Abilitare l'accesso al servizio per gli account RunAs
La procedura consigliata per la sicurezza consiste nel disabilitare sessioni interattive e remote per gli account del servizio. I team di sicurezza in tutte le organizzazioni hanno controlli rigorosi per applicare questa procedura consigliata per evitare il furto di credenziali e gli attacchi associati.
System Center Operations Manager supporta la protezione avanzata degli account di servizio e non richiede la concessione del diritto Consenti accesso locale per diversi account necessari per il supporto di Operations Manager.
Nella versione precedente di Operations Manager è consentito l'accesso locale come tipo di accesso predefinito. Operations Manager utilizza Service Log on per impostazione predefinita. Ciò comporta le modifiche seguenti:
- Il servizio sanitario usa il tipo di accesso Service per impostazione predefinita. Per la versione di Operations Manager 2016, era Interactive.
- Ora, gli account azione e gli account di servizio di Operations Manager dispongono dell'autorizzazione Accedi come servizio.
- Gli account di azione e gli account Run As devono disporre dell'autorizzazione Accedi come servizio per eseguire MonitoringHost.exe. Altre informazioni.
Modifiche agli account di azione di Operations Manager
Durante l'installazione di Operations Manager e durante l'aggiornamento dalle versioni precedenti, agli account seguenti viene concessa l'autorizzazione Log on as a Service:
Account azione del server di gestione
Servizio di configurazione di System Center e account del servizio di accesso ai dati di System Center
Account delle azioni dell'agente
Account di scrittura del data warehouse
Account lettore dati
Dopo questa modifica, gli Run As accounts creati dagli amministratori di Operations Manager per i Management Pack richiedono il diritto di accedere come servizio, che gli amministratori devono concedere.
Visualizzare il tipo di accesso per server e agenti di gestione
È possibile visualizzare il tipo di accesso per server di gestione e agenti dalla console di Operations Manager.
Per visualizzare il tipo di accesso per i server di gestione, andare a Amministrazione>Prodotti Operations Manager>server di gestione.
Per visualizzare il tipo di accesso per gli agenti, andare su Amministrazione>Prodotti di Operations Manager>Agenti.
Nota
Quando l'agente/gateway non è ancora aggiornato, visualizzare il Tipo di accesso come Servizio nella console. Dopo l'aggiornamento dell'agente/gateway, verrà visualizzato il tipo di accesso corrente.
Abilitare l'autorizzazione di accesso al servizio per gli account RunAs
Seguire questa procedura:
Accedere con privilegi di amministratore al computer da cui si vuole fornire l'autorizzazione Accesso come servizio a un account RunAs.
Passare a Strumenti di amministrazione e selezionare Criteri di sicurezza locali.
Espandere Criteri di sicurezza locale e selezionare Assegnazione dei diritti utente.
Nel riquadro destro fare clic con il pulsante destro del mouse su Accedi come servizio e scegliere Proprietà.
Selezionare l'opzione Aggiungi utente o gruppo per aggiungere il nuovo utente.
Nella finestra di dialogo Seleziona utenti o gruppi trovare l'utente da aggiungere e selezionare OK.
Selezionare OK in Proprietà accesso come servizio per salvare le modifiche.
Nota
Se si esegue l'aggiornamento a Operations Manager 2019 da una versione precedente o si installa un nuovo ambiente Operations Manager 2019, seguire la procedura precedente per fornire l'autorizzazione Accesso come servizio per gli account RunAs.
Nota
Se si esegue l'aggiornamento a Operations Manager 2022 da una versione precedente o si installa un nuovo ambiente Operations Manager 2022, seguire la procedura precedente per fornire l'autorizzazione Accesso come servizio per gli account RunAs.
Nota
Se si esegue l'aggiornamento a Operations Manager 2025 da una versione precedente o si installa un nuovo ambiente Operations Manager 2025, seguire i passaggi precedenti per fornire l'autorizzazione Accesso come servizio per gli account RunAs.
Registro modifiche sul tipo per un servizio sanitario
Se è necessario modificare il tipo di accesso del servizio stato di integrità di Operations Manager in Consenti accesso locale, configurare l'impostazione dei criteri di sicurezza nel dispositivo locale usando la console Criteri di sicurezza locali.
Ecco un esempio:
Coesistenza con l'agente di Operations Manager 2016
Con la modifica del tipo di accesso introdotta in Operations Manager 2019, l'agente di Operations Manager 2016 può coesistere e interagire senza problemi. Esistono tuttavia alcuni scenari interessati da questa modifica:
- L'installazione push dell'agente dalla console di Operations Manager richiede un account con privilegi amministrativi e accesso come servizio direttamente nel computer di destinazione.
- L'account di azione del Server di Gestione di Operations Manager richiede dei privilegi amministrativi sui server di gestione per il monitoraggio di Service Manager.
Risoluzione dei problemi
Se uno degli account Runas dispone dell'autorizzazione Di accesso come servizio necessaria, viene visualizzato un avviso critico basato sul monitoraggio. Questo avviso visualizza i dettagli dell'account RunAs, che non dispone dell'autorizzazione Accesso come servizio .
Nel computer agente aprire Visualizzatore eventi. Nel log di Operations Manager cercare l'ID evento 7002 per visualizzare i dettagli sugli account RunAs che richiedono l'autorizzazione Accesso come servizio .
| Parametro | Messaggio |
|---|---|
| Il nome dell'avviso | L'account RunAs non dispone del tipo di accesso richiesto. |
| Descrizione avviso | L'account RunAs deve avere il tipo di accesso richiesto. |
| Contesto di allerta | Servizio sanitario non è riuscito ad accedere perché all'account Run As per il gruppo di gestione (nome gruppo) non è stata concessa l'autorizzazione Accedere come servizio. |
| Monitoraggio | (aggiungere il nome del monitoraggio) |
Specificare l'autorizzazione Accesso come servizio per gli account RunAs applicabili, identificati nell'evento 7002. Dopo aver fornito l'autorizzazione, viene visualizzato l'ID evento 7028 e il monitoraggio passa allo stato integro.
