実行アカウントのサービス ログオンを有効にする

  • [アーティクル]

セキュリティのベスト プラクティスは、サービス アカウントの対話型およびリモート対話型セッションを無効にすることです。 組織全体のセキュリティ チームは、資格情報の盗難や関連する攻撃を防ぐために、このベスト プラクティスを適用するための厳格な制御を持っています。

System Center Operations Manager では、サービス アカウントのセキュリティ強化がサポートされており、Operations Manager をサポートするために必要な複数のアカウントに対してローカルで Allow ログオンをユーザー権限を付与する必要はありません。

以前のバージョンの Operations Managers では、既定のログオンの種類としてローカルでAllow ログオンが行われます。 Operations Manager では、既定で "サービス ログオン" が使用されます。 これにより、次の変更が行われます。

  • ヘルス サービスでは、既定でログオンの種類 Service が使用されます。 Operations Manager 2016 バージョンでは、 Interactive
  • Operations Manager のアクション アカウントとサービス アカウントに、 サービスとしてログオン アクセス許可が付与されました。
  • MonitoringHost.exeを実行するには、アクション アカウントと実行アカウントに Log on a Service アクセス許可が必要です。 詳細情報。

Operations Manager アクション アカウントの変更

Operations Manager のインストール中および以前のバージョンからのアップグレード中に、次のアカウントに サービスとしてログオン アクセス許可が付与されます。

  • 管理サーバー アクション アカウント

  • System Center 構成サービスと System Center データ アクセス サービス アカウント

  • エージェント アクション アカウント

  • データ ウェアハウス書き込みアカウント

  • データ リーダー アカウント

    ローカル セキュリティ設定のスクリーンショット。

この変更後、Operations Manager 管理者によって管理パック (MP) 用に作成された 実行アカウント には、管理者が付与する必要がある Log on a Service 権限が必要になります。

管理サーバーとエージェントのログオンの種類を表示する

管理サーバーとエージェントのログオンの種類は、Operations Manager コンソールから確認できます。

管理サーバーのログオンの種類を表示するには、 Administration>Operations Manager Products>Management サーバーに移動します。

管理サーバーのログオンの種類

エージェントのログオンの種類を表示するには、 Administration>Operations Manager Products>Agents に移動します。

エージェントのログオンの種類

Note

まだアップグレードされていないエージェントまたはゲートウェイの場合、コンソールにはログオンの種類として [サービス] が表示されます。 エージェント/ゲートウェイがアップグレードされると、現在のログオンの種類が表示されます。

実行アカウントのサービス ログオンアクセス許可を有効にする

次のステップを実行します。

  1. 実行アカウントに Log on Service アクセス許可を付与するコンピューターに管理者特権でサインインします。

  2. Administrative Tools に移動しローカル セキュリティ ポリシー選択

  3. [ローカル ポリシー 展開し ユーザー権利の割り当て 選択します

  4. 右側のウィンドウで[サービスとしてログオン] を右クリックしProperties を選択します。

  5. ユーザーまたはグループの追加オプションを選択して、新しいユーザーを追加します。

  6. ユーザーまたはグループの選択ダイアログで、追加するユーザーを見つけて、OKを選択します。

  7. Log on as a service PropertiesOK を選択して変更を保存します。

    [ユーザーの選択] のスクリーンショット。

Note

以前のバージョンから Operations Manager 2019 にアップグレードする場合、または新しい Operations Manager 2019 環境をインストールする場合は、上記の手順に従って、実行アカウントに Log on a service アクセス許可を付与します。

Note

以前のバージョンから Operations Manager 2022 にアップグレードする場合、または新しい Operations Manager 2022 環境をインストールする場合は、上記の手順に従って、 サービスとしてログオン 実行アカウントへのアクセス許可を付与します。

ヘルス サービスのログオンの種類を変更する

Operations Manager ヘルス サービスのログオンの種類を ローカルログオンに変更する必要がある場合はローカル セキュリティ ポリシー コンソールを使用してローカル デバイスのセキュリティ ポリシー設定を構成します。

次に例を示します。

監視アクション アカウントのログオンの種類のスクリーンショット。

Operations Manager 2016 エージェントとの共存

Operations Manager 2019 で導入されたログオンの種類の変更により、Operations Manager 2016 エージェントは共存し、問題なく相互運用できます。 ただし、この変更の影響を受けるシナリオがいくつかあります。

  • Operations Manager コンソールからエージェントをプッシュ インストールするには、管理者特権を持つアカウントと、移行先のコンピューターでサービスとしてログオンしているアカウントが必要です。
  • Operations Manager 管理サーバー アクション アカウントには、Service Manager を監視するための管理サーバーに対する管理特権が必要です。

トラブルシューティング

いずれかの実行アカウントに必要な サービスとしてのログオン アクセス許可がある場合は、重要なモニターベースのアラートが表示されます。 このアラートには、 サービスとしてログオン アクセス許可がない実行アカウントの詳細が表示されます。

アラートのプロパティのスクリーンショット。

エージェント コンピューターで、イベント ビューアーを開きます。 Operations Manager ログでイベント ID 7002 を探し、[サービスとしてログオンする] アクセス許可を必要とする実行アカウントに関する詳細を表示します。

パラメーター メッセージ
アラート名 実行アカウントに、ログオンの種類が要求されていません。
アラートの説明 実行アカウントには、要求されたログオンの種類が必要です。
アラートのコンテキスト ヘルス サービス管理グループの実行アカウント (グループ名) にが付与されていないため、ログオンできませんでしたサービスとしてログオンアクセス許可。
モニター (モニター名の追加)

イベント 7002 で識別される、該当する実行アカウントに Log on a Service アクセス許可を付与します。 アクセス許可を指定すると、イベント ID 7028 が表示され、モニターが正常な状態に変わります。

イベントの数のスクリーンショット。