6 votes

Soz avatar

Existe-t-il un moyen de définir l'accès à WMI à l'aide de GroupPolicy ?

Demandé el 22 de Avril, 2011
Quand la question a-t-elle été
26999 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

D'après les différentes documentations, il semble que pour modifier l'accès WMI, vous devez utiliser WMI pour accéder au service en cours d'exécution et modifier des parties spécifiques de l'arbre.

C'est un peu ennuyeux de changer 150.000 hôtes en utilisant l'interface utilisateur.
Il faut ensuite inclure ces changements dans le processus d'ajout de nouveaux hôtes.

On pourrait écrire un script pour faire la même chose, mais qui doit soit se connecter à toutes ces machines en direct, soit être distribué pour une mise à jour ultérieure disons dans un script de démarrage/installation. Et ensuite, il faut s'amuser à copier des données SD binaires à partir d'un exemple de contrôle d'accès.

J'ai également découvert que vous pouvez modifier le fichier wbem/*.mof pour y inclure un SDDL, mais je ne sais pas vraiment comment cela fonctionne pour le moment.

Est-ce que je passe à côté d'un point d'administration simple ?

Demandé el 22 de Avril, 2011 par Soz

1 votes

Avatar de pMan

Bonne question, je me pose également cette question.

Commenté el 22 de Octobre, 2012 par pMan

Réponses

Trop de publicités?

6voto

Volodymyr Molodets avatar
Volodymyr Molodets Points 2334

J'ai fait quelques recherches à ce sujet et il semble que la méthode ci-dessous devrait fonctionner :

Pour Windows 2003 avec Group Policy Management Console (GPMC), effectuez les étapes suivantes :

  1. に移動します。 Start Menu > Administrative Tools > Group Policy Management .
  2. Dans le volet de gauche, naviguez jusqu'à Forest : Domain Name -> Domains -> Domain Name où Nom de domaine est le nom du domaine que vous souhaitez modifier.
  3. Cliquez avec le bouton droit de la souris sur Domain Name dans le volet de gauche et sélectionnez Create and Link a GPO Here .
  4. Nommez la nouvelle politique WMI Permissions .

NOTE : Comme WMI doit établir une connexion DCOM avec l'hôte distant, cela suffit pour configurer les autorisations d'accès à DCOM.

Configuration des permissions du modèle d'objet de composant distribué (DCOM) :

  1. Naviguez jusqu'au WMI Permissions la politique de groupe, soit par the Group Policy Management ou par le plug-in ADUC plug-in.
  2. Assurez-vous que le WMI Permissions est en surbrillance et cliquez sur le bouton Edit bouton.
  3. に移動します。 Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options .
  4. Dans le volet droit de l'interface utilisateur, double-cliquez sur DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax .
  5. Cochez la case à côté de Define this policy setting .
  6. Cliquez sur le Edit Security bouton.
  7. Cliquez sur le Add Dans la fenêtre contextuelle qui s'affiche, indiquez le compte d'administrateur de domaine qui sera utilisé.
  8. Cliquez sur OK.
  9. Dans le Group or user names sélectionnez l'administrateur de domaine que vous avez spécifié à l'étape 7.
  10. Dans le Permissions for Administrators assurez-vous qu'il y a une coche dans le champ Allow pour la colonne Remote Access option.
  11. Cliquez sur OK.
  12. Cliquez sur OK.
  13. Dans le volet droit de l'interface utilisateur, double-cliquez sur DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax .
  14. Cochez la case à côté de Define this policy setting .
  15. Cliquez sur le Edit Security bouton.
  16. Cliquez sur le Add Dans la fenêtre contextuelle qui s'affiche, indiquez le compte d'administrateur de domaine qui sera utilisé.
  17. Cliquez sur OK.
  18. Dans la zone Noms de groupe ou d'utilisateur, sélectionnez l'administrateur de domaine que vous avez indiqué à l'étape 16.
  19. Dans le Permissions for Administrators assurez-vous qu'il y a une coche sous le champ Allow pour les deux Remote Launch y Remote Activation .
  20. Cliquez sur OK.
  21. Cliquez sur OK.
  22. Fermer le Group Policy Object Editor fenêtre.
  23. Cliquez sur OK et fermez la fenêtre Active Directory Users and Computers fenêtre.
Répondu el 28 de Février, 2013 par Volodymyr Molodets (2334 Points )

1 votes

Avatar de Todd Wilcox

J'espère que les personnes qui configurent les GPO pour permettre l'accès à WMI ont une compréhension suffisamment solide de ces systèmes pour ne pas avoir besoin de savoir exactement quand et combien de fois il faut cliquer sur "Ok".

Commenté el 27 de Novembre, 2017 par Todd Wilcox

0 votes

Avatar de SamErde

Vous devez encore créer des autorisations sur l'espace de noms WMI à l'aide de SDDL.

Commenté el 28 de Novembre, 2018 par SamErde

2voto

thinknot avatar
thinknot Points 41

Référencement https://answers.splunk.com/answers/2703/how-to-enable-wmi-data-collection-on-a-domain-server.html

Pour l'instant, il n'existe pas de moyen non ésotérique de configurer globalement WMI à l'échelle du domaine. Chaque machine a ses propres paramètres. Il existe blog MSDN, cependant, qui énumère les étapes que vous pouvez suivre pour créer un script qui contient les descripteurs de sécurité appropriés, que vous les descripteurs de sécurité appropriés, que vous pouvez ensuite insérer dans une GPO en tant que script de démarrage et faire en sorte que vos ordinateurs obtiennent les paramètres de sécurité mis à jour au moment du démarrage.

Voici le lien vers l'article du blog avec la méthode pour créer un script : https://blogs.msdn.microsoft.com/spatdsg/2007/11/21/set-wmi-namespace-security-via-gpo-script/

Cette approche m'a donné une méthode utilisable pour activer l'accès WMI pour un compte de service non Admin de domaine en utilisant GPO.

Répondu el 27 de Novembre, 2017 par thinknot (41 Points )

1voto

Stefan Rusek avatar
Stefan Rusek Points 2437

Microsoft a un autre article, plus récent, qui montre comment faire cela via la stratégie de groupe avec un script PowerShell :

https://blogs.technet.microsoft.com/askpfeplat/2018/04/30/delegate-wmi-access-to-domain-controllers/

Je ne sais pas pourquoi ils le font avec une tâche planifiée. Je crois que la politique de groupe Startup scripts supporte maintenant PowerShell en natif :

https://gallery.technet.microsoft.com/Set-WMI-Namespace-Security-5081ad6d

Répondu el 23 de Août, 2019 par Stefan Rusek (2437 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X