Existe uma maneira de definir o acesso ao WMI usando GroupPolicy?

6

De várias documentações, parece que para alterar o acesso ao WMI, é necessário usar o WMI para acessar o serviço em execução e modificar partes específicas da árvore.

É um tipo de mudança irritante de 150.000 hosts usando a interface do usuário.
E então ter que incluir essas mudanças no processo de adicionar novos hosts.

Poderia escrever um script para fazer o mesmo, mas isso precisa se conectar a todas as máquinas ao vivo ou ser distribuído para atualização posterior, digamos, em um script de inicialização / instalação. E então você tem que mexer em copiar dados SD binários de um exemplo de controle de acesso.

Também descobri que você pode alterar o arquivo wbem / * .mof para incluir um SDDL, mas sou muito vago sobre como tudo isso funciona no momento.

Estou apenas perdendo algum ponto de administração simples?

    
por Greg Domjan 22.04.2011 / 19:23

2 respostas

5

Fiz algumas pesquisas sobre isso e parece que o método abaixo deve funcionar:

Para o Windows 2003 com o Console de Gerenciamento de Diretiva de Grupo (GPMC), execute as seguintes etapas:

  1. Navegue até Start Menu > Administrative Tools > Group Policy Management .
  2. No painel esquerdo, navegue até Floresta: Domain Name - > Domains - > Domain Name , em que Nome do domínio é o nome do domínio que você deseja modificar.
  3. Clique com o botão direito do mouse em Domain Name no painel esquerdo e selecione Create and Link a GPO Here .
  4. Nomeie a nova política WMI Permissions .

NOTA: Como o WMI deve estabelecer uma conexão DCOM com o host remoto, isso é suficiente para configurar permissões de acesso para o DCOM.

Configurando permissões DCOM (Distributed Component Object Model):

  1. Navegue para a política de grupo WMI Permissions , pelo plug-in the Group Policy Management ou pelo plug-in ADUC .
  2. Verifique se a política WMI Permissions está destacada e clique no botão Edit .
  3. Navegue até Computer Configuration - > Windows Settings - > Security Settings - > Local Policies - > Security Options .
  4. No painel da interface do usuário à direita, clique duas vezes em DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax .
  5. Coloque uma marca de seleção na caixa ao lado de Define this policy setting .
  6. Clique no botão Edit Security .
  7. Clique no botão Add ; na janela pop-up resultante, especifique a conta do administrador de domínio que será usada.
  8. Clique em OK.
  9. No campo Group or user names , selecione o administrador do domínio especificado na etapa 7.
  10. No campo Permissions for Administrators , verifique se há uma marca de seleção na coluna Allow para a opção Remote Access .
  11. Clique em OK.
  12. Clique em OK.
  13. No painel da interface do usuário à direita, clique duas vezes em DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax .
  14. Coloque uma marca de seleção na caixa ao lado de Define this policy setting .
  15. Clique no botão Edit Security .
  16. Clique no botão Add ; na janela pop-up resultante, especifique a conta do administrador de domínio que será usada.
  17. Clique em OK.
  18. No campo Nomes de grupo ou usuário, selecione o administrador do domínio especificado na etapa 16.
  19. No campo Permissions for Administrators , verifique se há uma marca de seleção na coluna Allow para Remote Launch e Remote Activation .
  20. Clique em OK.
  21. Clique em OK.
  22. Feche a janela Group Policy Object Editor .
  23. Clique em OK e feche a janela Active Directory Users and Computers .
por 28.02.2013 / 11:57
2

Referenciando link

There's no non-esoteric way at this time to globally configure WMI security settings domain-wide. Each machine has its own setting. There is an MSDN blog, however, that lists the steps you can take to create a script that contains the appropriate security descriptors, which you can then subsequently throw into a GPO as a startup script and have your computers get the updated security settings at boot time.

Este é o link para o post do blog w / method para criar um script: link

Essa abordagem deu-me um método utilizável para habilitar o acesso WMI para uma conta de serviço de administração não-domínio usando o GPO.

    
por 27.11.2017 / 21:08