Controlar acesso usando a Ferramenta de Bloqueio de Serviço de Integridade no Operations Manager

Importante

Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que você atualize para o Operations Manager 2022.

Em computadores que exigem alta segurança, por exemplo, um controlador de domínio, talvez seja necessário negar a determinadas identidades acesso a regras, tarefas e monitores que possam comprometer a segurança do servidor. A Ferramenta de Bloqueio de Serviço de Integridade (HSLockdown.exe) permite que você use várias opções de linha de comando para controlar e limitar as identidades usadas para executar uma regra, tarefa ou monitor.

Observação

Você não poderá iniciar o serviço Do Microsoft Monitoring Agent se tiver usado a ferramenta Bloqueio do Serviço de Integridade para bloquear a Conta de Ação. Para poder reiniciar o serviço Microsoft Monitoring Agent, siga o segundo procedimento neste artigo para desbloquear a Conta de Ação.

As seguintes opções de linha de comando estão disponíveis:

• HSLockdown [ManagementGroupName] /L - Lista contas/grupos

• HSLockdown [ManagementGroupName] /A - Adiciona uma conta|grupo permitido

• HSLockdown [ManagementGroupName] /D - Adiciona uma conta|grupo negado

• HSLockdown [ManagementGroupName] /R - Remove uma conta|grupo negado/permitido

As contas devem ser especificadas em um dos seguintes formatos de nome de domínio totalmente qualificado (FQDN):

• NetBios: DOMÍNIO\nome_de_usuário

• UPN : username@fqdn.com

Se você usou as opções adicionar ou negar ao executar a ferramenta Bloqueio do Serviço de Integridade, precisará reiniciar o serviço de Gerenciamento do System Center antes que as alterações entrem em vigor.

Quando avaliar as listas permitidas ou negadas, saiba que as negações têm prioridade sobre as permissões. Se um usuário for listado como permitido e o mesmo usuário for membro de um grupo listado como negado, ele será negado.

Para negar uma conta com a ferramenta de bloqueio de serviço de integridade

1. Entre no computador com uma conta que seja membro do grupo Administradores.

2. Na área de trabalho do Windows, selecione Iniciar e , em seguida, selecione Executar.

3. Na caixa de diálogo Executar , insira cmd e selecione OK.

4. No prompt de comando, insira <drive_letter>: (onde <drive_letter> é a unidade em que o agente do Operations Manager está instalado) e pressione ENTER.

5. Insira cd \Program Files\Microsoft Monitoring Agent\Agent e pressione ENTER.

6. Insira HSLockdown.exe [Management Group Name] /D [account or group] para negar o grupo ou a conta e pressione ENTER.

7. Reinicie o serviço do Microsoft Monitoring Agent (HealthService) para aplicar as alterações.

Para desbloquear a Conta de Ação

1. Entre no computador com uma conta que seja membro do grupo Administradores.

2. Na área de trabalho do Windows, selecione Iniciar e , em seguida, selecione Executar.

3. Na caixa de diálogo Executar , insira cmd e selecione OK.

4. No prompt de comando, insira <drive_letter>: (onde <drive_letter> é a unidade em que o agente do Operations Manager está instalado) e pressione ENTER.

5. Insira cd \Program Files\Microsoft Monitoring Agent\Agent e pressione ENTER.

6. Insira HSLockdown.exe [Management Group Name] /A <Action Account> e pressione ENTER.

7. Reinicie o serviço do Microsoft Monitoring Agent (HealthService) para aplicar as alterações.

Para adicionar a conta do Sistema Local

1. Entre no computador com uma conta que seja membro do grupo Administradores.

2. Na área de trabalho do Windows, selecione Iniciar e , em seguida, selecione Executar.

3. Na caixa de diálogo Executar , insira cmd e selecione OK.

4. No prompt de comando, insira <drive_letter>: (onde <drive_letter> é a unidade em que o agente do Operations Manager está instalado) e pressione ENTER.

5. Insira cd \Program Files\Microsoft Monitoring Agent\Agent e pressione ENTER.

6. Insira HSLockdown.exe [Management Group Name] /A “NT AUTHORITY\SYSTEM” e pressione ENTER.

7. Reinicie o serviço do Microsoft Monitoring Agent (HealthService) para aplicar as alterações.

Próximas etapas

• Para entender como criar uma conta Executar como e associá-la a um perfil Executar como, consulte How to Create a Run As Account and Associate with a Run As Profile (Como criar uma conta Executar como e associá-la a um perfil Executar como).

• Se você precisar criar novas credenciais para a conta de ação do servidor de gerenciamento, consulte Como criar uma nova conta de ação no Operations Manager.

• Para entender como direcionar a distribuição de conta Executar como para computadores gerenciados pelo agente com segurança, examine Distribuição e Direcionamento para Contas e Perfis Executar como.