サービス ログオンを有効にする
セキュリティのベスト プラクティスは、サービス アカウントに対して対話型セッションとリモート対話型セッションを無効にすることです。 複数の組織のセキュリティ チームは、資格情報の盗難や関連する攻撃を防ぐために、このベスト プラクティスを適用するための厳格な制御を持っています。
System Center - Service Manager (SM) では、サービス アカウントのセキュリティ強化がサポートされており、SM のサポートに必要な複数のアカウントに対して ローカルでのユーザー権限の許可ログ を付与する必要はありません。
SM 管理サーバーとデータ ウェアハウス管理サーバーで使用される次のアカウントに対して、サービス ログオンアクセス許可を提供する必要があります。
Service Manager サービス アカウント: このアカウントは、System Center Data Access Service および System Center Management Configuration サービスに使用されます。
このアカウントには、サービス ログオンアクセス許可が必要です。
Service Manager ワークフロー アカウント このアカウントは、MonitoringHost.exeプロセスを実行するために使用 されます (すべてのワークフローを実行します)。 このアカウントには、サービス ログオンアクセス許可が必要です。
注意
さまざまな SM コネクタ (AD、OM、SCO、CM、VMM、交換コネクタ) で使用されるアカウントにサービス ログオンアクセス許可を付与することをお勧めします。 サービス レポート アカウントと分析サービス アカウントでは、サービス ログオンのアクセス許可は必要ありません。
サービス ログオンを有効にする方法
ドメイン ポリシーまたはローカル グループ ポリシーを使用して、サービス ログオンアクセス許可を付与できます。
ドメイン ポリシーの使用を有効にするには、管理者に問い合わせてください。 ローカル グループ ポリシーを使用するには、ローカル グループ ポリシーを使用したサービスの有効化に関するセクションを参照してください。
サービスログオンアクセス許可が必要なアカウントを特定する
必要なアカウントにサービス ログオンアクセス許可が付与されていない場合、 monitoringhost.exe はそれらのアカウントでは実行されません。 つまり、SLA/SLO などの一部のワークフローは実行されません。 このような場合、Operations Manager イベント ログに次のエラー イベントが記録されます。
管理グループ XXXX の実行アカウント XXXXXXX にログオンできませんでした。*サービスとしてのログオンが許可されていないためです。
サンプル エラーを次に示します。
ローカル グループ ポリシーを使用してサービス ログオンを有効にする
次の手順に従います。
アカウントに対してサービスとしてログオンアクセス許可を付与するコンピューターに管理者特権でサインインします。
管理ツールに移動し、[ローカル セキュリティ ポリシー] をクリックします。
[ ローカル ポリシー] を展開し、[ ユーザー権限の割り当て] をクリックします。 右側のウィンドウで、[サービスとしてログオンする] を右クリックし、[プロパティ] を選択します。
[ユーザーまたはグループの追加] オプションをクリックして、新しいユーザーを追加します。
[ユーザーまたはグループの選択] ダイアログで、追加するユーザーを見つけて [OK] をクリックします。
[Log on as a service Properties](サービスとしてログオンのプロパティ) で [OK] をクリックし、変更内容を保存します。
ログオンの種類を既定値から変更する
既定のログオンの種類は サービス ログオンです。 SM の新規インストールまたはアップグレード後、ログオンの種類は既定でサービス ログオンになります。
既定のログオンの種類は、次の手順を使用して変更できます。
アカウントに対して サービスとしてログオン アクセス許可を付与するコンピューターに管理者と一緒にサインインします。
gpedit.msc を実行する
[ コンピューターの構成] で、[ 管理用テンプレート] を展開します。
[ System Center – Operations Manager] をクリックします。
[ 監視アクション アカウントのログオンの種類] を右クリックし、[ 編集] をクリックし、[ 有効] を選択します。
ドロップダウン メニューから [ログオンの種類 ] を選択します。
