啟用服務登入
最佳安全性做法舊是停用服務帳戶的互動式和遠端互動式工作階段。 整個組織的安全性小組都有嚴格的控制,可強制執行此最佳做法,以防止認證竊取和相關聯的攻擊。
System Center - Service Manager (SM) 支援強化服務帳戶,而且不需要為數個帳戶授與[允許本機登入] 使用者權限,以支援 SM。
您必須為 SM 管理伺服器和資料倉儲管理伺服器所使用的下列帳戶提供服務登入許可權。
Service Manager服務帳戶:此帳戶用於 System Center Data Access Service 和 System Center Management Configuration Service。
此帳戶需要服務登入許可權。
Service Manager工作流程帳戶 此帳戶用來執行MonitoringHost.exe程式, (執行所有工作流程) 。 此帳戶需要服務登入許可權。
注意
我們建議您將服務登入許可權提供給各種 SM 連接器所使用的帳戶, (AD、OM、SCO、CM、VMM、交換連接器) 。 服務報告帳戶和 Analysis Services 帳戶不需要服務登入許可權。
啟用服務登入
您可以透過網域原則或本機群組原則授與服務登入許可權。
若要使用網域原則來啟用,請連絡您的系統管理員。 若要使用本機群組原則,請參閱透過本機群組原則啟用服務一節
識別需要服務登入許可權的帳戶
如果所需的帳戶未提供服務登入許可權, 則monitoringhost.exe 不會在這些帳戶下執行。 這表示,某些工作流程不會執行 SLA/SLO。 在這種情況下,Operations Manager 事件記錄檔中會記錄下列錯誤事件:
健全狀況服務無法登入管理群組 XXXX 的 RunAs 帳戶 XXXXXXX,因為它尚未被授與 *以服務身分登入
以下是範例錯誤:
透過本機群組原則啟用服務登入
請遵循下列步驟:
使用系統管理員許可權登入您想要提供帳戶 登入即服務 許可權的電腦。
移至 [系統管理工具 ],然後選取 [ 本機安全性原則]。
展開 [本機原則 ],然後選取 [ 使用者權限指派]。 在右窗格的 [以服務方式登入] 上按一下滑鼠右鍵,然後選取 [屬性]。
選取 [新增使用者 或 群組 ] 選項以新增使用者。
在 [ 選取使用者 或 群組 ] 對話方塊中,尋找您想要新增的使用者,然後選取 [ 確定]。
在[以服務身分登入] 中選取[確定],以儲存變更。
從預設值變更登入類型
預設登入類型為 服務登入。 新安裝 SM 或升級之後,登入類型預設會是服務登入。
您可以使用下列步驟來變更預設登入類型:
使用系統管理員許可權登入您想要提供帳戶 登入即服務 許可權的電腦。
執行 gpedit.msc
在 [ 電腦設定] 底下,展開 [ 系統管理範本]。
選取 [System Center – Operations Manager]。
以滑鼠右鍵按一下 [監視動作帳戶登入類型],選取 [ 編輯],然後選取 [ 已啟用]。
從下拉式功能表中選擇 [登入類型 ]。
