ユーザーがリモートマシンでWMIにアクセスするには、どのアクセス許可/権利が必要ですか?
リモートマシンから情報を取得するためにWMIを使用する監視サービスを書いています。これらすべてのマシンでローカル管理者権限を持つことは、政治的な理由から不可能です。
これは可能ですか?ユーザーはこれにどのような権限/権利を必要としますか?
以下は、Windows 2003 R2で動作しますSP 2、Windows Server 2012 R2
- 問題のユーザーをPerformance Monitor Usersグループに追加します
- [サービスとアプリケーション]で、WMIコントロールのプロパティダイアログを表示します(または
wmimgmt.mscを実行します)。 [セキュリティ]タブでRoot/CIMV2を強調表示し、[セキュリティ]をクリックします。追加Performance Monitor Usersおよびオプションを有効にします:Enable AccountおよびRemote Enable dcomcnfgを実行します。 [コンポーネントサービス]> [コンピュータ]> [マイコンピュータ]の[プロパティ]ダイアログの[COMセキュリティ]タブで、Access PermissionsとLaunch and Activation Permissionsの両方の[制限の編集]をクリックします。 Performance Monitorユーザーを追加し、リモートアクセス、リモート起動、リモートアクティベーションを許可します。- [コンポーネントサービス]> [コンピュータ]> [マイコンピュータ]> [DCOM構成]で[Windows Management Instrumentation]を選択し、
Remote LaunchおよびRemote Activation特権をPerformance Monitor Users Groupに付与します。
ノート:
- ステップ3および4の代わりに、ユーザーをグループに割り当てることができます分散COMユーザー(Windows Server 2012 R2でテスト済み)
- ユーザーがすべての名前空間にアクセスする必要がある場合は、2。の設定を
Rootレベルで設定し、AdvancedのSecurityウィンドウを介してサブ名前空間への権限を再帰的に実行できます。
私がWindows 8で行ったのは、「リモート管理ユーザー」グループにユーザーを追加することだけで、リモートWQL要求は機能しました。
既定では、ローカルのAdministratorsグループのみがWMIへのリモートアクセス許可を持っています。 WMIの「リモートイネーブル」権限をカスタマイズする必要があります。
また、実行しようとしていることに応じて、「DCOMリモートアクセス許可」や「DCOMリモート起動およびアクティブ化許可」を付与する必要がある場合もあります。 このMSDNの記事 は、段階的な手順を示しています。
以下は2012 r2ドメイン環境で機能しましたが、ドメイン全体ではなく、サーバーごとにのみ実行できました。
1)ユーザーをPerformance Log Usersグループに追加します。 2)wmimgmt.mscを実行し、[WMIコントロール(ローカル)]を右クリックして、[セキュリティ]タブに移動し、適切なユーザーに目的のネームスペース(通常はCIMV2)の[アカウントの有効化]と[リモート有効化]を付与します。
ドメイン全体でそれを実行できた場合は、戻って更新します。
選択した回答に基づいて、Microsoftのスクリプトを変更し、WMIセキュリティを設定しました。私のテストユーザーは、この問題に関連しない理由のため、ローカルシステムの「リモート管理ユーザー」のメンバーである非管理ドメインユーザーでした。ユーザーに、ターゲット名前空間に対するEnableAccount、RemoteEnable、およびExecuteMethodsのアクセス許可を付与した後、WMIにアクセスできました。
だから、私はPerformance Monitor UsersまたはDistributed COM Usersローカルグループにユーザーを追加しませんでした。
スクリプトに関する注意事項:
- 名前空間の完全パスを指定する必要があります。私の場合、名前空間はRoot/Microsoft/SqlServerでした
- 継承が間違っていました。リーフオブジェクトがないため、使用できません
$OBJECT_INHERIT_ACE_FLAG - 組み込み関数は小さすぎて1回しか使用されなかったため、削除しました。
スクリプトは次のとおりです。 Set-WMINamespaceSsecurity.ps1という名前にしました
Param ([Parameter(Mandatory=$true,Position=0)] [string]$Namespace,
[Parameter(Mandatory=$true,Position=1)] [ValidateSet("Add","Remove")] [string]$Operation,
[Parameter(Mandatory=$true,Position=2)] [string] $Account,
[Parameter(Mandatory=$false,Position=3)] [ValidateSet("EnableAccount","ExecuteMethods","FullWrite","PartialWrite","ProviderWrite","RemoteEnable","ReadSecurity","WriteSecurity")] [string[]] $Permissions=$null,
[Parameter(Mandatory=$false)] [switch]$AllowInherit,
[Parameter(Mandatory=$false)] [switch]$Deny,
[Parameter(Mandatory=$false)] [string]$ComputerName=".",
[Parameter(Mandatory=$false)] [System.Management.Automation.PSCredential]$Credential=$null)
$OBJECT_INHERIT_ACE_FLAG = 0x1
$CONTAINER_INHERIT_ACE_FLAG = 0x2
$ACCESS_ALLOWED_ACE_TYPE = 0x0
$ACCESS_DENIED_ACE_TYPE = 0x1
$WBEM_ENABLE = 0x01
$WBEM_METHOD_EXECUTE = 0x02
$WBEM_FULL_WRITE_REP = 0x04
$WBEM_PARTIAL_WRITE_REP = 0x08
$WBEM_WRITE_PROVIDER = 0x10
$WBEM_REMOTE_ACCESS = 0x20
$WBEM_RIGHT_SUBSCRIBE = 0x40
$WBEM_RIGHT_PUBLISH = 0x80
$READ_CONTROL = 0x20000
$WRITE_DAC = 0x40000
$WBEM_S_SUBJECT_TO_SDS = 0x43003
$ErrorActionPreference = "Stop"
$InvokeParams=@{Namespace=$Namespace;Path="__systemsecurity=@";ComputerName=$ComputerName}
if ($PSBoundParameters.ContainsKey("Credential")) { $InvokeParams+= @{Credential=$Credential}}
$output = Invoke-WmiMethod @InvokeParams -Name "GetSecurityDescriptor"
if ($output.ReturnValue -ne 0) { throw "GetSecurityDescriptor failed: $($output.ReturnValue)" }
$ACL = $output.Descriptor
if ($Account.Contains('\')) {
$Domain=$Account.Split('\')[0]
if (($Domain -eq ".") -or ($Domain -eq "BUILTIN")) { $Domain = $ComputerName }
$AccountName=$Account.Split('\')[1]
}
elseif ($Account.Contains('@')) {
$Somain=$Account.Split('@')[1].Split('.')[0]
$AccountName=$Account.Split('@')[0]
}
else {
$Domain = $ComputerName
$AccountName = $Account
}
$GetParams = @{Class="Win32_Account" ;Filter="Domain='$Domain' and Name='$AccountName'"}
$Win32Account = Get-WmiObject @GetParams
if ($Win32Account -eq $null) { throw "Account was not found: $Account" }
# Add Operation
if ($Operation -eq "Add") {
if ($Permissions -eq $null) { throw "Permissions must be specified for an add operation" }
# Construct AccessMask
$AccessMask=0
$WBEM_RIGHTS_FLAGS=$WBEM_ENABLE,$WBEM_METHOD_EXECUTE,$WBEM_FULL_WRITE_REP,$WBEM_PARTIAL_WRITE_REP,$WBEM_WRITE_PROVIDER,$WBEM_REMOTE_ACCESS,$READ_CONTROL,$WRITE_DAC
$WBEM_RIGHTS_STRINGS="EnableAccount","ExecuteMethods","FullWrite","PartialWrite","ProviderWrite","RemoteEnable","ReadSecurity","WriteSecurity"
$PermissionTable=@{}
for ($i=0; $i -lt $WBEM_RIGHTS_FLAGS.Count; $i++) { $PermissionTable.Add($WBEM_RIGHTS_STRINGS[$i].ToLower(), $WBEM_RIGHTS_FLAGS[$i]) }
foreach ($Permission in $Permissions) { $AccessMask+=$PermissionTable[$Permission.ToLower()] }
$ACE=(New-Object System.Management.ManagementClass("Win32_Ace")).CreateInstance()
$ACE.AccessMask=$AccessMask
# Do not use $OBJECT_INHERIT_ACE_FLAG. There are no leaf objects here.
if ($AllowInherit.IsPresent) { $ACE.AceFlags=$CONTAINER_INHERIT_ACE_FLAG }
else { $ACE.AceFlags=0 }
$Trustee=(New-Object System.Management.ManagementClass("Win32_Trustee")).CreateInstance()
$Trustee.SidString = $Win32Account.SID
$ACE.Trustee=$Trustee
if ($Deny.IsPresent) { $ACE.AceType = $ACCESS_DENIED_ACE_TYPE } else { $ACE.AceType = $ACCESS_ALLOWED_ACE_TYPE }
$ACL.DACL+=$ACE
}
#Remove Operation
else {
if ($Permissions -ne $null) { Write-Warning "Permissions are ignored for a remove operation" }
[System.Management.ManagementBaseObject[]]$newDACL = @()
foreach ($ACE in $ACL.DACL) {
if ($ACE.Trustee.SidString -ne $Win32Account.SID) { $newDACL+=$ACE }
}
$ACL.DACL = $newDACL
}
$SetParams=@{Name="SetSecurityDescriptor"; ArgumentList=$ACL}+$InvokeParams
$output = Invoke-WmiMethod @SetParams
if ($output.ReturnValue -ne 0) { throw "SetSecurityDescriptor failed: $($output.ReturnValue)" }