Habilitar o logon de serviço para contas executar como
A prática recomendada de segurança é desabilitar sessões remotas e interativas para contas de serviço. As equipes de segurança em todas as organizações têm controles estritos para impor essa prática recomendada para evitar o roubo de credenciais e ataques associados.
O System Center Operations Manager dá suporte à proteção de contas de serviço e não requer a concessão do direito Permitir logon no usuário local para várias contas necessárias para dar suporte ao Operations Manager.
Uma versão anterior do Operations Manager tem Permitir logon localmente como o tipo de logon padrão. O Operations Manager usa Logon de Serviço por padrão. Isso leva às seguintes alterações:
- O Serviço de Integridade usa o tipo de logon Serviço por padrão. Para o Operations Manager 1807 e versões anteriores, era Interativo.
- As contas de ação e as contas de serviço do Operations Manager agora têm a permissão Fazer logon como um serviço.
- Contas de ação e contas Executar Como precisam ter a permissão Fazer logon como um serviço para executar MonitoringHost.exe. Saiba mais.
Alterações a contas de ação do Operations Manager
As seguintes contas recebem a permissão Fazer logon como serviço durante a instalação do Operations Manager e durante a atualização das versões anteriores:
Conta de ação do serviço de gerenciamento
Contas de serviço do serviço de configuração do System Center e do acesso a dados do System Center
Conta de ação do agente
Conta de Gravação do Data Warehouse
Conta do Leitor de Dados
Após essa alteração, quaisquer Contas executar como criadas pelos administradores do Operations Manager para os MPs (pacotes de gerenciamento) requerem o direito Fazer logon como um serviço, que os administradores devem conceder.
Exibir o tipo de logon para servidores de gerenciamento e agentes
Você pode exibir o tipo de logon para servidores de gerenciamento e agentes do console do Operations Manager.
Para exibir o tipo de logon de servidores de gerenciamento, acesse AdministraçãoProdutos do Operations ManagerServidores de gerenciamento.
Para exibir o tipo de logon de agentes, acesse AdministraçãoProdutos do Operations ManagerAgentes.
Observação
Agente/gateway que ainda não foi atualizado, exiba o Tipo de logon como Serviço no console. Depois que o agente/gateway for atualizado, o tipo de logon atual será exibido.
Habilitar a permissão de logon de serviço para contas Executar Como
Siga estas etapas:
Entrar com privilégios de administrador no computador do qual você deseja fornecer permissão para Fazer logon como serviço a uma conta Executar Como.
Acesse Ferramentas Administrativas e selecione Política de Segurança Local.
Expanda Política Local e selecione Atribuição de Direitos de Usuário.
No painel à direita, clique com o botão direito do mouse em Logon como um serviço e selecione Propriedades.
Selecione a opção Adicionar Usuário ou Grupo para adicionar o novo usuário.
Na caixa de diálogo Selecionar Usuários ou Grupos , localize o usuário que você deseja adicionar e selecione OK.
Selecione OK em Fazer logon como um serviço Propriedades para salvar as alterações.
Observação
Se você estiver atualizando para o Operations Manager 2019 de uma versão anterior ou instalando um novo ambiente do Operations Manager 2019, siga as etapas acima para fornecer permissão de Logon como serviço para contas Executar como.
Observação
Se você estiver atualizando para o Operations Manager 2022 de uma versão anterior ou instalando um novo ambiente do Operations Manager 2022, siga as etapas acima para fornecer permissão de Logon como serviço para contas Executar como.
Alterar o tipo de logon para um serviço de integridade
Se você precisar alterar o tipo de logon do serviço de integridade do Operations Manager para Permitir logon localmente, defina a configuração de política de segurança no dispositivo local usando o console de Política de Segurança Local.
Veja um exemplo:
Coexistência com o agente do Operations Manager 2016
Com a alteração do tipo de logon que foi introduzida no Operations Manager 2019, o agente do Operations Manager 2016 pode coexistir e interoperar sem nenhum problema. No entanto, há alguns cenários que são afetados por essa alteração:
- A instalação por push do agente por meio do console do Operations Manager requer uma conta que tenha privilégios administrativos e o direito Fazer logon como um serviço no computador de destino.
- A conta de ação do serviço de gerenciamento do Operations Manager requer privilégios administrativos em servidores de gerenciamento para monitoramento do Service Manager.
Solução de problemas
Se qualquer uma de contas Executar Como tem a permissão Fazer logon como um serviço exigida, um alerta crítico com base em monitor aparece. Esse alerta exibe os detalhes da conta Executar como, que não tem a permissão Fazer logon como serviço .
No computador do agente, abra o Visualizador de Eventos. No log do Operations Manager, procure a ID de evento 7002 exibir os detalhes sobre as contas Executar Como que requerem a permissão Fazer logon como um serviço.
| Parâmetro | Mensagem |
|---|---|
| Nome do alerta | A conta Executar como não tem o tipo de logon solicitado. |
| Descrição do alerta | A conta Executar Como precisa ter o tipo de logon solicitado. |
| Contexto do Alerta | O Serviço de Integridade não pôde fazer logon, pois a conta Executar como para o grupo de gerenciamento (nome do grupo) não recebeu a permissão Fazer logon como um serviço . |
| Monitoramento | (adicionar nome do monitor) |
Forneça a permissão Fazer logon como um serviço às contas Executar Como aplicáveis, que são identificadas no evento 7002. Depois que você fornecer a permissão, a ID de evento 7028 será exibida e o monitor mudará para o estado íntegro.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de