Habilitar o logon de serviço para contas de 'run as'
A prática recomendada de segurança é desabilitar sessões interativas e interativas remotas para contas de serviço. As equipes de segurança em todas as organizações têm controles rígidos para aplicar essa prática recomendada para evitar roubo de credenciais e ataques associados.
O System Center Operations Manager dá suporte à proteção de contas de serviço e não exige a concessão do direito de usuário Permitir logon localmente para várias contas necessárias para dar suporte ao Operations Manager.
A versão anterior do Operations Managers tem Permitir logon localmente como o tipo de logon padrão. O Operations Manager usa Logon de Serviço por padrão. Isso leva às seguintes alterações:
- O serviço de saúde usa o logon do tipo Serviço por padrão. Para a versão 2016 do Operations Manager, era Interativo.
- As contas de ação e as contas de serviço do Operations Manager agora têm permissão para logar como um serviço.
- As contas de ação e as contas Executar como devem ter permissão de logon como serviço para executar MonitoringHost.exe. Saiba mais.
Alterações nas contas de ação do Operations Manager
As seguintes contas recebem permissão de Logon como Serviço durante a instalação do Operations Manager e durante a atualização a partir de versões anteriores:
Conta de Ação do Servidor de Gestão
Serviço de configuração do System Center e contas de serviço de acesso a dados do System Center
Conta de ações do agente
Conta de Gravação do Data Warehouse
Conta do Leitor de Dados
Após essa alteração, todas as contas de Executar como criadas pelos administradores do Operations Manager para os MPs (pacotes de gerenciamento) exigem a permissão de Fazer logon como serviço, que deve ser concedida pelos administradores.
Exibir o tipo de logon para servidores e agentes de gerenciamento
Você pode exibir o tipo de logon para servidores e agentes de gerenciamento no console do Operations Manager.
Para exibir o tipo de logon para servidores de gerenciamento, acesse Administração>Produtos do Operations Manager>Servidores de gerenciamento.
Para exibir o tipo de logon para agentes, vá para Administração>Produtos do Operations Manager>Agentes.
Observação
Agente/gateway que ainda não foi atualizado, exibe o tipo de logon como Serviço no console. Depois que o agente/gateway for atualizado, o tipo de logon atual será exibido.
Habilitar a permissão de logon de serviço para contas Executar como
Siga estas etapas:
Entre com privilégios de administrador no computador do qual você deseja fornecer permissão de logon como serviço para uma conta Executar como.
Vá para Ferramentas Administrativas e selecione Política de Segurança Local.
Expanda Política Local e selecione Atribuição de Direitos de Usuário.
No painel direito, clique com o botão direito do mouse em Fazer logon como um serviço e selecione Propriedades.
Selecione a opção Adicionar usuário ou grupo para adicionar o novo usuário.
Na caixa de diálogo Selecionar usuários ou grupos, localize o usuário que deseja adicionar e selecione OK.
Selecione OK em Propriedades de Fazer Logon como um Serviço para salvar as alterações.
Observação
Se você estiver atualizando para o Operations Manager 2019 de uma versão anterior ou instalando um novo ambiente do Operations Manager 2019, siga as etapas acima para fornecer permissão de logon como serviço para contas de "Executar como".
Observação
Se você estiver atualizando para o Operations Manager 2022 de uma versão anterior ou instalando um novo ambiente do Operations Manager 2022, siga as etapas acima para fornecer permissão de logon como serviço para contas de execução.
Observação
Se você estiver atualizando para o Operations Manager 2025 de uma versão anterior ou instalando um novo ambiente do Operations Manager 2025, siga as etapas acima para fornecer permissão de logon como serviço às contas Run As.
Registro de alterações para um serviço de saúde
Se você precisar alterar o tipo de logon do serviço de integridade do Operations Manager para Permitir logon localmente, configure a configuração da política de segurança no dispositivo local usando o console da Política de Segurança Local.
Veja um exemplo:
Coexistência com o agente do Operations Manager 2016
Com a alteração do tipo de logon introduzida no Operations Manager 2019, o agente do Operations Manager 2016 pode coexistir e interoperar sem problemas. No entanto, há alguns cenários afetados por essa alteração:
- A instalação por push do agente a partir do console do Operations Manager requer uma conta que tenha privilégios administrativos e a permissão de Fazer logon como um serviço no computador de destino.
- A conta de ação do Servidor de Gerenciamento do Operations Manager requer privilégios administrativos em servidores de gerenciamento para monitorar Service Manager.
Solução de problemas
Se qualquer uma das contas Executar como tiver a permissão necessária de Fazer logon como serviço, um alerta crítico baseado em monitor será exibido. Esse alerta exibe os detalhes da Conta de Execução, que não tem a permissão Logon como serviço.
No computador do agente, abra o Visualizador de Eventos. No log do Operations Manager, procure o ID de evento 7002 para exibir os detalhes sobre as contas Run As que requerem a permissão Fazer logon como um serviço.
| Parâmetro | Mensagem |
|---|---|
| Nome do alerta | A conta de execução não possui o tipo de logon solicitado. |
| Descrição do alerta | A conta de execução deve ter o tipo de logon solicitado. |
| Contexto do Alerta | O Serviço de Saúde não pôde fazer logon, pois a conta Run As para o grupo de gerenciamento (nome do grupo) não foi concedida a permissão de Log on as a service. |
| Monitor | (adicionar nome do monitor) |
Forneça a permissão Fazer logon como um serviço para as contas de executar como apropriadas, que são identificadas no evento 7002. Depois de fornecer a permissão, o ID do evento 7028 será exibido e o monitor mudará para o estado saudável.
