Service-aanmelding inschakelen voor Uitvoeren als-accounts
De aanbevolen beveiligingsprocedure is om interactieve en externe interactieve sessies voor serviceaccounts uit te schakelen. Beveiligingsteams in organisaties hebben strikte controles om deze best practice af te dwingen om diefstal van referenties en bijbehorende aanvallen te voorkomen.
System Center Operations Manager ondersteunt het beveiligen van serviceaccounts en vereist niet dat het gebruikersrecht Lokaal aanmelden toestaan wordt verleend voor verschillende accounts die zijn vereist ter ondersteuning van Operations Manager.
Eerdere versie van Operations Managers heeft Lokaal aanmelden toestaan als standaard aanmeldingstype. Operations Manager maakt standaard gebruik van Service-aanmelding . Dit leidt tot de volgende wijzigingen:
- Health Service maakt standaard gebruik van het aanmeldingstype Service . Voor Operations Manager 1807 en eerdere versies was het Interactief.
- Operations Manager-actieaccounts en serviceaccounts hebben nu de machtiging Aanmelden als een service .
- Actie-accounts en Uitvoeren als-accounts moeten de machtiging Aanmelden als een service hebben om MonitoringHost.exe uit te voeren. Meer informatie.
Wijzigingen in Operations Manager-actieaccounts
Aan de volgende accounts wordt de machtiging Aanmelden als een service verleend tijdens de installatie van Operations Manager en tijdens de upgrade van de vorige versies:
Actie-account voor beheerserver
System Center-configuratieservice en System Center-serviceaccounts voor gegevenstoegang
Actie-account van agent
Datawarehouse-schrijfaccount
Gegevenslezer-account
Na deze wijziging vereisen alle Uitvoeren als-accounts die door Operations Manager-beheerders voor de management packs (MSP's) zijn gemaakt, het recht Aanmelden als een service , dat beheerders moeten verlenen.
Aanmeldingstype voor beheerservers en agents weergeven
U kunt het aanmeldingstype voor beheerservers en agents bekijken in de Operations Manager-console.
Als u het aanmeldingstype voor beheerservers wilt weergeven, gaat u naar Beheer>Operations Manager Producten>Beheerservers.
Als u het aanmeldingstype voor agents wilt weergeven, gaat u naar Beheer>Operations Manager Producten>Agents.
Notitie
Agent/gateway die nog niet is geüpgraded, geeft aanmeldingstype weer als Service in de console. Zodra de agent/gateway is bijgewerkt, wordt het huidige aanmeldingstype weergegeven.
Service-aanmeldingsmachtiging inschakelen voor Uitvoeren als-accounts
Volg deze stappen:
Meld u met beheerdersbevoegdheden aan bij de computer van waaruit u de machtiging Aanmelden als service wilt verlenen aan een Uitvoeren als-account.
Ga naar Systeembeheer en selecteer Lokaal beveiligingsbeleid.
Vouw Lokaal beleid uit en selecteer Toewijzing van gebruikersrechten.
Klik in het rechterdeelvenster met de rechtermuisknop op Aanmelden als een service en selecteer Eigenschappen.
Selecteer de optie Gebruiker of groep toevoegen om de nieuwe gebruiker toe te voegen.
Zoek in het dialoogvenster Gebruikers of groepen selecteren de gebruiker die u wilt toevoegen en selecteer OK.
Selecteer OK in de eigenschappen van Aanmelden als een service om de wijzigingen op te slaan.
Notitie
Als u een upgrade uitvoert naar Operations Manager 2019 van een eerdere versie of een nieuwe Operations Manager 2019-omgeving installeert, volgt u de bovenstaande stappen om De machtiging Aanmelden als een service te verlenen voor Uitvoeren als-accounts.
Notitie
Als u een upgrade uitvoert naar Operations Manager 2022 van een eerdere versie of een nieuwe Operations Manager 2022-omgeving installeert, volgt u de bovenstaande stappen om De machtiging Aanmelden als een service te verlenen voor Uitvoeren als-accounts.
Aanmeldingstype voor een healthservice wijzigen
Als u het aanmeldingstype van de Operations Manager-statusservice wilt wijzigen in Lokaal aanmelden toestaan, configureert u de beveiligingsbeleidsinstelling op het lokale apparaat met behulp van de console Lokaal beveiligingsbeleid.
Hier volgt een voorbeeld:
Co-existentie met Operations Manager 2016-agent
Met de wijziging van het aanmeldingstype die is geïntroduceerd in Operations Manager 2019, kan de Operations Manager 2016-agent zonder problemen naast elkaar bestaan en samenwerken. Er zijn echter een aantal scenario's die worden beïnvloed door deze wijziging:
- Push-installatie van de agent vanuit de Operations Manager-console vereist een account met beheerdersbevoegdheden en het recht Aanmelden als een service op de doelcomputer.
- Voor het operations Manager-beheerserveractieaccount zijn beheerdersbevoegdheden op beheerservers vereist voor het bewaken van Service Manager.
Problemen oplossen
Als een van de Uitvoeren als-accounts de vereiste machtiging Voor aanmelden als een service heeft, wordt er een waarschuwing op basis van een kritieke monitor weergegeven. Deze waarschuwing geeft de details weer van het Uitvoeren als-account, dat geen machtiging Voor aanmelden als een service heeft.
Open Logboeken op de computer van de agent. Zoek in het Operations Manager-logboek naar de gebeurtenis-id 7002 om de details weer te geven over de Uitvoeren als-accounts waarvoor de machtiging Aanmelden als een service is vereist.
| Parameter | Bericht |
|---|---|
| Naam van waarschuwing | Uitvoeren als-account heeft geen aangevraagd aanmeldingstype. |
| Beschrijving van waarschuwing | Het Uitvoeren als-account moet het aangevraagde aanmeldingstype hebben. |
| Waarschuwingscontext | Health Service kan zich niet aanmelden, omdat aan het Uitvoeren als-account voor de beheergroep (groepsnaam) niet de machtiging Aanmelden als een service is verleend. |
| Monitor | (monitornaam toevoegen) |
Geef de machtiging Aanmelden als een service op voor de toepasselijke Uitvoeren als-accounts, die worden geïdentificeerd in gebeurtenis 7002. Zodra u de machtiging hebt opgegeven, wordt gebeurtenis-id 7028 weergegeven en verandert de monitor in de status In orde.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor