Abilitare l'accesso al servizio
La procedura consigliata per la sicurezza consiste nel disabilitare le sessioni interattive e interattive remote per gli account del servizio. I team di sicurezza in tutte le organizzazioni dispongono di controlli rigorosi per applicare questa procedura consigliata per prevenire il furto delle credenziali e gli attacchi associati.
System Center: Service Manager (SM) supporta la protezione avanzata degli account del servizio e non richiede la concessione del diritto utente Consenti accesso locale per diversi account, necessari al supporto di SM.
È necessario fornire l'autorizzazione di accesso al servizio per gli account seguenti usati dal server di gestione SM e dal server di gestione del data warehouse.
Service Manager Account dei servizi: questo account viene usato per il servizio System Center Data Access Service e System Center Management Configuration.
Questo account richiede l'autorizzazione di accesso al servizio.
Service Manager Account flusso di lavoro Questo account viene usato per eseguire il processo diMonitoringHost.exe (esegue tutti i flussi di lavoro). Questo account richiede l'autorizzazione di accesso al servizio.
Nota
È consigliabile fornire l'autorizzazione di accesso al servizio agli account usati da vari connettori SM (AD, OM, SCO, CM, VMM, exchange connector). Gli account di report del servizio e gli account di Analysis Services non richiedono l'autorizzazione di accesso al servizio.
Per abilitare l'accesso al servizio
È possibile concedere l'autorizzazione di accesso al servizio tramite criteri di dominio o criteri di gruppo locali.
Per abilitare l'uso dei criteri di dominio, contattare gli amministratori. Per usare criteri di gruppo locali, vedere la sezione relativa all'abilitazione del servizio tramite criteri di gruppo locali
Identificare gli account che richiedono l'autorizzazione di accesso al servizio
Se gli account necessari non sono forniti con l'autorizzazione di accesso al servizio, monitoringhost.exe non viene eseguito in tali account. Ciò significa che alcuni dei flussi di lavoro, ad esempio sla/SLO, non verranno eseguiti. In tal caso, l'evento di errore seguente viene registrato nel registro eventi di Operations Manager:
Il servizio integrità non è riuscito ad accedere all'account RunAs XXXXXXX per il gruppo di gestione XXXX perché non è stato concesso il *Accesso come servizio
Ecco un errore di esempio:
Abilitare l'accesso al servizio tramite criteri di gruppo locali
Seguire questa procedura:
Accedere con privilegi di amministratore al computer da cui si vuole fornire l'autorizzazione Accesso come servizio per gli account.
Passare a Strumenti di amministrazione e selezionare Criteri di sicurezza locali.
Espandere Criteri locali e selezionare Assegnazione diritti utente. Nel riquadro destro fare clic con il pulsante destro del mouse su Accesso come servizio e scegliere Proprietà.
Selezionare Aggiungi utente o gruppo opzione per aggiungere il nuovo utente.
Nella finestra di dialogo Seleziona utenti o gruppi individuare l'utente che si desidera aggiungere e selezionare OK.
Selezionare OK nella proprietà accesso come servizio per salvare le modifiche.
Modificare il tipo di accesso da un valore predefinito
Il tipo di accesso predefinito è l'accesso al servizio. Dopo la nuova installazione di SM o un aggiornamento, il tipo di accesso sarà l'accesso al servizio, per impostazione predefinita.
È possibile modificare il tipo di accesso predefinito seguendo questa procedura:
Accedere con privilegi di amministratore al computer da cui si vuole fornire l'autorizzazione Accesso come servizio per gli account.
Eseguire gpedit.msc
In Configurazione computer espandere Modelli amministrativi.
Selezionare System Center - Operations Manager.
Fare clic con il pulsante destro del mouse sul tipo di accesso dell'account azione di monitoraggio, scegliere Modifica e selezionare Abilitato.
Scegliere Tipo di accesso dal menu a discesa.
