Aktivieren der Dienstanmeldung für ausführende Konten
Die bewährte Vorgehensweise in Bezug auf die Sicherheit besteht darin, interaktive Sitzungen und interaktive Remotesitzungen für Dienstkonten zu deaktivieren. Sicherheitsteams in Organisationen verfügen über strenge Kontrollen zur Durchsetzung dieser bewährten Vorgehensweise, um den Diebstahl von Anmeldeinformationen und die damit verbundenen Angriffe zu verhindern.
System Center 2019 Operations Manager unterstützt das Stärken von Dienstkonten. Es ist nicht erforderlich, das Benutzerrecht Lokal anmelden zulassen für mehrere Konten zu gewähren, wie dies bei der Unterstützung von Operations Manager der Fall ist.
In früheren Operations Manager-Versionen wird Lokal anmelden zulassen als Standardanmeldetyp verwendet. Für Operations Manager 2019 wird standardmäßig die Dienstanmeldung verwendet. Dies führt zu folgenden Änderungen:
- Für den Integritätsdienst wird standardmäßig der Anmeldetyp Dienst genutzt. Unter Operations Manager 1807 und früheren Versionen wurde Interaktiv verwendet.
- Operations Manager-Aktions- und -Dienstkonten verfügen jetzt über die Berechtigung Als Dienst anmelden.
- Aktionskonten und ausführende Konten müssen über die Berechtigung Als Dienst anmelden verfügen, um „MonitoringHost.exe“ ausführen zu können. Weitere Informationen
Änderungen an Operations Manager-Aktionskonten
Für die folgenden Konten wird während der Installation von Operations Manager 2019 und beim Upgrade vorheriger Versionen die folgende Berechtigung vom Typ Als Dienst anmelden gewährt:
Verwaltungsserver-Aktionskonto
Konten für System Center-Konfigurationsdienst und -Datenzugriffsdienst
Agentaktionskonto
Data Warehouse-Konto für Schreibvorgänge
Datenlesekonto

Nach dieser Änderung benötigen alle ausführenden Konten, die von Operations Manager-Administratoren für die Management Packs (MPs) erstellt wurden, das Recht Als Dienst anmelden, das von Administratoren gewährt werden muss.
Anzeigen des Anmeldetyps für Verwaltungsserver und Agents
Sie können den Anmeldetyp für Verwaltungsserver und Agents über die Operations Manager-Konsole anzeigen.
Navigieren Sie zu VerwaltungOperations Manager-ProdukteVerwaltungsserver, um den Anmeldetyp für Verwaltungsserver anzuzeigen.

Navigieren Sie zum Anzeigen des Typs für Agents zu VerwaltungOperations Manager-ProdukteAgents.

Hinweis
Für Agents und Gateways, für die noch kein Upgrade durchgeführt wurde, wird der Anmeldetyp in der Konsole als Dienst angezeigt. Nach dem Upgrade des Agents bzw. Gateways wird der aktuelle Anmeldetyp angezeigt.
Aktivieren der Berechtigung für die Dienstanmeldung für ausführende Konten
Führen Sie die folgenden Schritte aus:
Melden Sie sich mit Administratorrechten an dem Computer an, über den Sie einem ausführenden Konto die Berechtigung Als Dienst anmelden gewähren möchten.
Navigieren Sie zu Verwaltung, und klicken Sie auf Lokale Sicherheitsrichtlinie.
Erweitern Sie Lokale Richtlinie, und klicken Sie auf Zuweisen von Benutzerrechten.
Klicken Sie im rechten Bereich mit der rechten Maustaste auf Als Dienst anmelden, und wählen Sie Eigenschaften.
Klicken Sie auf die Option Benutzer oder Gruppe hinzufügen, um den neuen Benutzer hinzuzufügen.
Suchen Sie im Dialogfeld Benutzer oder Gruppen auswählen nach dem Benutzer, den Sie hinzufügen möchten, und klicken Sie auf OK.
Klicken Sie unter den Eigenschaften von Als Dienst anmelden auf OK, um die Änderungen zu speichern.

Hinweis
Führen Sie die obigen Schritte aus, um die Berechtigung Als Dienst anmelden für ausführende Konten anzugeben, wenn Sie ein Upgrade auf Operations Manager 2019 von einer vorherigen Version durchführen oder eine neue Operations Manager 2019-Umgebung installieren.
Ändern des Anmeldetyps für einen Integritätsdienst
Konfigurieren Sie die Einstellung der Sicherheitsrichtlinie auf dem lokalen Gerät, indem Sie die Konsole für die lokale Sicherheitsrichtlinie verwenden, wenn Sie den Anmeldetyp des Operations Manager-Integritätsdiensts in Lokal anmelden zulassen ändern müssen.
Beispiel:

Koexistenz mit Operations Manager 2016-Agent
Aufgrund der Änderung des Anmeldetyps, die mit Operations Manager 2019 eingeführt wurde, kann der Operations Manager 2016-Agent parallel vorhanden sein, und die Interoperabilität bereitet keine Probleme. Es gibt aber einige Szenarien, auf die sich diese Änderung auswirkt:
- Für die Pushinstallation des Agents über die Operations Manager-Konsole wird ein Konto benötigt, das über Administratorrechte und das Recht Als Dienst anmelden auf dem Zielcomputer verfügt.
- Für das Aktionskonto des Operations Manager-Verwaltungsservers werden Administratorrechte auf Verwaltungsservern für die Überwachung von Service Manager benötigt.
Problembehandlung
Falls keines der ausführenden Konten über die erforderliche Berechtigung Als Dienst anmelden verfügt, wird eine monitorbasierte kritische Warnung angezeigt. In dieser Warnung werden die Details des ausführenden Kontos angezeigt, dem die Berechtigung Als Dienst anmelden nicht zugeordnet ist.

Öffnen Sie auf dem Agent-Computer die Ereignisanzeige. Suchen Sie im Operations Manager-Protokoll nach der Ereignis-ID 7002, um die Details zu den ausführenden Konten anzuzeigen, für die die Berechtigung Als Dienst anmelden benötigt wird.
| Parameter | `Message` |
|---|---|
| Name der Warnung | Das ausführende Konto verfügt nicht über den angeforderten Anmeldetyp. |
| Warnungsbeschreibung | Das ausführende Konto muss über den angeforderten Anmeldetyp verfügen. |
| Warnungskontext | Der Integritätsdienst konnte die Anmeldung nicht durchführen, da dem ausführenden Konto für die Verwaltungsgruppe (Gruppenname) die Berechtigung Als Dienst anmelden nicht gewährt wurde. |
| Monitor | (Monitorname hinzufügen) |
Geben Sie die Berechtigung Als Dienst anmelden für die zutreffenden ausführenden Konten an, die im Ereignis 7002 aufgeführt sind. Nachdem Sie die Berechtigung angegeben haben, wird die Ereignis-ID 7028 angezeigt, und der Monitor wechselt in den fehlerfreien Status.
