Steuern des Zugriffs mithilfe des Sperrtools des Integritätsdiensts von Operations Manager
Wichtig
Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.
Für Hochsicherheitscomputer, z. B. Domänencontroller, wird empfohlen, bestimmten Identitäten den Zugriff auf Regeln, Tasks und Monitore zu verweigern, damit die Sicherheit Ihres Servers nicht gefährdet ist. Das Sperrtool des Integritätsdiensts (HSLockdown.exe) ermöglicht Ihnen die Verwendung verschiedener Befehlszeilenoptionen, mit denen Sie die Identitäten kontrollieren und beschränken können, die Regeln, Tasks oder Monitore ausführen.
Hinweis
Das Starten von Microsoft Monitoring Agent ist nicht möglich, wenn Sie das Sperrtool des Integritätsdiensts zum Sperren des Aktionskontos verwendet haben. Um das Aktionskonto zu entsperren und Microsoft Monitoring Agent neu zu starten, folgen Sie den Anweisungen, die im zweiten Verfahren dieses Artikels beschrieben werden.
Folgende Befehlszeilenoptionen sind verfügbar:
HSLockdown [ManagementGroupName] /L - Listet Konten/Gruppen auf.
HSLockdown [ManagementGroupName] /A - Fügt ein zugelassenes Konto bzw. eine\r\n zugelassene Gruppe hinzu.
HSLockdown [ManagementGroupName] /D - Fügt ein abgelehntes Konto bzw. eine\r\n abgelehnte Gruppe hinzu.
HSLockdown [ManagementGroupName] /R - Entfernt ein zugelassenes/abgelehntes\r\n Konto bzw. eine zugelassene/abgelehnte\r\n Gruppe.
Konten müssen in einem der folgenden Formate für vollqualifizierte Domänennamen (FQDN) angegeben werden:
NetBios : DOMÄNE\Benutzername.
UPN : username@fqdn.com
Wenn Sie bei der Ausführung des Sperrtools des Integritätsdiensts die Option Hinzufügen oder Ablehnen verwendet haben, müssen Sie den System Center-Verwaltungsdienst neu starten, damit die Änderungen wirksam werden.
Beim Auswerten von Auflistungen mit zugelassenen und abgelehnten Benutzern und Gruppen haben Ablehnungen Vorrang von Zulassungen. Wenn ein Benutzer als zugelassen aufgeführt ist und derselbe Benutzer Mitglied einer Gruppe ist, die als abgelehnt aufgeführt ist, wird der Benutzer abgelehnt.
So verwenden Sie das Systemüberwachungsdienst-Sperrprogramm
Melden Sie sich bei dem Computer mit einem Konto an, das ein Mitglied der Verwaltungsgruppe ist.
Klicken Sie auf dem Windows-Desktop auf Startund dann auf Ausführen.
Geben Sie im Dialogfeld Ausführencmd ein, und klicken Sie dann auf OK.
Geben Sie an der Eingabeaufforderung
<drive_letter>:ein (wobei<drive_letter>das Laufwerk ist, auf dem der Operations Manager-Agent installiert ist), und drücken Sie die EINGABETASTE.Geben Sie cd\Program Files\Microsoft Monitoring Agent\Agent ein, und drücken Sie die EINGABETASTE.
Geben Sie HSLockdown [Verwaltungsgruppenname] /D [Konto oder Gruppe] ein, um die Gruppe oder das Konto abzulehnen, und drücken Sie die EINGABETASTE.
Entsperren des Aktionskontos
Melden Sie sich bei dem Computer mit einem Konto an, das ein Mitglied der Verwaltungsgruppe ist.
Klicken Sie auf dem Windows-Desktop auf Startund dann auf Ausführen.
Geben Sie im Dialogfeld Ausführencmd ein, und klicken Sie dann auf OK.
Geben Sie an der Eingabeaufforderung
<drive_letter>:ein (wobei<drive_letter>das Laufwerk ist, auf dem der Operations Manager-Agent installiert ist), und drücken Sie die<drive_letter>:.Geben Sie cd\Program Files\Microsoft Monitoring Agent\Agent ein, und drücken Sie die EINGABETASTE.
Geben Sie HSLockdown [Name der Verwaltungsgruppe] /A Aktionskonto> ein, und drücken Sie die EINGABETASTE.
Nächste Schritte
Informationen zum Erstellen eines ausführenden Kontos und Verknüpfen des Kontos mit einem ausführenden Profil finden Sie unter Erstellen eines ausführenden Kontos und Verknüpfen des Kontos mit einem ausführenden Profil.
Wenn Sie neue Anmeldeinformationen für das Verwaltungsserver-Aktionskonto erstellen müssen, finden Sie die entsprechenden Informationen unter Erstellen eines neuen Aktionskontos in Operations Manager.
Lesen Sie den Artikel Verteilung und Zielauswahl für ausführende Konten und Profile, um zu erfahren, wie Sie ausführende Konten sicher auf mit Agents verwaltete Computer verteilen.