Включение входа в качестве службы для учетных записей запуска от имениEnable Service Log on for run as accounts

По соображениям безопасности рекомендуется отключить интерактивные и удаленные сеансы для учетных записей служб.Security best practice is to disable interactive and remote interactive sessions for service accounts. Команды специалистов по безопасности в организациях используют строгие механизмы управления для применения этой рекомендации с целью предотвращения кражи учетных данных и связанных с ней атак.Security teams, across organizations have strict controls to enforce this best practice to prevent credential theft and associated attacks.

System Center 2019 Operations Manager позволяет усилить защиту учетных записей служб и не требует предоставления права пользователя Разрешить локальный вход в систему нескольким учетным записям, необходимым для поддержки Operations Manager.System Center 2019 - Operations Manager supports hardening of service accounts and does not require granting the Allow log on locally user right for several accounts, required in support of Operations Manager.

В ранней версии Operations Manager Разрешить локальный вход в систему является типом входа по умолчанию.Earlier version of Operations Managers has Allow log on locally as the default log on type. В Operations Manager 2019 по умолчанию используется тип входа в качестве службы.Operations Manager 2019 uses Service Log on by default. Это приводит к следующим изменениям:This leads to the following changes:

  • Служба работоспособности использует тип входа в качестве службы по умолчанию.Health service uses log on type Service by default. В Operations Manager 1807 и более ранних версиях он был интерактивным.Operations Manager 1807 and earlier versions, it was Interactive.
  • У учетных записей действий и учетных записей служб Operations Manager теперь есть разрешение Вход в качестве службы.Operations Manager action accounts and service accounts now have Log on as a Service permission.
  • Для выполнения файла MonitoringHost.exe у учетных записей действий и учетных записей запуска от имени должно быть разрешение Вход в качестве службы.Action accounts and Run As accounts must have Log on as a Service permission to execute MonitoringHost.exe. (Learn more) Дополнительные сведения.Learn more.

Изменения, касающиеся учетных записей действий Operations ManagerChanges to Operations Manager action accounts

Во время установки Operations Manager 2019 и во время обновления с предыдущих версий следующим учетным записям предоставляется разрешение Вход в качестве службы:The following accounts are granted Log on as a Service permission during the Operations Manager 2019 installation, and during upgrade from previous versions:

  • учетная запись действия сервера управления;Management Server Action account

  • учетная запись службы конфигурации System Center и службы доступа к данным System Center;System Center configuration service and System Center data access service accounts

  • учетная запись действия агента;Agent action account

  • Учетная запись для записи в хранилище данныхData Warehouse Write account

  • учетной записи чтения данныхData Reader account

    локальный параметр безопасности

После этого изменения любой учетной записи запуска от имени, созданной администраторами Operations Manager для пакетов управления, администратор должен предоставить право Вход в качестве службы.After this change, any Run As accounts created by Operations Manager administrators for the management packs (MPs) require the Log on as a Service right, which administrators should grant.

Просмотр типа входа для серверов управления и агентовView log on type for management servers and agents

Вы можете просмотреть тип входа для серверов управления и агентов в консоли Operations Manager.You can view the log on type for management servers and agents from the Operations Manager console.

Чтобы просмотреть тип входа для серверов управления, выберите Администрирование > Продукты Operations Manager> Серверы управления.To view the log on type for management servers, go to Administration > Operations Manager Products> Management servers.

Тип входа для серверов управления

Чтобы просмотреть тип входа для агентов, выберите Администрирование > Продукты Operations Manager> Агенты.To view the log on type for agents, go to Administration > Operations Manager Products> Agents.

Тип входа для серверов управления

Примечание

Для агента или шлюза, которые еще не обновлены, в консоли отображается тип входа в качестве службы.Agent/gateway that is not yet upgraded, display Log on type as Service in console . После обновления агента или шлюза будет отображаться текущий тип входа.Once the agent/gateway is upgraded, the current log on type will be displayed.

Разрешение на включение входа в качестве службы для учетных записей запуска от имениEnable service log on permission for Run As accounts

Выполните следующие действия.Follow these steps:

  1. Войдите с правами администратора на компьютер, с которого вы хотите предоставить разрешение Вход в качестве службы учетной записи запуска от имени.Sign in with administrator privileges to the computer from which you want to provide Log on as Service permission to a Run As accounts.

  2. Перейдите в раздел Администрирование и выберите Локальная политика безопасности.Go to Administrative Tools and click Local Security Policy.

  3. Разверните узел Локальная политика и выберите Назначение прав пользователя.Expand Local Policy and click User Rights Assignment.

  4. В области справа щелкните право Вход в качестве службы правой кнопкой мыши и в контекстном меню выберите Свойства.In the right pane, right-click Log on as a service and select Properties.

  5. Выберите параметр Добавить пользователя или группу, чтобы добавить нового пользователя.Click Add User or Group option to add the new user.

  6. В диалоговом окне Выбор пользователей или групп найдите пользователя, которого необходимо добавить, и нажмите кнопку ОК.In the Select Users or Groups dialogue, find the user you wish to add and click OK.

  7. В области свойств права Вход в качестве службы нажмите кнопку ОК, чтобы сохранить изменения.Click OK in the Log on as a service Properties to save the changes.

    Выбор пользователей

Примечание

Если вы выполняете обновление до Operations Manager 2019 с предыдущей версии или устанавливаете новую среду Operations Manager 2019, выполните приведенные выше действия, чтобы предоставить разрешение Вход в качестве службы учетным записям запуска от имени.If you are upgrading to Operations Manager 2019 from a previous version or installing a new Operations Manager 2019 environment, follow the steps above to provide Log on as a service permission to Run As accounts.

Изменение типа входа для службы работоспособностиChange log on type for a health service

Если вы хотите изменить тип входа службы работоспособности Operations Manager на Разрешить локальный вход в систему, настройте параметр политики безопасности на локальном устройстве с помощью консоли локальной политики безопасности.If you need to change the log on type of Operations Manager health service to Allow log on locally, configure the security policy setting on the local device using the Local Security Policy console.

Далее приводится пример:Here is an example:

Мониторинг типов входа учетной записи действия

Сосуществование с агентом Operations Manager 2016Coexistence with Operations Manager 2016 agent

Агент Operations Manager 2016 может сосуществовать с Operations Manager 2019, в котором представлено изменение типа входа, и взаимодействовать с ним без каких-либо проблем.With the log on type change that is introduced in Operations Manager 2019, the Operations Manager 2016 agent can coexist and interoperate without any issues. Однако существует несколько сценариев, на которые влияет это изменение:However, there are a couple of scenarios that are affected by this change:

  • принудительная установка агента с консоли Operations Manager требует учетной записи с правами администратора и правом Вход в качестве службы на компьютере назначения;Push install of agent from the Operations Manager console requires an account that has administrative privileges and the Log on as a service right on the destination computer.
  • учетной записи действия сервера управления Operations Manager требуются права администратора на серверах управления, чтобы выполнять мониторинг Service Manager.Operations Manager Management Server action account requires administrative privileges on management servers for monitoring Service Manager.

ДиагностикаTroubleshooting

Если у любой учетной записи запуска от имени есть необходимое разрешение Вход в качестве службы, в результате мониторинга появится критическое оповещение.If any of the Run as accounts do have the required Log on as a Service permission, a critical monitor-based alert appears. В этом оповещении содержатся подробные сведения об учетной записи запуска от имени, которая не поддерживает разрешение Вход в качестве службы.This alert displays the details of the Run As account, which does not have Log on as a Service permission.

Свойства оповещения

На компьютере агента откройте компонент "Просмотр событий".On the agent computer, open Event Viewer. В журнале Operations Manager найдите событие с идентификатором 7002, чтобы просмотреть сведения об учетных записях запуска от имени, требующих разрешения Вход в качестве службы.In the Operations Manager log, search for the event ID 7002 to view the details about the Run As accounts that require Log on as a Service permission.

ПараметрParameter СообщениеMessage
Имя предупрежденияAlert Name Run As account does not have requested log on type (Учетная запись запуска от имени не обладает запрошенным типом входа).Run As account does not have requested log on type.
Описание предупрежденияAlert Description The Run As account must have the requested log on type (Учетной записи запуска от имени необходим запрошенный тип входа).The Run As account must have the requested log on type.
Контекст предупрежденияAlert Context Health Service could not log on, as the Run As account for management group (group name) has not been granted the Log on as a service permission (Службе работоспособности не удалось выполнить вход, так как учетной записи запуска от имени для группы управления (имя группы) не было предоставлено разрешение "Вход в качестве службы").Health Service could not log on, as the Run As account for management group (group name) has not been granted the Log on as a service permission.
МониторMonitor (добавьте имя монитора)(add monitor name)

Предоставьте разрешение Вход в качестве службы применимым учетным записям запуска от имени, которые обозначены в событии 7002.Provide Log on as a Service permission to the applicable Run As accounts, which are identified in the event 7002. После предоставления разрешения появится событие с идентификатором 7028, а состояние монитора изменится на работоспособное.Once you provide the permission, event ID 7028 appears and the monitor changes to healthy state.

количество событий