Ativar o Início de Sessão do Serviço para contas run as
A melhor prática de segurança é desativar sessões interativas e remotas interativas para contas de serviço. As equipas de segurança em todas as organizações têm controlos rigorosos para impor esta melhor prática para impedir o roubo de credenciais e ataques associados.
O System Center Operations Manager suporta a proteção de contas de serviço e não requer a concessão do direito permitir o início de sessão localmente do utilizador para várias contas necessárias no suporte do Operations Manager.
A versão anterior dos Gestores de Operações tem Permitir o início de sessão localmente como o tipo de início de sessão predefinido. O Operations Manager utiliza o Início de Sessão de Serviço por predefinição. Isto leva às seguintes alterações:
- O serviço de estado de funcionamento utiliza o tipo de início de sessão Serviço por predefinição. Para o Operations Manager 1807 e versões anteriores, era Interativo.
- As contas de ação e as contas de serviço do Operations Manager têm agora a permissão Iniciar sessão como serviço .
- As contas de ação e as contas Run As têm de ter a permissão Iniciar sessão como serviço para executar MonitoringHost.exe. Saiba mais.
Alterações às contas de ação do Operations Manager
As seguintes contas recebem a permissão Iniciar sessão como Serviço durante a instalação do Operations Manager e durante a atualização das versões anteriores:
Conta de Ação do Servidor de Gestão
Serviço de configuração do System Center e contas do serviço de acesso a dados do System Center
Conta de ação do agente
Conta de Escrita do Armazém de Dados
Conta de Leitor de Dados
Após esta alteração, todas as contas Run As criadas pelos administradores do Operations Manager para os pacotes de gestão (MPs) requerem o direito Iniciar sessão como um Serviço , que os administradores devem conceder.
Ver o tipo de início de sessão para servidores e agentes de gestão
Pode ver o tipo de início de sessão para servidores de gestão e agentes a partir da consola do Operations Manager.
Para ver o tipo de início de sessão dos servidores de gestão, aceda aServidores de Gestão de Produtos>do Operations Managerde Administração>.
Para ver o tipo de início de sessão dos agentes, aceda aAgentes de Produtos >do Operations Managerde Administração>.
Nota
Agente/gateway que ainda não foi atualizado, apresente o Tipo de início de sessão como Serviço na consola do . Assim que o agente/gateway for atualizado, o tipo de início de sessão atual será apresentado.
Ativar a permissão de início de sessão do serviço para contas Run As
Siga estes passos:
Inicie sessão com privilégios de administrador no computador a partir do qual pretende fornecer permissão iniciar sessão como Serviço a uma conta Run As.
Aceda a Ferramentas Administrativas e selecione Política de Segurança Local.
Expanda Política Local e selecione Atribuição de Direitos de Utilizador.
No painel direito, clique com o botão direito do rato em Iniciar sessão como um serviço e selecione Propriedades.
Selecione a opção Adicionar Utilizador ou Grupo para adicionar o novo utilizador.
Na caixa de diálogo Selecionar Utilizadores ou Grupos , localize o utilizador que pretende adicionar e selecione OK.
Selecione OK na opção Iniciar sessão como um serviço Propriedades para guardar as alterações.
Nota
Se estiver a atualizar para o Operations Manager 2019 a partir de uma versão anterior ou a instalar um novo ambiente do Operations Manager 2019, siga os passos acima para fornecer a permissão Iniciar sessão como serviço para contas Run As.
Nota
Se estiver a atualizar para o Operations Manager 2022 a partir de uma versão anterior ou a instalar um novo ambiente do Operations Manager 2022, siga os passos acima para fornecer a permissão Iniciar sessão como serviço para contas Run As.
Alterar o tipo de início de sessão de um serviço de estado de funcionamento
Se precisar de alterar o tipo de início de sessão do serviço de estado de funcionamento do Operations Manager para Permitir o início de sessão localmente, configure a definição de política de segurança no dispositivo local com a consola da Política de Segurança Local.
Eis um exemplo:
Coexistência com o agente do Operations Manager 2016
Com a alteração do tipo de início de sessão introduzida no Operations Manager 2019, o agente do Operations Manager 2016 pode coexistir e interoperar sem problemas. No entanto, existem alguns cenários que são afetados por esta alteração:
- A instalação push do agente a partir da consola do Operations Manager requer uma conta com privilégios administrativos e o início de sessão como um serviço diretamente no computador de destino.
- A conta de ação do Servidor de Gestão do Operations Manager requer privilégios administrativos em servidores de gestão para monitorizar Service Manager.
Resolução de problemas
Se alguma das contas Run as tiver a permissão de Início de Sessão como Serviço necessária, será apresentado um alerta crítico baseado no monitor. Este alerta apresenta os detalhes da conta Run As, que não tem a permissão Iniciar sessão como Serviço .
No computador do agente, abra Visualizador de Eventos. No registo do Operations Manager, procure o ID do evento 7002 para ver os detalhes sobre as contas Run As que requerem a permissão Iniciar sessão como serviço .
| Parâmetro | Mensagem |
|---|---|
| Nome do Alerta | A conta Run As não pediu o tipo de início de sessão. |
| Descrição do Alerta | A conta Run As tem de ter o tipo de início de sessão pedido. |
| Contexto do Alerta | O Serviço de Estado de Funcionamento não conseguiu iniciar sessão, uma vez que a conta Run As para o grupo de gestão (nome do grupo) não recebeu a permissão Iniciar sessão como serviço . |
| Monitor | (adicionar nome do monitor) |
Forneça a permissão Iniciar sessão como serviço para as contas Run As aplicáveis, que são identificadas no evento 7002. Assim que fornecer a permissão, o ID do evento 7028 é apresentado e o monitor muda para um estado de bom estado de funcionamento.
