Abilitare l'accesso al servizio per account RunAs
La procedura consigliata per la sicurezza consiste nel disabilitare le sessioni interattive e interattive remote per gli account del servizio. I team di sicurezza in tutte le organizzazioni hanno controlli rigorosi per applicare questa procedura consigliata per evitare il furto di credenziali e gli attacchi associati.
System Center Operations Manager supporta la protezione avanzata degli account del servizio e non richiede la concessione del diritto Consenti accesso locale per diversi account necessari per il supporto di Operations Manager.
Nelle versioni precedenti di Operations Manager, il tipo di accesso Consenti accesso locale è l'impostazione predefinita. Operations Manager usa l'accesso al servizio per impostazione predefinita. Ciò comporta le modifiche seguenti:
- Il Servizio integrità usa il tipo di accesso Servizio per impostazione predefinita. Per Operations Manager 1807 e versioni precedenti, era Interactive.
- Gli account azione e gli account del servizio di Operations Manager hanno ora l'autorizzazione Accesso come servizio.
- Gli account azione e gli account RunAs devono avere l'autorizzazione Accesso come servizio per eseguire MonitoringHost.exe. Altre informazioni
Modifiche apportate agli account azione di Operations Manager
Gli account seguenti vengono concessi l'autorizzazione Accesso come servizio durante l'installazione di Operations Manager e durante l'aggiornamento dalle versioni precedenti:
Account azione server di gestione
Account servizio di configurazione di System Center e servizio di accesso ai dati di System Center
Account azione agente
Account scrittura data warehouse
Account lettore dati
Dopo questa modifica, qualsiasi account RunAs creato dagli amministratori di Operations Manager per i Management Pack (MP) richiede il diritto Accesso come servizio, che deve essere concesso dagli amministratori.
Visualizzare il tipo di accesso per i server e gli agenti di gestione
È possibile visualizzare il tipo di accesso per i server e gli agenti di gestione nella console di Operations Manager.
Per visualizzare il tipo di accesso per i server di gestione, vedere Amministrazione> deiserver di gestioneprodotti> di Operations Manager.
Per visualizzare il tipo di accesso per gli agenti, passare ad Amministrazione>agenti prodotti> operations manager.
Nota
Agente/gateway non ancora aggiornato, visualizzare Tipo di accesso come Servizio nella console. Dopo l'aggiornamento dell'agente/gateway, verrà visualizzato il tipo di accesso corrente.
Abilitare l'autorizzazione per l'accesso al servizio per gli account RunAs
Seguire questa procedura:
Accedere con privilegi di amministratore al computer da cui si vuole fornire l'autorizzazione Accesso come servizio agli account RunAs.
Passare a Strumenti di amministrazione e selezionare Criteri di sicurezza locali.
Espandere Criteri locali e selezionare Assegnazione diritti utente.
Nel riquadro destro fare clic con il pulsante destro del mouse su Accesso come servizio e scegliere Proprietà.
Selezionare l'opzione Aggiungi utente o gruppo per aggiungere il nuovo utente.
Nella finestra di dialogo Seleziona utenti o gruppi individuare l'utente da aggiungere e selezionare OK.
Selezionare OK in Proprietà accesso come servizio per salvare le modifiche.
Nota
Se si esegue l'aggiornamento a Operations Manager 2019 da una versione precedente o si installa un nuovo ambiente Operations Manager 2019, seguire la procedura precedente per fornire l'autorizzazione Accesso come servizio per gli account RunAs.
Nota
Se si esegue l'aggiornamento a Operations Manager 2022 da una versione precedente o si installa un nuovo ambiente Operations Manager 2022, seguire la procedura precedente per fornire l'autorizzazione Accesso come servizio per gli account RunAs.
Cambiare il tipo di accesso per un servizio integrità
Se è necessario cambiare il tipo di accesso del servizio integrità di Operations Manager in Consenti accesso locale, configurare l'impostazione dei criteri di sicurezza nel dispositivo locale usando la console Criteri di sicurezza locali.
Ecco un esempio:
Coesistenza con l'agente di Operations Manager 2016
Con la modifica al tipo di account introdotta in Operations Manager 2019, l'agente di Operations Manager 2016 può coesistere e interoperare senza problemi. Tuttavia, questa modifica ha effetto su un paio di scenari:
- L'installazione push dell'agente dalla console di Operations Manager richiede un account con privilegi amministrativi e il diritto Accesso come servizio nel computer di destinazione.
- L'account azione del server di gestione di Operations Manager richiede privilegi amministrativi nei server di gestione per il monitoraggio di Service Manager.
Risoluzione dei problemi
Se uno degli account RunAs non ha l'autorizzazione Acceso come servizio necessaria, viene visualizzato un avviso critico basato su monitor. Questo avviso visualizza i dettagli dell'account RunAs, che non dispone dell'autorizzazione Accesso come servizio .
Nel computer dell'agente aprire il Visualizzatore eventi. Nel log di Operations Manager cercare l'ID evento 7002 per visualizzare i dettagli sugli account RunAs che richiedono l'autorizzazione Accesso come servizio .
| Parametro | Message |
|---|---|
| Nome avviso | L'account RunAs non ha richiesto il tipo di accesso. |
| Descrizione avviso | L'account RunAs deve avere il tipo di accesso richiesto. |
| Contesto avviso | Servizio integrità non è riuscito ad accedere perché all'account RunAs per il gruppo di gestione (nome gruppo) non è stata concessa l'autorizzazione Accesso come servizio . |
| Monitoraggio | (aggiungere il nome del monitor) |
Fornire l'autorizzazione Accesso come servizio agli account RunAs applicabili, identificati nell'evento 7002. Dopo aver fornito l'autorizzazione, viene visualizzato l'ID evento 7028 e il monitor passa nello stato di integrità.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per