Поделиться через

Включение входа службы для учетных записей, используемых для запуска от имени.

Наилучшей практикой безопасности является отключение интерактивных и удаленных интерактивных сеансов для учетных записей служб. Группы безопасности в разных организациях имеют строгие средства контроля, чтобы применить эту рекомендацию, чтобы предотвратить кражу учетных данных и связанных атак.

System Center Operations Manager поддерживает ужесточение учетных записей служб и не требует предоставления права разрешить локальный вход в систему для нескольких учетных записей, необходимых для поддержки Operations Manager.

Более ранние версии Operations Managers имели разрешение на локальный вход в качестве типа входа по умолчанию. По умолчанию Operations Manager использует вход службы. Это приводит к следующим изменениям:

  • Служба здравоохранения использует вход по умолчанию с типом Service. Для Operations Manager 2016 версии она была интерактивной.
  • Учетные записи действий и службы в Operations Manager теперь имеют разрешение на вход в качестве службы.
  • Учетные записи действий и учетные записи Run As должны иметь разрешение Вход в качестве службы для выполнения MonitoringHost.exe. Подробнее.

Изменения учетных записей действий в Operations Manager

Следующим учетным записям предоставляется разрешение вход в систему как служба во время установки Operations Manager, а также при обновлении с предыдущих версий.

  • Учетная запись действий сервера управления

  • Служба конфигурации System Center и учетные записи службы доступа к данным System Center

  • Учет действий агента

  • Учетная запись для записи в хранилище данных

  • учетная запись для чтения данных

    Снимок экрана: локальный параметр безопасности.

После этого изменения все учетные записи Run As, созданные администраторами Operations Manager для пакетов управления (MPs), требуют права на вход как служба, которые администраторы должны предоставить.

Просмотр типа аутентификации для серверов управления и агентов

Вы можете просмотреть тип входа для серверов управления и агентов из консоли Operations Manager.

Чтобы просмотреть тип входа для серверов управления, перейдите на Администрирование>Operations Manager Products>Серверы управления.

Тип входа в систему для серверов управления

Чтобы просмотреть тип входа для агентов, перейдите в раздел Администрирование>Operations Manager Продукты>Агенты.

Тип входа для агентов

Примечание.

Для агента или шлюза, которые еще не обновлены, в консоли отображается тип входа как служба. После обновления агента или шлюза будет отображаться текущий тип входа.

Разрешить разрешение на вход в службу для учетных записей "Запуск от имени"

Выполните следующие действия:

  1. Войдите с правами администратора на компьютер, с которого вы хотите предоставить разрешение на вход в качестве службы для учетных записей Run As.

  2. Перейдите к средствам администрирования и выберите локальную политику безопасности.

  3. Разверните локальную политику и выберите назначение прав пользователя.

  4. В правой области щелкните правой кнопкой мыши "Вход как служба" и выберите "Свойства".

  5. Нажмите кнопку "Добавить пользователя" или "Группа ", чтобы добавить нового пользователя.

  6. В диалоговом окне "Выбор пользователей или групп" найдите пользователя, который вы хотите добавить и нажмите кнопку "ОК".

  7. Нажмите кнопку "ОК" в разделе "Вход в качестве службы", чтобы сохранить изменения.

    Снимок экрана с выбором пользователей.

Примечание.

Если вы обновляетесь до Operations Manager 2019 из предыдущей версии или устанавливаете новую среду Operations Manager 2019, выполните описанные выше действия, чтобы предоставить разрешение на вход от имени службы для учетных записей Run As.

Примечание.

Если вы обновляетесь до Operations Manager 2022 из предыдущей версии или устанавливаете новую среду Operations Manager 2022, выполните описанные выше действия, чтобы предоставить разрешение на вход в качестве службы для учетных записей запуска от имени.

Примечание.

Если вы обновляетесь до Operations Manager 2025 из предыдущей версии или устанавливаете новую среду Operations Manager 2025, выполните описанные выше действия, чтобы предоставить разрешение на вход в качестве службы для учетных записей запуска от имени.

Журнал изменений типа для службы здравоохранения

Если необходимо изменить тип входа службы работоспособности Operations Manager, чтобы разрешить вход локально, настройте параметр политики безопасности на локальном устройстве с помощью консоли локальной политики безопасности.

Приведем пример:

Снимок экрана: журнал записей учетной записи мониторинга по типам.

Сосуществование с агентом программы Operations Manager 2016

С изменением типа входа в систему, введенного в Operations Manager 2019, агент Operations Manager 2016 может работать совместно и взаимодействовать без проблем. Однако существует несколько сценариев, затронутых этим изменением:

  • Для принудительной установки агента из консоли Operations Manager требуется учетная запись с правами администратора и вход в систему в качестве службы прямо на целевом компьютере.
  • Учетная запись действий Operations Manager Management Server требует прав администратора на серверах управления для мониторинга Service Manager.

Устранение неполадок

Если у какой-либо из учетных записей “Запуск от имени” уже есть разрешение Вход в качестве службы, появится критическое оповещение, основанное на мониторе. Это оповещение показывает сведения об учетной записи, используемой для запуска процессов, которая не имеет разрешения на вход в качестве службы.

Снимок экрана: свойства оповещений.

На компьютере агента откройте Просмотр событий. В журнале Operations Manager найдите событие с идентификатором 7002, чтобы просмотреть сведения об учетных записях Run As, требующих разрешения Вход в качестве службы.

Параметр Сообщение
Имя оповещения Учетная запись 'Выполнить как' не имеет запрашиваемого типа входа.
Описание предупреждения Учетная запись, работающая от имени, должна обладать запрашиваемым типом входа.
Контекст предупреждения Службе здравоохранения не удалось войти, так как учетной записи запуска от имени для группы управления (имя группы) не было предоставлено разрешение входа в качестве сервиса.
Монитор (добавление имени монитора)

Предоставьте разрешение на запуск в качестве службы для соответствующих учетных записей Run As, указанных в событии 7002. После того, как вы предоставите разрешение, появится идентификатор события 7028, а монитор будет в работоспособном состоянии.

Снимок экрана: количество событий.