Ativar a logon de serviço

  • Artigo
  • 3 minutos para ler

A melhor prática de segurança é desativar sessões interativas e remotas para contas de serviço. As equipas de segurança, através de organizações, têm controlos rigorosos para impor esta melhor prática para prevenir roubos de credenciais e ataques associados.

System Center - Service Manager (SM) suporta o endurecimento das contas de serviço, e não requer a concessão do registo de Permitir o registo local no direito do utilizador local para várias contas, necessárias para apoiar o SM.

Tem de fornecer o registo de serviço na permissão para as seguintes contas que são utilizadas pelo servidor de gestão SM e pelo servidor de gestão de armazéns de dados.

Conta de Serviços do Gestor de Serviços: Esta conta é utilizada para o Serviço de Acesso a Dados do Sistema e para o serviço de Configuração de Gestão de Centros de Sistema.

Esta conta requer permissão de início de serviço.

Conta de fluxo de trabalho do gestor de serviços Esta conta é usada para executar o processo MonitoringHost.exe (executa todos os fluxos de trabalho). Esta conta requer permissão de início de serviço.

Nota

Recomendamos que forneça permissão de início de sê-lo às contas utilizadas por vários conectores SM (AD, OM, SCO, CM, VMM, conectores de câmbio). As contas de serviços de reporte de contas e de serviços de análise não requerem registo de serviço na permissão.

Como ativar o início de serviço

Pode conceder o registo de serviço na permissão através de uma política de domínio ou de uma política de grupo local.

Para ativar a política de domínio, contacte os seus administradores. Para utilizar a política de grupo local, consulte a secção sobre permitir o serviço através de uma política de grupo local

Identifique as contas que precisam de serviço Registar a permissão

Se as contas necessárias não forem fornecidas com registo de serviço na permissão, então monitoringhost.exe não são executados nessas contas. O que significa que alguns dos fluxos de trabalho, como sLA/SLO, não funcionariam. Nesse caso, o seguinte evento de erro é registado no registo de eventos do Gestor de Operações:

O Serviço de Saúde não pôde iniciar sessão na conta RunAs XXXXXXX para o grupo de gestão XXXX porque não foi concedido o *Log on como um serviço

Aqui está um erro de amostra:

identify accounts that need service log on permission

Ativar o início de serviço através de uma política de grupo local

Siga estes passos:

  1. Inicie sessão com privilégios de administrador para o computador a partir do qual pretende fornecer Iniciar sessão como permissão de Serviço para contas.

  2. Vá a Ferramentas Administrativas, clique na Política de Segurança Local.

  3. Expandir a Política Local, clicar na Atribuição de Direitos de Utilizador. No painel direito, clique no botão direito Iniciar sessão como um serviço e selecionar Propriedades.

  4. Clique na opção 'Adicionar utilizador ou grupo' para adicionar o novo utilizador.

  5. No diálogo Select Users or Groups , encontre o utilizador que deseja adicionar e clique EM OK.

  6. Clique em OKno Início de Sessão como um serviço Propriedades para guardar as alterações.

    enable service log on permission

Alterar o tipo de logon a partir de um valor predefinido

O tipo de início de sessão predefinido é iniciar sessão de serviço. Após nova instalação de SM ou de uma atualização, o tipo de início de sessão será iniciar sessão de serviço, por padrão.

Pode alterar o registo predefinido no tipo utilizando os seguintes passos:

  1. Inicie sessão como com o administrador para o computador a partir do qual pretende fornecer Iniciar sessão como permissão de Serviço para contas.

  2. Executar gpedit.msc

  3. Na Configuração do Computador, expanda os modelos administrativos.

  4. Clique no System Center – Gestor de Operações.

  5. Clique em direito para monitorizar o tipo de logon da conta de ação, clique em Editar, selecione Enabled.

  6. Escolha o Logon Type no menu suspenso.

    change service log on permission