A szolgáltatás bejelentkezésének engedélyezése a futtató fiókokhozEnable Service Log on for run as accounts

Ajánlott biztonsági eljárás az interaktív és a távoli interaktív munkamenetek letiltása a szolgáltatásfiókok számára.Security best practice is to disable interactive and remote interactive sessions for service accounts. A szervezetek közötti biztonsági csapatok szigorú szabályozással rendelkeznek az ajánlott eljárások betartatásához a hitelesítő adatok ellopása és a hozzájuk kapcsolódó támadások megelőzése érdekében.Security teams, across organizations have strict controls to enforce this best practice to prevent credential theft and associated attacks.

System Center 2019 – Operations Manager támogatja a szolgáltatásfiókok megkeményedését, és nem igényli, hogy a Operations Manager támogatásához szükséges helyi felhasználói jogosultságot biztosítson a helyi felhasználók számára.System Center 2019 - Operations Manager supports hardening of service accounts and does not require granting the Allow log on locally user right for several accounts, required in support of Operations Manager.

Az Operations managerek korábbi verziója lehetővé teszi, hogy az alapértelmezett bejelentkezési típusként helyileg jelentkezzen be .Earlier version of Operations Managers has Allow log on locally as the default log on type. A Operations Manager 2019 alapértelmezés szerint a szolgáltatás bejelentkezését használja.Operations Manager 2019 uses Service Log on by default. Ez a következő változásokat eredményezi:This leads to the following changes:

  • Az állapotfigyelő szolgáltatás alapértelmezés szerint a bejelentkezés típusa szolgáltatást használja.Health service uses log on type Service by default. Operations Manager 1807-es és korábbi verziók, interaktív volt.Operations Manager 1807 and earlier versions, it was Interactive.
  • Operations Manager műveleti fiókok és szolgáltatásfiókok mostantól szolgáltatásként való bejelentkezésre jogosultak.Operations Manager action accounts and service accounts now have Log on as a Service permission.
  • A műveleti fiókoknak és a futtató fiókoknak szolgáltatásként való bejelentkezéssel kell rendelkezniük a MonitoringHost.exe végrehajtásához.Action accounts and Run As accounts must have Log on as a Service permission to execute MonitoringHost.exe. További információ.Learn more.

Operations Manager műveleti fiókok módosításaiChanges to Operations Manager action accounts

A következő fiókok szolgáltatásként való bejelentkezést biztosítanak a Operations Manager 2019 telepítés során, valamint a korábbi verziókról való frissítés során:The following accounts are granted Log on as a Service permission during the Operations Manager 2019 installation, and during upgrade from previous versions:

  • Felügyeleti kiszolgáló műveleti fiókjaManagement Server Action account

  • System Center konfigurációs szolgáltatás és System Center adatelérési szolgáltatás fiókjaiSystem Center configuration service and System Center data access service accounts

  • Ügynök műveleti fiókjaAgent action account

  • Adatraktáríró fiókData Warehouse Write account

  • Adatolvasó fiókData Reader account

    helyi biztonsági beállítás

A módosítás után a felügyeleti csomagokhoz (mp) Operations Manager rendszergazdák által létrehozott futtató fiókokhoz a Bejelentkezés szolgáltatásként jogosultság szükséges, amelyet a rendszergazdáknak kell megadniuk.After this change, any Run As accounts created by Operations Manager administrators for the management packs (MPs) require the Log on as a Service right, which administrators should grant.

Felügyeleti kiszolgálók és ügynökök naplózási típusának megtekintéseView log on type for management servers and agents

A Operations Manager-konzolon megtekintheti a felügyeleti kiszolgálók és ügynökök naplózási típusát.You can view the log on type for management servers and agents from the Operations Manager console.

A felügyeleti kiszolgálók naplózási típusának megtekintéséhez lépjen az Adminisztráció > Operations Manager termékek > felügyeleti kiszolgálók elemre.To view the log on type for management servers, go to Administration > Operations Manager Products> Management servers.

Bejelentkezési típus felügyeleti kiszolgálókhoz

Az ügynökök naplózási típusának megtekintéséhez lépjen az Adminisztráció > Operations Manager termékek > ügynökök elemre.To view the log on type for agents, go to Administration > Operations Manager Products> Agents.

Az ügynökök naplózási típusa

Megjegyzés

Ügynök/átjáró, amely még nem lett frissítve, a bejelentkezési típus megjelenítése szolgáltatásként a konzolon.Agent/gateway that is not yet upgraded, display Log on type as Service in console . Az ügynök/átjáró frissítése után a rendszer megjeleníti az aktuális bejelentkezési típust.Once the agent/gateway is upgraded, the current log on type will be displayed.

A szolgáltatás bejelentkezési engedélyének engedélyezése a futtató fiókokhozEnable service log on permission for Run As accounts

Kövesse az alábbi lépéseket:Follow these steps:

  1. Jelentkezzen be rendszergazdai jogosultságokkal arra a számítógépre, amelyről szolgáltatásként hozzáférést kíván biztosítani a futtató fiókokhoz.Sign in with administrator privileges to the computer from which you want to provide Log on as Service permission to a Run As accounts.

  2. Nyissa meg a felügyeleti eszközöket , és kattintson a helyi biztonsági házirend elemre.Go to Administrative Tools and click Local Security Policy.

  3. Bontsa ki a helyi házirend csomópontot, majd kattintson a felhasználói jogok kiosztásaExpand Local Policy and click User Rights Assignment.

  4. A jobb oldali ablaktáblában kattintson a jobb gombbal a Bejelentkezés szolgáltatásként lehetőségre, és válassza a Tulajdonságok lehetőséget.In the right pane, right-click Log on as a service and select Properties.

  5. Az új felhasználó hozzáadásához kattintson a felhasználó vagy csoport hozzáadása lehetőségre.Click Add User or Group option to add the new user.

  6. A felhasználók vagy csoportok kiválasztása párbeszédpanelen keresse meg a hozzáadni kívánt felhasználót, majd kattintson az OK gombra.In the Select Users or Groups dialogue, find the user you wish to add and click OK.

  7. A módosítások mentéséhez kattintson az OK gombra a Bejelentkezés szolgáltatásként tulajdonságok elemre.Click OK in the Log on as a service Properties to save the changes.

    Felhasználók kiválasztása

Megjegyzés

Ha egy korábbi verzióról Operations Manager 2019-re frissít, vagy új Operations Manager 2019-környezetet telepít, kövesse a fenti lépéseket a Bejelentkezés szolgáltatásként engedélyként a futtató fiókok számára.If you are upgrading to Operations Manager 2019 from a previous version or installing a new Operations Manager 2019 environment, follow the steps above to provide Log on as a service permission to Run As accounts.

Állapotfigyelő szolgáltatás bejelentkezési típusának módosításaChange log on type for a health service

Ha módosítania kell a Operations Manager állapotfigyelő szolgáltatás bejelentkezési típusát a helyi Bejelentkezés engedélyezéséhez, a helyi eszközön konfigurálja a biztonsági házirend beállítását a helyi biztonsági házirend konzol használatával.If you need to change the log on type of Operations Manager health service to Allow log on locally, configure the security policy setting on the local device using the Local Security Policy console.

Alább bemutatunk egy példát:Here is an example:

Figyelési műveleti fiók bejelentkezési típusai

Együttélés Operations Manager 2016-ügynökkelCoexistence with Operations Manager 2016 agent

A Operations Manager 2019-es verzióban bevezetett bejelentkezési típus változásával a Operations Manager 2016-ügynök egyszerre létezhet, és problémák nélkül működhet együtt.With the log on type change that is introduced in Operations Manager 2019, the Operations Manager 2016 agent can coexist and interoperate without any issues. Van azonban néhány olyan forgatókönyv, amelyet a változás érint:However, there are a couple of scenarios that are affected by this change:

  • Az ügynök leküldéses telepítése a Operations Manager-konzolról olyan fiókra van szükség, amely rendszergazdai jogosultságokkal rendelkezik, és a célszámítógépen a Bejelentkezés szolgáltatásként jogosultsággal rendelkezik.Push install of agent from the Operations Manager console requires an account that has administrative privileges and the Log on as a service right on the destination computer.
  • Operations Manager felügyeleti kiszolgáló műveleti fiókjának rendszergazdai jogosultságokkal kell rendelkeznie a felügyeleti kiszolgálókon a figyeléshez Service Manager.Operations Manager Management Server action account requires administrative privileges on management servers for monitoring Service Manager.

HibaelhárításTroubleshooting

Ha a futtató fiókok bármelyike rendelkezik a szükséges bejelentkezés szolgáltatás engedéllyel, megjelenik egy kritikus figyelő-alapú riasztás.If any of the Run as accounts do have the required Log on as a Service permission, a critical monitor-based alert appears. Ez a riasztás a futtató fiók részleteit jeleníti meg, amelyeken nincs Bejelentkezés szolgáltatásként engedély.This alert displays the details of the Run As account, which does not have Log on as a Service permission.

riasztás tulajdonságai

Az ügynök számítógépén nyissa meg Eseménynapló.On the agent computer, open Event Viewer. A Operations Manager naplóban keressen rá a 7002-es azonosítójú eseményre, és tekintse meg a szolgáltatásként való bejelentkezést igénylő futtató fiókok adatait.In the Operations Manager log, search for the event ID 7002 to view the details about the Run As accounts that require Log on as a Service permission.

ParaméterParameter ÜzenetMessage
Riasztás neveAlert Name A futtató fiók nem rendelkezik a kért bejelentkezési típussal.Run As account does not have requested log on type.
Riasztás leírásaAlert Description A futtató fióknak a kért bejelentkezés típusúnak kell lennie.The Run As account must have the requested log on type.
Riasztás környezeteAlert Context Állapotfigyelő szolgáltatás nem tudott bejelentkezni, mert a felügyeleti csoport (csoportnév) futtató fiókja nem kapta meg a bejelentkezést szolgáltatási engedélyként.Health Service could not log on, as the Run As account for management group (group name) has not been granted the Log on as a service permission.
MonitorMonitor (figyelő nevének hozzáadása)(add monitor name)

Adja meg a Bejelentkezés szolgáltatásként engedélyt a megfelelő futtató fiókokhoz, amelyek a 7002-as eseményben vannak azonosítva.Provide Log on as a Service permission to the applicable Run As accounts, which are identified in the event 7002. Miután megadta az engedélyt, a 7028-es AZONOSÍTÓJÚ esemény megjelenik, és a figyelő Kifogástalan állapotra vált.Once you provide the permission, event ID 7028 appears and the monitor changes to healthy state.

események száma