Предоставление прав безопасностиProvide security rights

В этой статье содержатся сведения о том, как предоставить права безопасности для групповых управляемых учетных записей службы (gMSA).This article provides information on how to provide security rights to group Managed Service Accounts (gMSA). Дополнительные сведения см. в разделе Accounts used for gMSA (Учетные записи, использованные для gMSA).For more information, see accounts used for gMSA.

Примечание

Эта статья применима к Operations Manager 2019 UR1 и более поздних версий.This article is applicable for Operations Manager 2019 Update Rollup 1 (UR1) and later.

Предоставление прав Вход в качестве службыProvide Log on as a service right

Чтобы предоставить учетным записям gMSA право на вход в качестве службы, выполните следующие действия.To provide log on as a service right to gMSA accounts, follow these steps:

  1. Откройте оснастку консоли MMC Локальная политика безопасности.Open the Local Security Policy MMC snap-in.

  2. Перейдите в раздел Локальные политики>Предоставление прав пользователя.Go to Local Policies>User Rights Assignment

  3. На правой панели дважды щелкните задание Вход в качестве службы в Политика.Double-click Log on as a service job under Policy.

  4. Добавьте gMSA в список учетных записей, которым разрешено создавать аудиты безопасности.Add the gMSAs to the list of accounts that are allowed to generate security audits.

    Ниже приведены сведения об учетной записи.Here are the account details:

    • SMX\momActGMSA$ : учетная запись действия сервера управления;SMX\momActGMSA$: Management Server Action account

    • SMX\momDASGMSA$ : учетная запись службы доступа к данным (SDK);SMX\momDASGMSA$: Data Access Service account (SDK)

    • SMX\momDWGMSA$ : Учетная запись для записи в хранилище данныхSMX\momDWGMSA$: Data Warehouse Write account

    • SMX\momRepGMSA$ : учетная запись для чтения в хранилище данных.SMX\momRepGMSA$: Data Warehouse Read account

      Свойства входа в службу

Предоставление права Log on as a batch (Вход в качестве пакетного задания)Provide Log on as a batch right

Чтобы предоставить разрешение на вход в систему в качестве пакетного задания в модуль записи данных и чтения данных gMSA, выполните следующие действия.To grant log on as a batch right to Data Writer and Data Reader gMSAs, follow these steps:

  1. Выполните шаги 1 и 2 из описанной выше процедуры.Follow step 1 and 2 from above procedure.

  2. Выберите Log on as a batch (Вход в качестве пакетного задания) в разделе Политика.Select Log on as a batch under Policy.

  3. Добавьте gMSA в список учетных записей, которым разрешено создавать аудиты безопасности.Add the gMSAs to the list of accounts that are allowed to generate security audits.

    вход в качестве пакетного задания

Создание аудитов безопасностиGenerate security audits

Предоставьте разрешения для учетной записи SDK gMSA, если хотите создать события аудита.Provide permissions to the gMSA SDK account if you wish to generate auditing events. Выполните следующие действия.Follow these steps:

  1. Откройте оснастку консоли MMC Локальная политика безопасности.Open the Local Security Policy MMC snap-in.

  2. Перейдите в раздел Локальные политики>Предоставление прав пользователя.Go to Local Policies>User Rights Assignment

  3. Дважды щелкните элемент Generate Security Audits (Создание аудитов безопасности) в разделе Политика.Double-click Generate security audits under Policy.

  4. Добавьте gMSA в список учетных записей, которым разрешено создавать аудиты безопасности.Add the gMSAs to the list of accounts that are allowed to generate security audits.

    Создание аудитов безопасности

Дальнейшие шагиNext steps

После предоставления необходимых прав доступа см. Change databases (Изменение баз данных).After you have provided the required access rights, change the databases.