為執行身分帳戶啟用服務登入

最佳安全性做法舊是停用服務帳戶的互動式和遠端互動式工作階段。 跨組織的安全性小組有嚴格的控制措施，可強制執行此最佳做法，以防止竊取認證和相關聯的攻擊。

System Center Operations Manager 支援強化服務帳戶，而且不需要為支援 Operations Manager 所需的數個帳戶授與 [允許本機登入 ] 使用者權限。

舊版 Operations Manager 是以「允許本機登入」作為預設登入類型。 Operations Manager 預設會使用 服務登入 。 這會導致下列變更：

• 依預設，健全狀況服務會使用登入類型 [服務]。 針對 Operations Manager 1807 和舊版，它是 互動式的。
• Operations Manager 動作帳戶和服務帳戶現在都具有「以服務方式登入」權限。
• 動作帳戶和執行身分帳戶都必須具有「以服務方式登入」權限，才能執行 MonitoringHost.exe。 深入了解。

Operations Manager 動作帳戶的變更

下列帳戶會在 Operations Manager 安裝期間和從舊版升級期間授與 登入即服務 許可權：

• 管理伺服器動作帳戶

• System Center 設定服務和 System Center 資料存取服務帳戶

• 代理程式動作帳戶

• 資料倉儲寫入帳戶

• 資料讀取器帳戶

  

在這項變更之後，管理組件 (MP) 的 Operations Manager 系統管理員所建立的任何 [執行身分帳戶] 都需要 [以服務方式登入] 權限 (系統管理員應授與該權限)。

檢視管理伺服器和代理程式的登入類型

您可以從 Operations Manager 主控台檢視管理伺服器和代理程式的登入類型。

若要檢視管理伺服器的登入類型，請移至[系統管理>Operations Manager 產品>管理伺服器]。

若要檢視代理程式的登入類型，請移至[系統管理>Operations Manager 產品>代理程式]。

注意

尚未升級的代理程式/閘道，在主控台中將 [登入類型] 顯示為 [服務 ]。 升級代理程式/閘道後，就會顯示目前的登入類型。

為執行身分帳戶啟用服務登入權限

請遵循下列步驟：

1. 使用系統管理員權限登入您要將 [以服務方式登入] 權限提供給「執行身分帳戶」的電腦。

2. 移至 [系統管理工具 ]，然後選取 [ 本機安全性原則]。

3. 展開 [本機原則 ]，然後選取 [ 使用者權限指派]。

4. 在右窗格的 [以服務方式登入] 上按一下滑鼠右鍵，然後選取 [屬性]。

5. 選取 [新增使用者或群組 ] 選項以新增使用者。

6. 在 [ 選取使用者或群組 ] 對話方塊中，尋找您想要新增的使用者，然後選取 [ 確定]。

7. 在[以服務屬性登入]中選取[確定] 以儲存變更。

   

注意

如果您要從舊版升級至 Operations Manager 2022，或安裝新的 Operations Manager 2022 環境，請遵循上述步驟來提供執行身分帳戶 的登入即服務 許可權。

變更健全狀況服務的登入類型

如果您需要將 Operations Manager 健全狀況服務的登入類型變更為「允許本機登入」，請使用 [本機安全性原則] 主控台在本機裝置上設定安全性原則設定。

以下為範例：

疑難排解

如有任何「執行身分帳戶」具備所需的 [以服務方式登入] 權限，則會出現以監視器為基礎的重大警示。 此警示會顯示執行身分帳戶的詳細資料，該帳戶沒有 「以服務 身分登入」許可權。

在代理程式電腦上，開啟 [事件檢視器]。 在 Operations Manager 記錄檔中，搜尋事件識別碼 7002，以檢視需要 登入為服務 許可權的執行身分帳戶詳細資料。

參數	訊息
警示名稱	執行身分帳戶未要求登入類型。
警示描述	「執行身分帳戶」必須有要求的登入類型。
警示內容	健全狀況服務無法登入，因為管理群組的執行身分帳戶 (組名) 尚未獲授與 登入即服務 許可權。
監視器	(新增監視名稱)

將 [以服務方式登入] 權限提供給「執行身分帳戶」，這些帳戶會在事件 7002 中識別。 一旦您提供權限，事件識別碼 7028 隨即出現，而監視器的狀態會變更為狀況良好。