Dela via

Aktivera tjänstinloggning

  • Artikel

Bästa praxis för säkerhet är att inaktivera interaktiva och fjärranslutna interaktiva sessioner för tjänstkonton. Säkerhetsteam i organisationer har strikta kontroller för att tillämpa den här bästa metoden för att förhindra stöld av autentiseringsuppgifter och associerade attacker.

System Center – Service Manager (SM) stöder härdning av tjänstkonton och kräver inte beviljande av Tillåt inloggning lokalt användarrättighet för flera konton som krävs till stöd för SM.

Du måste ge behörighet att logga in på tjänsten till följande konton som används av SM-hanteringsservern och hanteringsservern för informationslager.

Service Manager Services-konto: Det här kontot används för System Center Data Access Service och System Center Management Configuration Service.

Det här kontot kräver behörighet för tjänstinloggning.

Service Manager-arbetsflödeskonto Det här kontot används för att köra MonitoringHost.exe processen (kör alla arbetsflöden). Det här kontot kräver behörighet för tjänstinloggning.

Obs

Vi rekommenderar att du ger behörighet för tjänstinloggning till de konton som används av olika SM-anslutningsappar (AD, OM, SCO, CM, VMM, Exchange-kopplingar). Konton för tjänstrapportering och analystjänster kräver inte behörighet för tjänstinloggning.

Aktivera tjänstinloggning som inloggningstyp

Du kan bevilja tjänstinloggningsbehörighet via en domänprincip eller en lokal grupprincip.

För att aktivera domänpolicy, kontakta dina administratörer. Om du vill använda en lokal grupppolicy, se avsnittet om aktivera tjänsten via en lokal grupppolicy

Identifiera de konton som behöver behörighet för tjänstinloggning

Om nödvändiga konton inte har behörighet för tjänstinloggning körs monitoringhost.exe inte under dessa konton. Vilket innebär att vissa av arbetsflödena, till exempel SLA/SLO, inte skulle köras. I sådana fall loggas följande felhändelse i Operations Manager-händelseloggen:

Hälsotjänsten kunde inte logga in på RunAs-kontot XXXXXXX för hanteringsgruppen XXXX eftersom den inte har beviljats *Logga in som en tjänst

Här är ett exempelfel:

Skärmbild av identifiera konton som behöver behörighet för tjänstinloggning.

Aktivera inloggning på tjänst via en lokal gruppprincip

Följ dessa steg:

  1. Logga in med administratörsbehörighet på den dator från vilken du vill ge Logga in som tjänst-behörighet till konton.

  2. Gå till Administrationsverktyg och välj lokal säkerhetsprincip.

  3. Expandera lokal princip och välj Tilldelning av användarrättigheter. I den högra rutan högerklickar du på Logga in som en tjänst och väljer Egenskaper.

  4. Välj alternativet Lägg till användare eller grupp för att lägga till den nya användaren.

  5. I dialogrutan Välj användare eller grupper letar du reda på den användare som du vill lägga till och väljer OK.

  6. Välj OK i Logga in som en tjänstegenskaper för att spara ändringarna.

    Skärmbild som visar aktivera behörighet för tjänstinloggning.

Ändra inloggningstyp från ett standardvärde

Standardtyp för inloggning är Tjänstlogg på. Efter ny installation av SM eller en uppgradering är inloggningstypen Tjänstlogg som standard.

Du kan ändra standardinloggningstypen med hjälp av följande steg:

  1. Logga in med administratörsbehörighet på den dator från vilken du vill ge konton Logga in som tjänst-behörighet.

  2. Kör gpedit.msc

  3. Under Datorkonfiguration, expandera Administrativa mallar.

  4. Välj System Center – Operations Manager.

  5. Högerklicka på övervakningsåtgärdskontots inloggningstyp, välj Redigeraoch välj Aktiverad.

  6. Välj Inloggningstyp på den nedrullningsbara menyn.

    Skärmbild som visar behörighet att ändra tjänstinloggning.