Особенности настройки прав для выполнения запросов WMI на удаленной системе


 

Недавно на формах TechnetRU был задан интересный вопрос про удаленный запросы WMI. http://social.technet.microsoft.com/Forums/ru-RU/user/threads?user=Sazonov+ILYA+%5b+sie+%5d&page=3

Обычно удаленные запросы WMI делает администратор или человек, который имеет права администратора на удаленной системе. И это не вызывает никаких затруднений. А что если надо дать права обычной учетной записи для получения некоторой информации с удаленной системы посредством запроса WMI?

Тут надо учесть несколько моментов:

1.       Надо иметь сетевой доступ к удаленной системе. (Это не относится к правам администратора, но упомянуть про это надо обязательно). Фаервол разрешает доступ на локальной и удаленной системе (Remote management Enable) Для удаленной системы команда: netsh firewall set service RemoteAdmin enable

2.       Надо разрешить удаленный доступ для WMI. Настройка описана в статье Securing a Remote WMI Connection

3.       И самое интересное: даже если вы разрешили удаленный доступ по WMI это не значит, что вы сможете выполнить запрос WMI на удаленной системе! Дело в том, что WMI запустит какой-то провайдер для выполнения запроса и далее будет обращение к некоторым компонентам системы – вот на них тоже надо установить права доступа!

Например, в выше упомянутом обсуждении нужен был доступ к счетчикам производительности. Для решения задачи пришлось не только дать права учетной записи на удаленный доступ WMI, но и включить ее в группу Performance Monitor Users на удаленной системе (либо дать права на ветку реестра).

Аналогичная ситуация будет с другими запросами WMI: учетная запись, от имени которой выполняется запрос, должна иметь права доступа на соответствующие элементы удаленной системы.

Реклама

комментария 3

  1. Да, особенно занятно давать доступ на запуск Hyper-V из другого домена, но, главное, что работает :)

  2. Илья, очень заинтересован в этой теме. Уже продолжительное время не могу настроить мониторинг CPU от имени обычного пользователя. Пробовал добавлять пользователя во всевозможные группы, даже в локальные администраторы (пользователь доменный), но результата ноль. Все остальные настройки произвел — нормально мониторится объем свободного места на диске и оперативная память. От доменного администратора — все работает, а под пользователем — нет. Может подскажете что?

    • Точно сказать не могу. Попробуйте включить пользователя в группу Performance Log Users (у нее больше прав, чем у группы Performance Monitor Users ). Добавьте пользователю право «Log on as a batch user». Возможно еще какие-то права надо поставить, например «Allow Log on Locally»

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: