Aktivieren der Dienstanmeldung

Die bewährte Vorgehensweise in Bezug auf die Sicherheit besteht darin, interaktive Sitzungen und interaktive Remotesitzungen für Dienstkonten zu deaktivieren. Sicherheitsteams in allen Organisationen verfügen über strenge Kontrollen, um diese bewährte Methode zu erzwingen, um den Diebstahl von Anmeldeinformationen und damit verbundene Angriffe zu verhindern.

System Center 2019 – Service Manager (SM) unterstützt das Härten von Dienstkonten und erfordert nicht, dass das Benutzerrecht Lokale Anmeldung zulassen für mehrere Konten gewährt wird, das zur Unterstützung von SM erforderlich ist.

Sie müssen die Dienstprotokollberechtigung für die folgenden Konten bereitstellen, die vom SM-Verwaltungsserver und data warehouse-Verwaltungsserver verwendet werden.

Service Manager Services-Konto:Dieses Konto wird für System Center-Datenzugriffsdienst und System Center-Verwaltungskonfigurationsdienst verwendet.

Bei SM 2019 erfordert dieses Konto die Dienstanmeldungsberechtigung.

Service Manager Workflowkonto Dieses Konto wird verwendet, um den MonitoringHost.exe(führt alle Workflows aus). Bei SM 2019 erfordert dieses Konto die Dienstanmeldungsberechtigung.

Hinweis

Es wird empfohlen, die Dienstanmeldeberechtigung für die Konten zu erteilen, die von verschiedenen SM-Connectors (AD, OM, SCO, CM, VMM, Exchange Connectors) verwendet werden. Für Dienstberichtskonten und Analysis Services-Konten ist keine Dienstprotokollberechtigung erforderlich.

Aktivieren der Dienstprotokolldatei

Sie können die Dienstprotokollberechtigung über eine Domänenrichtlinie oder eine lokale Gruppenrichtlinie erteilen.

Wenden Sie sich an Ihre Administratoren, um die Verwendung der Domänenrichtlinie zu aktivieren. Informationen zur Verwendung einer lokalen Gruppenrichtlinie finden Sie im Abschnitt [Aktivieren des Diensts über eine lokale Gruppenrichtlinie](#enable-service-log-on-through-a-local-group policy).

Identifizieren der Konten, für die die Dienst-Anmeldeberechtigung benötigt wird

Wenn für erforderliche Konten keine Dienstprotokollberechtigung bereitgestellt wird,monitoringhost.exenicht unter diesen Konten ausgeführt. Dies bedeutet, dass einige Der Workflows wie SLA/SLO nicht ausgeführt werden würden. In diesem Fall wird das folgende Fehlerereignis im ereignisprotokollierten Operations Manager protokolliert:

Der Integritätsdienst konnte sich nicht beim RunAs-Konto XXXXXXX für die Verwaltungsgruppe XXXX anmelden, da ihm das *Anmelden als Dienst nicht erteilt wurde.

Hier ist ein Beispielfehler:

identify accounts that need service log on permission

Aktivieren der Dienstprotokollieren über eine lokale Gruppenrichtlinie

Folgen Sie diesen Schritten:

  1. Melden Sie sich mit Administratorrechten bei dem Computer an, von dem aus Sie Konten die Berechtigung Anmelden als Dienst erteilen möchten.

  2. Wechseln Sie zu Verwaltung,und klicken Sie auf Lokale Sicherheitsrichtlinie.

  3. Erweitern Sie Lokale Richtlinie,und klicken Sie auf Zuweisung von Benutzerrechten. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Als Dienst anmelden, und wählen Sie Eigenschaften.

  4. Klicken Sie auf die Option Benutzer oder Gruppe hinzufügen, um den neuen Benutzer hinzuzufügen.

  5. Suchen Sie im Dialog Benutzer oder Gruppen auswählen nach dem Benutzer, den Sie hinzufügen möchten, und klicken Sie auf OK.

  6. Klicken Sie unter den Eigenschaften von Als Dienst anmelden auf OK, um die Änderungen zu speichern.

    enable service log on permission

Ändern des Anmeldetyps von einem Standardwert

Bei SM 2019 ist der Standardanmeldungstyp Dienstprotokoll auf. Nach der Neuinstallation von SM 2019 oder einem Upgrade ist der Anmeldetyp standardmäßig Dienstanmeldung.

Sie können den Standardprotokolltyp ändern, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich als administrator bei dem Computer an, von dem aus Sie Konten die Berechtigung Anmelden als Dienst erteilen möchten.

  2. Führen Sie gpedit.msc aus.

  3. Erweitern Sie unter Computerkonfigurationdie Administrative Vorlagen.

  4. Klicken Sie System Center Operations Manager.

  5. Klicken Sie mit der rechten Maustaste auf Konto für Überwachungsaktion Anmeldetyp,klicken Sie auf Bearbeiten,und wählen Sie Aktiviert aus.

  6. Klicken Sie im Dropdownmenü auf Anmeldetyp.

    change service log on permission