通过

使用 Operations Manager 中的运行状况服务锁定工具控制访问

  • 项目

在需要高安全性的计算机上,例如域控制器,可能需要拒绝某些标识访问可能会危及服务器安全性的规则、任务和监视器。 你可以使用运行状况服务锁定工具 (HSLockdown.exe) 通过各种命令行选项控制和限制用于运行规则、任务或监视器的身份。

注意

如果已使用运行状况服务锁定工具锁定操作帐户,则无法启动Microsoft监视代理服务。 若要重启Microsoft监视代理服务,请按照本文中的第二个过程解锁操作帐户。

可以使用以下命令行选项:

  • HSLockdown [ManagementGroupName] /L - List Accounts/groups

  • HSLockdown [ManagementGroupName] /A - 添加允许的帐户|组

  • HSLockdown [ManagementGroupName] /D - 添加被拒绝的帐户|组

  • HSLockdown [ManagementGroupName] /R - 删除允许/拒绝的帐户|组

必须按照下列完全限定的域名 (FQDN) 格式之一指定帐户:

  • NetBios :DOMAIN\username

  • UPN : username@fqdn.com

如果在运行运行状况服务锁定工具时使用了添加或拒绝选项,则需要在更改生效之前重启 System Center 管理服务。

在评估允许和拒绝的列表时,应知道拒绝项是优先于允许项的。 如果某个用户作为允许项列出,并且相同用户属于作为拒绝项列出的组的成员,则该用户将被拒绝。

使用运行状况服务锁定工具拒绝帐户

  1. 使用管理员组成员的帐户登录到计算机。

  2. 在 Windows 桌面上,选择“开始,然后选择“运行”。

  3. “运行 ”对话框中,输入 cmd ,然后选择“ 确定”。

  4. 在命令提示符下,输入 <drive_letter>:<drive_letter> 其中安装了 Operations Manager 代理的驱动器),然后按 Enter

  5. 输入 cd \Program Files\Microsoft Monitoring Agent\Agent ,然后按 Enter

  6. 输入 HSLockdown.exe [Management Group Name] /D [account or group] 以拒绝组或帐户,然后按 Enter

  7. 重新启动 Microsoft Monitoring Agent (HealthService) 服务,以应用更改。

解锁操作帐户

  1. 使用管理员组成员的帐户登录到计算机。

  2. 在 Windows 桌面上,选择“开始,然后选择“运行”。

  3. “运行 ”对话框中,输入 cmd ,然后选择“ 确定”。

  4. 在命令提示符下,输入 <drive_letter>:<drive_letter> 其中安装了 Operations Manager 代理的驱动器),然后按 Enter

  5. 输入 cd \Program Files\Microsoft Monitoring Agent\Agent ,然后按 Enter

  6. 输入 HSLockdown.exe [Management Group Name] /A <Action Account> ,然后按 Enter

  7. 重新启动 Microsoft Monitoring Agent (HealthService) 服务,以应用更改。

添加本地系统帐户

  1. 使用管理员组成员的帐户登录到计算机。

  2. 在 Windows 桌面上,选择“开始,然后选择“运行”。

  3. “运行 ”对话框中,输入 cmd ,然后选择“ 确定”。

  4. 在命令提示符下,输入 <drive_letter>:<drive_letter> 其中安装了 Operations Manager 代理的驱动器),然后按 Enter

  5. 输入 cd \Program Files\Microsoft Monitoring Agent\Agent ,然后按 Enter

  6. 输入 HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM” ,然后按 Enter

  7. 重新启动 Microsoft Monitoring Agent (HealthService) 服务,以应用更改。

后续步骤