Управление доступом с помощью средства блокировки служба работоспособности в Operations Manager

На компьютерах, требующих высокой безопасности, например контроллер домена, может потребоваться запретить доступ определенных удостоверений к правилам, задачам и мониторам, которые могут поставить под угрозу безопасность сервера. Средство блокировки службы работоспособности (HSLockdown.exe) позволяет использовать различные параметры командной строки для управления и ограничения удостоверений, используемых для работы с правилами, задачами или мониторами.

Примечание.

Вы не сможете запустить службу Microsoft Monitoring Agent, если вы использовали средство блокировки служба работоспособности для блокировки учетной записи действия. Чтобы перезапустить службу Microsoft Monitoring Agent, выполните вторую процедуру, описанную в этой статье, чтобы разблокировать учетную запись действия.

Доступны следующие параметры командной строки.

• HSLockdown [ManagementGroupName] /L — вывод списка учетных записей или групп

• HSLockdown [ManagementGroupName] /A — добавление разрешенной учетной записи|group

• HSLockdown [ManagementGroupName] /D — добавление запрещенной учетной записи|group

• HSLockdown [ManagementGroupName] /R — удаление разрешенной или запрещенной учетной записи|group

Учетные записи должны быть введены в одном из следующих форматов полного доменного имени:

• NetBios : ДОМЕН\имя_пользователя

• Имя участника-пользователя: username@fqdn.com

Если вы использовали параметры добавления или запрета при запуске средства блокировки служба работоспособности, необходимо перезапустить службу управления System Center, прежде чем изменения вступили в силу.

При оценке разрешений и запрещений следует знать, что у запрещений приоритет выше, чем у разрешений. Если пользователь перечислен как разрешенный, и он принадлежит группе, которая запрещена, то данный пользователь будет запрещен.

Отклонение учетной записи с помощью средства блокировки службы работоспособности

1. Войдите на компьютер с учетной записью, являющейся членом группы "Администраторы".

2. На рабочем столе Windows нажмите кнопку "Пуск" и нажмите кнопку "Выполнить".

3. В диалоговом окне "Запуск" введите cmd и нажмите кнопку "ОК".

4. В командной строке введите <drive_letter>: (где <drive_letter> находится диск, на котором установлен агент Operations Manager), а затем нажмите клавишу ВВОД.

5. Введите и нажмите клавишу ВВОДcd \Program Files\Microsoft Monitoring Agent\Agent.

6. Введите HSLockdown.exe [Management Group Name] /D [account or group] , чтобы запретить группу или учетную запись, а затем нажмите клавишу ВВОД.

7. Чтобы применить изменения, перезапустите службу Microsoft Monitoring Agent (HealthService).

Разблокировка учетной записи действия

1. Войдите на компьютер с учетной записью, являющейся членом группы "Администраторы".

2. На рабочем столе Windows нажмите кнопку "Пуск" и нажмите кнопку "Выполнить".

3. В диалоговом окне "Запуск" введите cmd и нажмите кнопку "ОК".

4. В командной строке введите <drive_letter>: (где <drive_letter> находится диск, на котором установлен агент Operations Manager), а затем нажмите клавишу ВВОД.

5. Введите и нажмите клавишу ВВОДcd \Program Files\Microsoft Monitoring Agent\Agent.

6. Введите и нажмите клавишу ВВОДHSLockdown.exe [Management Group Name] /A <Action Account>.

7. Чтобы применить изменения, перезапустите службу Microsoft Monitoring Agent (HealthService).

Добавление учетной записи локальной системы

1. Войдите на компьютер с учетной записью, являющейся членом группы "Администраторы".

2. На рабочем столе Windows нажмите кнопку "Пуск" и нажмите кнопку "Выполнить".

3. В диалоговом окне "Запуск" введите cmd и нажмите кнопку "ОК".

4. В командной строке введите <drive_letter>: (где <drive_letter> находится диск, на котором установлен агент Operations Manager), а затем нажмите клавишу ВВОД.

5. Введите и нажмите клавишу ВВОДcd \Program Files\Microsoft Monitoring Agent\Agent.

6. Введите и нажмите клавишу ВВОДHSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM”.

7. Чтобы применить изменения, перезапустите службу Microsoft Monitoring Agent (HealthService).

Следующие шаги

• Сведения о создании учетной записи запуска от имени и связывании с профилем запуска от имени см. в статье "Создание учетной записи запуска от имени" и связывание с профилем запуска от имени.

• Если вам нужно создать новые учетные данные для учетной записи действия сервера управления, см. статью "Создание новой учетной записи действия" в Operations Manager.

• Чтобы понять, как настроить безопасное распределение учетных записей запуска от имени на управляемых агентом компьютерах, просмотрите раздел "Распространение и назначение для учетных записей запуска от имени" и "Профили".