Control del acceso mediante la herramienta de bloqueo del servicio de mantenimiento en Operations Manager

Importante

Esta versión de Operations Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Operations Manager 2022.

En los equipos que requieren alta seguridad, por ejemplo, un controlador de dominio, es posible que tenga que denegar el acceso de determinadas identidades a reglas, tareas y monitores que podrían poner en peligro la seguridad del servidor. La herramienta de bloqueo del servicio de estado (HSLockdown.exe) permite usar diversas opciones de línea de comandos para controlar y limitar las identidades usadas para ejecutar una regla, una tarea o un monitor.

Nota

No podrá iniciar el servicio Microsoft Monitoring Agent si ha usado la herramienta Bloqueo del servicio de mantenimiento para bloquear la cuenta de acción. Para poder reiniciar el servicio Microsoft Monitoring Agent, siga el segundo procedimiento de este artículo para desbloquear la cuenta de acción.

Dispone de las siguientes opciones de línea de comandos:

• HSLockdown [NombreGrupoAdministración] /L: mostrar una lista de cuentas/grupos

• HSLockdown [NombreGrupoAdministración] /A: agregar una cuenta|grupo permitido

• HSLockdown [NombreGrupoAdministración] /D: agregar una cuenta|grupo denegado

• HSLockdown [NombreGrupoAdministración] /R: quitar una cuenta|grupo permitido/denegado

Las cuentas deben especificarse en uno de los siguientes formatos de nombre de dominio completo (FQDN):

• NetBios: DOMINIO\nombreusuario

• UPN: username@fqdn.com

Si usó las opciones de adición o denegación al ejecutar la herramienta de bloqueo del servicio de mantenimiento, deberá reiniciar el servicio de administración de System Center antes de que los cambios surtan efecto.

Al evaluar listas permitidas y denegadas, tenga en cuenta que las listas denegadas tienen prioridad sobre las permitidas. Si un usuario aparece como permitido y, al mismo tiempo, es miembro de un grupo que se muestra como denegado, el usuario será denegado.

Para denegar una cuenta con la herramienta de bloqueo del servicio de mantenimiento

1. Inicie sesión en el equipo con una cuenta que sea miembro del grupo Administradores.

2. En el escritorio de Windows, seleccione Inicio y, a continuación, seleccione Ejecutar.

3. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, seleccione Aceptar.

4. En el símbolo del sistema, escriba <drive_letter>: (donde <drive_letter> es la unidad donde está instalado el agente de Operations Manager) y presione ENTRAR.

5. Escriba cd \Program Files\Microsoft Monitoring Agent\Agent y presione ENTRAR.

6. Escriba HSLockdown.exe [Management Group Name] /D [account or group] para denegar el grupo o la cuenta y presione ENTRAR.

7. Reinicie el servicio Microsoft Monitoring Agent (HealthService) para aplicar los cambios.

Para desbloquear la cuenta de acción

1. Inicie sesión en el equipo con una cuenta que sea miembro del grupo Administradores.

2. En el escritorio de Windows, seleccione Inicio y, a continuación, seleccione Ejecutar.

3. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, seleccione Aceptar.

4. En el símbolo del sistema, escriba <drive_letter>: (donde <drive_letter> es la unidad donde está instalado el agente de Operations Manager) y presione ENTRAR.

5. Escriba cd \Program Files\Microsoft Monitoring Agent\Agent y presione ENTRAR.

6. Escriba HSLockdown.exe [Management Group Name] /A <Action Account> y presione ENTRAR.

7. Reinicie el servicio Microsoft Monitoring Agent (HealthService) para aplicar los cambios.

Para agregar la cuenta de sistema local

1. Inicie sesión en el equipo con una cuenta que sea miembro del grupo Administradores.

2. En el escritorio de Windows, seleccione Inicio y, a continuación, seleccione Ejecutar.

3. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, seleccione Aceptar.

4. En el símbolo del sistema, escriba <drive_letter>: (donde <drive_letter> es la unidad donde está instalado el agente de Operations Manager) y presione ENTRAR.

5. Escriba cd \Program Files\Microsoft Monitoring Agent\Agent y presione ENTRAR.

6. Escriba HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM” y presione ENTRAR.

7. Reinicie el servicio Microsoft Monitoring Agent (HealthService) para aplicar los cambios.

Pasos siguientes

• Para comprender cómo crear una cuenta de ejecución y asociarla con un perfil de ejecución, consulte How to Create a Run As Account and Associate with a Run As Profile (Cómo crear una cuenta de ejecución y asociarla con un perfil de ejecución).

• Si necesita crear credenciales nuevas para la cuenta de acción del servidor de administración, consulte How to Create a New Action Account in Operations Manager (Cómo crear una nueva cuenta de acción en Operations Manager).

• Para comprender cómo dirigirse a la distribución de cuentas de ejecución a equipos administrados por agente de forma segura, revise Distribución y destino para cuentas de ejecución y perfiles.