działania. Aby móc ponownie uruchomić usługę Microsoft Monitoring Agent, wykonaj drugą procedurę w tym artykule, aby odblokować konto działania.

Dostępne są następujące opcje wiersza polecenia:

• HSLockdown [ManagementGroupName] /L — Wyświetlanie listy kont/grup

• HSLockdown [ManagementGroupName] /A — Dodawanie dozwolonego konta|grupy

• HSLockdown [ManagementGroupName] /D — Dodawanie odrzuconego konta|grupy

• HSLockdown [ManagementGroupName] /R — usuwanie dozwolonego/odrzuconego konta|grupy

Konta muszą być określone w jednym z następujących w pełni kwalifikowanych formatów nazwy domeny (FQDN):

• NetBios: DOMAIN\username

• Nazwa UPN: username@fqdn.com

Jeśli podczas uruchamiania narzędzia blokady Usługa kondycji użyto opcji dodawania lub odmowy, przed wprowadzeniem zmian należy ponownie uruchomić usługę System Center Management.

Podczas oceniania dozwolonych i odrzuconych list należy wiedzieć, że odmowa przejmuje pierwszeństwo przed zezwalaniami. Jeśli użytkownik jest wymieniony jako dozwolony, a ten sam użytkownik jest członkiem grupy, która jest wymieniona jako odrzucona, użytkownik zostanie odrzucony.

Aby odmówić konta za pomocą narzędzia blokady usługi kondycji

1. Zaloguj się na komputerze przy użyciu konta, które jest członkiem grupy Administratorzy.

2. Na pulpicie systemu Windows wybierz pozycję Start, a następnie wybierz pozycję Uruchom.

3. W oknie dialogowym Uruchamianie wprowadź polecenie cmd, a następnie wybierz przycisk OK.

4. W wierszu polecenia wprowadź <drive_letter>: (gdzie <drive_letter> jest dysk, na którym jest zainstalowany agent programu Operations Manager), a następnie naciśnij ENTER.

5. Wprowadź, cd \Program Files\Microsoft Monitoring Agent\Agent a następnie naciśnij ENTER.

6. Wprowadź wartość HSLockdown.exe [Management Group Name] /D [account or group] , aby odmówić grupie lub kontu, a następnie naciśnij ENTER.

7. Uruchom ponownie usługę Microsoft Monitoring Agent (HealthService), aby zastosować zmiany.

Aby odblokować konto działania

1. Zaloguj się na komputerze przy użyciu konta, które jest członkiem grupy Administratorzy.

2. Na pulpicie systemu Windows wybierz pozycję Start, a następnie wybierz pozycję Uruchom.

3. W oknie dialogowym Uruchamianie wprowadź polecenie cmd, a następnie wybierz przycisk OK.

4. W wierszu polecenia wprowadź <drive_letter>: (gdzie <drive_letter> jest dysk, na którym jest zainstalowany agent programu Operations Manager), a następnie naciśnij ENTER.

5. Wprowadź, cd \Program Files\Microsoft Monitoring Agent\Agent a następnie naciśnij ENTER.

6. Wprowadź, HSLockdown.exe [Management Group Name] /A <Action Account> a następnie naciśnij ENTER.

7. Uruchom ponownie usługę Microsoft Monitoring Agent (HealthService), aby zastosować zmiany.

Aby dodać konto systemu lokalnego

1. Zaloguj się na komputerze przy użyciu konta, które jest członkiem grupy Administratorzy.

2. Na pulpicie systemu Windows wybierz pozycję Start, a następnie wybierz pozycję Uruchom.

3. W oknie dialogowym Uruchamianie wprowadź polecenie cmd, a następnie wybierz przycisk OK.

4. W wierszu polecenia wprowadź <drive_letter>: (gdzie <drive_letter> jest dysk, na którym jest zainstalowany agent programu Operations Manager), a następnie naciśnij ENTER.

5. Wprowadź, cd \Program Files\Microsoft Monitoring Agent\Agent a następnie naciśnij ENTER.

6. Wprowadź, HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM” a następnie naciśnij ENTER.

7. Uruchom ponownie usługę Microsoft Monitoring Agent (HealthService), aby zastosować zmiany.

Następne kroki

• Aby dowiedzieć się, jak utworzyć konto Uruchom jako i skojarzyć je z profilem Uruchom jako, zobacz Jak utworzyć konto Uruchom jako i skojarzyć je z profilem Uruchom jako.

• Jeśli musisz utworzyć nowe poświadczenia dla konta działania serwera zarządzania, zobacz How to Create a New Action Account in Operations Manager (Jak utworzyć nowe konto działania w programie Operations Manager).

• Aby dowiedzieć się, jak bezpiecznie kierować dystrybucję konta Uruchom jako do komputerów zarządzanych przez agentów, zapoznaj się z tematem Dystrybucja i określanie elementów docelowych dla kont i profilów Uruchom jako.