Controlo de acesso com a Ferramenta de Bloqueio do Serviço de Estado de Funcionamento no Operations Manager

Importante

Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que atualize para o Operations Manager 2022.

Em computadores que necessitem de alta segurança, por exemplo, um controlador de domínio, poderá ter de negar a determinadas identidades o acesso a regras, tarefas e monitores que possam comprometer a segurança do servidor. A ferramenta de bloqueio do Estado de Integridade (HSLockdown.exe) permite-lhe utilizar várias opções de linhas de comando para controlar e limitar as identidades utilizadas para executar uma regra, uma tarefa ou um monitor.

Nota

Não poderá iniciar o serviço Microsoft Monitoring Agent se tiver utilizado a ferramenta de Bloqueio do Serviço de Estado de Funcionamento para bloquear a Conta de Ação. Para poder reiniciar o serviço Microsoft Monitoring Agent, siga o segundo procedimento neste artigo para desbloquear a Conta de Ação.

Estão disponíveis as seguintes opções da linha de comandos:

• HSLockdown [ManagementGroupName] /L - Listar Contas/grupos

• HSLockdown [ManagementGroupName] /A - Adicionar uma conta permitida|grupo

• HSLockdown [ManagementGroupName] /D - Adicionar uma conta negada|grupo

• HSLockdown [ManagementGroupName] /R - Remover uma conta permitida/negada|grupo

As contas têm de ser especificadas num dos seguintes formatos de nome de domínio totalmente qualificado (FQDN):

• NetBios : DOMÍNIO\nome de utilizador

• UPN: username@fqdn.com

Se utilizou as opções de adicionar ou negar ao executar a ferramenta de Bloqueio do Serviço de Estado de Funcionamento, terá de reiniciar o serviço de Gestão do System Center antes de as alterações entrarem em vigor.

Ao avaliar listagens de autorizações e rejeições, tenha em consideração que as rejeições têm prioridade sobre as autorizações. Se um utilizador for listado como autorizado e o mesmo utilizador for membro de um grupo listado como rejeitado, o utilizador será rejeitado.

Para negar uma conta com a ferramenta de bloqueio do serviço de estado de funcionamento

1. Inicie sessão no computador com uma conta que seja membro do grupo Administradores.

2. No ambiente de trabalho do Windows, selecione Iniciar e, em seguida, selecione Executar.

3. Na caixa de diálogo Executar , introduza cmd e, em seguida, selecione OK.

4. Na linha de comandos, introduza <drive_letter>: (onde <drive_letter> está a unidade onde o agente do Operations Manager está instalado) e, em seguida, prima ENTER.

5. Introduza cd \Program Files\Microsoft Monitoring Agent\Agent e, em seguida, prima ENTER.

6. Introduza HSLockdown.exe [Management Group Name] /D [account or group] para negar o grupo ou conta e, em seguida, prima ENTER.

7. Reinicie o serviço Agente de Monitorização da Microsoft (HealthService) para aplicar alterações.

Desbloquear a conta de Ação

1. Inicie sessão no computador com uma conta que seja membro do grupo Administradores.

2. No ambiente de trabalho do Windows, selecione Iniciar e, em seguida, selecione Executar.

3. Na caixa de diálogo Executar , introduza cmd e, em seguida, selecione OK.

4. Na linha de comandos, introduza <drive_letter>: (onde <drive_letter> está a unidade onde o agente do Operations Manager está instalado) e, em seguida, prima ENTER.

5. Introduza cd \Program Files\Microsoft Monitoring Agent\Agent e, em seguida, prima ENTER.

6. Introduza HSLockdown.exe [Management Group Name] /A <Action Account> e, em seguida, prima ENTER.

7. Reinicie o serviço Agente de Monitorização da Microsoft (HealthService) para aplicar alterações.

Para adicionar a conta do Sistema Local

1. Inicie sessão no computador com uma conta que seja membro do grupo Administradores.

2. No ambiente de trabalho do Windows, selecione Iniciar e, em seguida, selecione Executar.

3. Na caixa de diálogo Executar , introduza cmd e, em seguida, selecione OK.

4. Na linha de comandos, introduza <drive_letter>: (onde <drive_letter> está a unidade onde o agente do Operations Manager está instalado) e, em seguida, prima ENTER.

5. Introduza cd \Program Files\Microsoft Monitoring Agent\Agent e, em seguida, prima ENTER.

6. Introduza HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM” e, em seguida, prima ENTER.

7. Reinicie o serviço Agente de Monitorização da Microsoft (HealthService) para aplicar alterações.

Passos seguintes

• Para compreender como criar uma conta Run As e associar um perfil Run As, veja Como Criar uma Conta Run As e Associar com um Perfil Run As.

• Se precisar de criar novas credenciais para a conta de ação do servidor de gestão, veja Como Criar uma Nova Conta de Ação no Operations Manager.

• Para compreender como direcionar a distribuição da conta Run As para computadores geridos por agentes de forma segura, reveja Distribuição e Filtragem para Contas e Perfis Run As.