Abilitare l'accesso al servizio

La procedura consigliata per la sicurezza consiste nel disabilitare sessioni interattive e remote per gli account del servizio. I team di sicurezza in tutte le organizzazioni hanno controlli rigorosi per applicare questa procedura consigliata per evitare il furto di credenziali e gli attacchi associati.

System Center - Service Manager (SM) supporta la protezione avanzata degli account del servizio e non richiede la concessione del diritto Consenti accesso locale per diversi account, necessari per supportare sm.

È necessario fornire l'autorizzazione di accesso al servizio per gli account seguenti usati dal server di gestione sm e dal server di gestione del data warehouse.

Account dei servizi di Service Manager: questo account viene usato per il servizio di accesso ai dati di System Center e per il servizio di configurazione della gestione di System Center.

Questo account richiede l'autorizzazione di accesso al servizio.

Account del flusso di lavoro di Service Manager Questo account viene usato per eseguire il processo di MonitoringHost.exe (esegue tutti i flussi di lavoro). Questo account richiede l'autorizzazione di accesso al servizio.

Abilitare l'accesso al servizio come tipo di accesso

È possibile concedere l'autorizzazione di accesso al servizio tramite criteri di dominio o criteri di gruppo locali.

Per abilitare l'uso dei criteri di dominio, contattare gli amministratori. Per usare i criteri di gruppo locali, vedere la sezione relativa all'abilitazione del servizio tramite criteri di gruppo locali

Identificare gli account che richiedono l'autorizzazione di accesso al servizio

Se gli account necessari non vengono forniti con l'autorizzazione di accesso al servizio, monitoringhost.exe non viene eseguito con tali account. Ciò significa che alcuni dei flussi di lavoro, ad esempio sla/SLO, non vengono eseguiti. In questo caso, l'evento di errore seguente viene registrato nel registro eventi di Operations Manager:

Il Servizio integrità non è riuscito ad accedere all'account RunAs XXXXXXX per il gruppo di gestione XXXX perché non è stato concesso il *Accesso come servizio

Ecco un errore di esempio:

Abilitare l'accesso al servizio tramite criteri di gruppo locali

Seguire questa procedura:

1. Accedere con privilegi di amministratore al computer da cui si vuole fornire l'autorizzazione Accesso come servizio agli account.

2. Passare a Strumenti di amministrazione e selezionare Criteri di sicurezza locali.

3. Espandere Criteri locali e selezionare Assegnazione diritti utente. Nel riquadro destro fare clic con il pulsante destro del mouse su Accedi come servizio e scegliere Proprietà.

4. Selezionare l'opzione Aggiungi utente o gruppo per aggiungere il nuovo utente.

5. Nella finestra di dialogo Seleziona utenti o gruppi trovare l'utente da aggiungere e selezionare OK.

6. Selezionare OK in Proprietà accesso come servizio per salvare le modifiche.

   

Modificare il tipo di accesso da un valore predefinito

Il tipo di accesso predefinito è Accesso al servizio. Dopo la nuova installazione di SM o un aggiornamento, il tipo di accesso sarà Accesso al servizio, per impostazione predefinita.

È possibile modificare il tipo di accesso predefinito attenendosi alla procedura seguente:

1. Accedere con privilegi di amministratore al computer da cui si vuole fornire l'autorizzazione Accesso come servizio agli account.

2. Eseguire gpedit.msc

3. In Configurazione computer espandere Modelli amministrativi.

4. Selezionare System Center - Operations Manager.

5. Fare clic con il pulsante destro del mouse sul tipo di accesso dell'account azione di monitoraggio, scegliere Modifica e selezionare Abilitato.

6. Scegliere Tipo di accesso dal menu a discesa.