Habilitar o Logon de Serviço para executar como contas
A prática recomendada de segurança é desabilitar sessões interativas e remotas interativas para contas de serviço. As equipes de segurança em todas as organizações têm controles rigorosos para aplicar essa prática recomendada para evitar o roubo de credenciais e ataques associados.
O System Center Operations Manager oferece suporte ao endurecimento de contas de serviço e não requer a atribuição do direito de utilizador de Permitir iniciar sessão localmente para várias contas necessárias para suportar o Operations Manager.
A versão anterior do Operations Manager tem Permitir iniciar sessão localmente como o tipo de início de sessão padrão. O Operations Manager usa o registo de serviço em por padrão. Isso leva às seguintes alterações:
- O Serviço de Saúde usa o tipo de logon Serviço por defeito. Na versão 2016 do Operations Manager, foi Interactive.
- As contas de ação do Operations Manager e as contas de serviço agora têm a permissão Iniciar sessão como serviço.
- As contas de ação e as contas Run As devem ter permissão Fazer logon como serviço para executar MonitoringHost.exe. Saiba mais.
Alterações nas contas de ação do Operations Manager
As seguintes contas recebem permissão Fazer logon como serviço durante a instalação do Operations Manager e durante a atualização a partir das versões anteriores:
Conta de Ação do Servidor de Gestão
Serviço de configuração do System Center e contas de serviço de acesso a dados do System Center
Conta de ações do agente
Conta de gravação do Data Warehouse
Conta do Leitor de Dados
Após essa alteração, todas as contas Run As criadas pelos administradores do Operations Manager para os pacotes de gerenciamento (MPs) exigem o direito de Logon como Serviço, que os administradores devem conceder.
Exibir tipo de logon para servidores e agentes de gerenciamento
Você pode exibir o tipo de logon para servidores e agentes de gerenciamento no console do Operations Manager.
Para exibir o tipo de logon para servidores de gerenciamento, vá para Administração>Operations Manager Products>servidores de gerenciamento.
Para visualizar o tipo de logon para agentes, vá para Administração>Operations Manager Products>Agents.
Observação
Agente/gateway que ainda não foi atualizado, apresenta o Tipo de logon como Serviço no console. Depois que o agente/gateway for atualizado, o tipo de logon atual será exibido.
Habilitar a permissão de logon de serviço para contas Run As
Siga estes passos:
Inicie sessão com privilégios de administrador no computador a partir do qual pretende fornecer permissão Iniciar sessão como serviço para uma conta Run As.
Vá para Ferramentas Administrativas e selecione Política de Segurança Local.
Expanda Política Local e selecione Atribuição de Direitos de Utilizador.
No painel direito, clique com o botão direito do rato Iniciar sessão como um serviço e selecione Propriedades.
Selecione opção Adicionar usuário ou grupo para adicionar o novo usuário.
Na caixa de diálogo Selecionar Usuários ou Grupos, localize o usuário que deseja adicionar e selecione OK.
Selecione OK no Fazer logon como um serviço Propriedades para salvar as alterações.
Observação
Se você estiver atualizando para o Operations Manager 2019 de uma versão anterior ou instalando um novo ambiente do Operations Manager 2019, siga as etapas acima para fornecer permissão de de logon como serviço para contas Run As.
Observação
Se você estiver atualizando para o Operations Manager 2022 a partir de uma versão anterior ou instalando um novo ambiente do Operations Manager 2022, siga as etapas acima para fornecer permissão Fazer logon como serviço para contas Run As.
Observação
Se você estiver atualizando para o Operations Manager 2025 a partir de uma versão anterior ou instalando um novo ambiente do Operations Manager 2025, siga as etapas acima para fornecer permissão de de logon como serviço para contas Run As.
Alterar o tipo de registo de um serviço de saúde
Se necessitar alterar o tipo de início de sessão do serviço de integridade do Operations Manager para Permitir início de sessão localmente, configure a definição da directiva de segurança no dispositivo local utilizando a consola da Directiva de Segurança Local.
Aqui está um exemplo:
Coexistência com o agente do Operations Manager 2016
Com a alteração de tipo de logon introduzida no Operations Manager 2019, o agente do Operations Manager 2016 pode coexistir e interoperar sem problemas. No entanto, há alguns cenários que são afetados por essa alteração:
- A instalação por push do agente a partir do console do Operations Manager requer uma conta que tenha privilégios administrativos e o Fazer logon como serviço diretamente no computador de destino.
- A conta de ação do Operations Manager Management Server requer privilégios administrativos nos servidores de gerenciamento para monitorar o Service Manager.
Solução de problemas
Se alguma das contas de execução tiver a permissão necessária Iniciar sessão como serviço, será exibido um alerta crítico baseado em monitor. Este alerta exibe os detalhes da conta Run As, que não tem permissão Fazer logon como um serviço.
No computador do agente, abra o Visualizador de Eventos. No log do Operations Manager, procure o ID de evento 7002 para visualizar os detalhes sobre as contas Run As que exigem permissão Iniciar sessão como um serviço.
| Parâmetro | Mensagem |
|---|---|
| Nome do alerta | A conta Run As não tem o tipo de logon solicitado. |
| Descrição do alerta | A conta Run As deve ter o tipo de logon solicitado. |
| Contexto do alerta | O Serviço de Saúde não pôde fazer logon, pois a conta de execução do grupo de gestão (nome do grupo) não recebeu a permissão Fazer logon como serviço. |
| Monitorização | (adicionar nome do monitor) |
Forneça permissão Fazer logon como serviço para as contas Run As aplicáveis, identificadas no evento 7002. Depois de conceder a permissão, a ID do evento 7028 é exibida e o monitor muda para o estado saudável.
