Controlar acesso usando a Ferramenta de Bloqueio de Serviço de Integridade no Operations Manager
Importante
Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que você atualize para o Operations Manager 2022.
Em computadores que exigem alta segurança, por exemplo, um controlador de domínio, talvez seja necessário negar a determinadas identidades acesso a regras, tarefas e monitores que possam comprometer a segurança do servidor. A Ferramenta de Bloqueio de Serviço de Integridade (HSLockdown.exe) permite que você use várias opções de linha de comando para controlar e limitar as identidades usadas para executar uma regra, tarefa ou monitor.
Observação
Você não poderá iniciar o serviço Do Microsoft Monitoring Agent se tiver usado a ferramenta Bloqueio do Serviço de Integridade para bloquear a Conta de Ação. Para poder reiniciar o serviço Microsoft Monitoring Agent, siga o segundo procedimento neste artigo para desbloquear a Conta de Ação.
As seguintes opções de linha de comando estão disponíveis:
HSLockdown [ManagementGroupName] /L - Lista contas/grupos
HSLockdown [ManagementGroupName] /A - Adiciona uma conta|grupo permitido
HSLockdown [ManagementGroupName] /D - Adiciona uma conta|grupo negado
HSLockdown [ManagementGroupName] /R - Remove uma conta|grupo negado/permitido
As contas devem ser especificadas em um dos seguintes formatos de nome de domínio totalmente qualificado (FQDN):
NetBios: DOMÍNIO\nome_de_usuário
UPN : username@fqdn.com
Se você usou as opções adicionar ou negar ao executar a ferramenta Bloqueio do Serviço de Integridade, precisará reiniciar o serviço de Gerenciamento do System Center antes que as alterações entrem em vigor.
Quando avaliar as listas permitidas ou negadas, saiba que as negações têm prioridade sobre as permissões. Se um usuário for listado como permitido e o mesmo usuário for membro de um grupo listado como negado, ele será negado.
Para negar uma conta com a ferramenta de bloqueio de serviço de integridade
Entre no computador com uma conta que seja membro do grupo Administradores.
Na área de trabalho do Windows, selecione Iniciar e , em seguida, selecione Executar.
Na caixa de diálogo Executar , insira cmd e selecione OK.
No prompt de comando, insira
<drive_letter>:
(onde<drive_letter>
é a unidade em que o agente do Operations Manager está instalado) e pressione ENTER.Insira
cd \Program Files\Microsoft Monitoring Agent\Agent
e pressione ENTER.Insira
HSLockdown.exe [Management Group Name] /D [account or group]
para negar o grupo ou a conta e pressione ENTER.Reinicie o serviço do Microsoft Monitoring Agent (HealthService) para aplicar as alterações.
Para desbloquear a Conta de Ação
Entre no computador com uma conta que seja membro do grupo Administradores.
Na área de trabalho do Windows, selecione Iniciar e , em seguida, selecione Executar.
Na caixa de diálogo Executar , insira cmd e selecione OK.
No prompt de comando, insira
<drive_letter>:
(onde<drive_letter>
é a unidade em que o agente do Operations Manager está instalado) e pressione ENTER.Insira
cd \Program Files\Microsoft Monitoring Agent\Agent
e pressione ENTER.Insira
HSLockdown.exe [Management Group Name] /A <Action Account>
e pressione ENTER.Reinicie o serviço do Microsoft Monitoring Agent (HealthService) para aplicar as alterações.
Para adicionar a conta do Sistema Local
Entre no computador com uma conta que seja membro do grupo Administradores.
Na área de trabalho do Windows, selecione Iniciar e , em seguida, selecione Executar.
Na caixa de diálogo Executar , insira cmd e selecione OK.
No prompt de comando, insira
<drive_letter>:
(onde<drive_letter>
é a unidade em que o agente do Operations Manager está instalado) e pressione ENTER.Insira
cd \Program Files\Microsoft Monitoring Agent\Agent
e pressione ENTER.Insira
HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM”
e pressione ENTER.Reinicie o serviço do Microsoft Monitoring Agent (HealthService) para aplicar as alterações.
Próximas etapas
Para entender como criar uma conta Executar como e associá-la a um perfil Executar como, consulte How to Create a Run As Account and Associate with a Run As Profile (Como criar uma conta Executar como e associá-la a um perfil Executar como).
Se você precisar criar novas credenciais para a conta de ação do servidor de gerenciamento, consulte Como criar uma nova conta de ação no Operations Manager.
Para entender como direcionar a distribuição de conta Executar como para computadores gerenciados pelo agente com segurança, examine Distribuição e Direcionamento para Contas e Perfis Executar como.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de