Problema de conexão WMI remota no Windows Server 2008 R2

2

Acabei de fazer uma instalação limpa do Windows Server 2008 R2 (x64). Eu tenho um aplicativo que fala com o servidor usando a comunicação DCOM remota e consulta alguns objetos WMI. Tudo está bem enquanto uso o login do Administrador para fazer a comunicação do WMI.

Parece que não funciona quando eu adiciono um novo usuário no Administrator Group (selecionando o usuário para ser Admin na nova GUI de criação de usuário). Eu forneci as permissões de acesso remoto do DCOM ao usuário (usando o link ) e as permissões de acesso do WMI também (usando o link ). Eu também encontrei a chave de registro renegado no Server 2008 R2 e fiz o usuário recém-criado o proprietário e concedeu todos os direitos (usando link ).

Mesmo assim, quando tento me conectar, não consigo percorrer todo o caminho. Eu sei disso porque observei os logs de segurança do Windows e consegui ver os eventos de validação de credenciais, logon especial e logon bem-sucedidos.

Mas, simplesmente não consigo prosseguir. Eu recebo o erro, não pude conectar-me ao host e depois sou desconectado (encontrado nos logs de segurança).

Eu nem sei qual serviço não está me permitindo acesso. Alguém já lidou com esse problema antes? Se você tiver uma resposta rápida, isso seria ótimo, caso contrário, por favor me diga como ler os logs de segurança ou algum outro log corretamente para descobrir qual serviço está me negando o acesso.

Além disso, todos os três firewalls, domínio / público / privado estão desativados.

Muito obrigado !!

    
por Elitecoder 26.07.2011 / 03:06

1 resposta

6

Você também pode precisar definir as ACLs para o objeto que está tentando consultar. Consulte o link

Eu tive que fazer isso no passado para acessar serviços de MS, logs de eventos, etc.

EDITAR:

Em suma, talvez seja necessário definir as ACLs para os objetos WMI que você está tentando acessar, usando uma conta administrativa, para poder acessá-los por meio de uma conta não privilegiada.

É assim que eu o configuro em nosso ambiente:

Configurar o DCOM

  • No servidor a ser gerenciado, clique em Iniciar, clique em Executar, digite DCOMCNFG e clique em OK.
  • Na caixa de diálogo Serviços de componentes, expanda Serviços de componentes, expanda Computadores e clique com o botão direito do mouse em Meu computador e clique em Propriedades.
  • Na caixa de diálogo My Computer Properties, clique na guia COM Security.
  • Em Permissões de inicialização e ativação, clique em Editar limites.
  • Na caixa de diálogo Permissão de inicialização, selecione 'Usuários COM distribuídos'. Na coluna Permitir, em Permissões do Usuário, selecione Início Remoto, selecione Ativação Remota e clique em OK.
  • Em Permissões de acesso, clique em Editar limites.
  • Na caixa de diálogo Permissão de acesso, selecione 'Usuários COM distribuídos'. Na coluna Permitir, em Permissões do Usuário, selecione Acesso Remoto e clique em OK.
  • Adicione a conta de usuário ao grupo de usuários COM distribuídos no Gerenciamento do computador, usuários locais e grupos no servidor a ser gerenciado.
  • Adicione a conta de usuário ao Grupo de Usuários do Log de Desempenho no Gerenciamento do Computador, Usuários e Grupos Locais no Servidor a ser gerenciado.

Configurar o WMI

  • No servidor a ser gerenciado, clique em Iniciar, clique em Executar, digite wmimgmt.msc e clique em OK.
  • Na árvore de console, clique com o botão direito do mouse em Controle WMI e clique em Propriedades.
  • Clique na guia Segurança.
  • Selecione o namespace Raiz e clique em Segurança.
  • Na caixa de diálogo Segurança, clique em Adicionar.
  • Na caixa de diálogo Selecionar usuários, computadores ou grupos, insira a conta do usuário. Clique no botão Verificar Nomes para verificar sua entrada e, em seguida, clique em OK.
  • Na caixa de diálogo Segurança, em Permissões, selecione "Ativar conta" e "Ativação remota" para a conta de usuário.
  • Garanta que as permissões sejam propagadas para todos os subnamespaces.

Muitos dos itens acima podem ser feitos (automatizados) usando políticas de grupo.

Agora, para definir as ACLs para serviços, você pode fazer algo como:

sc sdshow SCMANAGER

... para obter a ACL para o gerenciador de serviços. Isso cuidará do acesso à maioria dos serviços do Windows. Você vai querer adicionar uma ACL para a conta de usuário acima, que será algo como o seguinte:

sc sdset SCMANAGER D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CCLCRPRC;;;S-1-5-21-000000000-0000000000-0000000000-0000)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

... onde a parte em negrito é o UID da conta de usuário que faz a solicitação.

Os registros de eventos funcionam de maneira um pouco diferente, mas você pode usar o 'wevtutil' para definir o ACL neles. Outros objetos podem ter diferentes formas de defini-los também.

Resolva os problemas de maneira incremental. Primeiramente, obtenha consultas que trabalhem localmente com sua conta de usuário e faça com que funcionem remotamente.

    
por 26.07.2011 / 05:33