Habilitar logon de serviço
A prática recomendada de segurança é desabilitar sessões interativas e interativas remotas para contas de serviço. As equipes de segurança em todas as organizações têm controles rígidos para aplicar essa prática recomendada para evitar roubo de credenciais e ataques associados.
O System Center – Service Manager (SM) dá suporte à proteção de contas de serviço e não exige a concessão do direito de usuário Permitir logon localmente para várias contas, necessário para dar suporte ao SM.
Você deve fornecer permissão de logon de serviço para as seguintes contas que são usadas pelo servidor de gerenciamento do SM e pelo servidor de gerenciamento do data warehouse.
Conta de Serviços do Service Manager: essa conta é usada para o Serviço de Acesso a Dados do System Center e o serviço de Configuração de Gerenciamento do System Center.
Essa conta requer permissão de logon de serviço.
Conta de fluxo de trabalho do Service Manager Essa conta é usada para executar o processo MonitoringHost.exe (executa todos os fluxos de trabalho). Essa conta requer permissão de logon de serviço.
Observação
Recomendamos que você forneça permissão de logon de serviço para as contas usadas por vários conectores SM (AD, OM, SCO, CM, VMM, conectores de troca). A conta de relatório de serviço e as contas de serviços de análise não exigem permissão de logon de serviço.
Habilitar logon de serviço como tipo de logon
Você pode conceder permissão de logon de serviço por meio de uma política de domínio ou de uma política de grupo local.
Para habilitar o uso da política de domínio, entre em contato com seus administradores. Para usar a política de grupo local, consulte a seção sobre habilitar o serviço por meio de uma política de grupo local
Identificar as contas que precisam de permissão de logon de serviço
Se as contas necessárias não receberem permissão de logon de serviço, monitoringhost.exe não será executada nessas contas. O que significa que alguns dos fluxos de trabalho, como SLA/SLO, não seriam executados. Nesse caso, o seguinte evento de erro é registrado no log de eventos do Operations Manager:
O Serviço de Integridade não pôde fazer logon na conta Executar como XXXXXXX para o grupo de gerenciamento XXXX porque não recebeu o *Fazer logon como um serviço
Veja um exemplo de erro:
Habilitar o logon de serviço por meio de uma política de grupo local
Siga estas etapas:
Entre com privilégios de administrador no computador do qual você deseja fornecer permissão de logon como serviço para contas.
Vá para Ferramentas Administrativas e selecione Política de Segurança Local.
Expanda Política Local e selecione Atribuição de Direitos de Usuário. No painel direito, clique com o botão direito do mouse em Fazer logon como um serviço e selecione Propriedades.
Selecione a opção Adicionar usuário ou grupo para adicionar o novo usuário.
Na caixa de diálogo Selecionar usuários ou grupos, localize o usuário que deseja adicionar e selecione OK.
Selecione OK nas Propriedades de logon como serviço para salvar as alterações.
Alterar o tipo de logon de um valor padrão
O tipo de logon padrão é Logon de serviço. Após a nova instalação do SM ou uma atualização, o tipo de logon será Logon de serviço, por padrão.
Você pode alterar o tipo de logon padrão usando as seguintes etapas:
Entre com privilégios de administrador no computador do qual você deseja fornecer permissão de logon como serviço para contas.
Execute gpedit.msc
Em Configuração do Computador, expanda Modelos Administrativos.
Selecione System Center – Operations Manager.
Clique com o botão direito do mouse em Tipo de Logon da Conta de Ação de Monitoramento, selecione Editar e selecione Habilitado.
Escolha Tipo de logon no menu suspenso.
