Вопрос: Есть ли способ установить доступ к WMI с помощью GroupPolicy?


Из различных документов видно, что для изменения доступа WMI вам необходимо использовать WMI для доступа к запущенной службе и изменения определенных частей дерева.

Его вид раздражающего изменения 150 000 хостов с использованием пользовательского интерфейса.
А затем включить такие изменения в процесс добавления новых хостов.

Мог написать скрипт, чтобы сделать то же самое, но он должен либо подключиться ко всем этим машинам в прямом эфире, либо быть распространен для последующего обновления в сценарии запуска / установки. И тогда вам придется возиться с копированием двоичных данных SD из примера контроля доступа.

Я также обнаружил, что вы можете изменить файл wbem / *. Mof, чтобы включить SDDL, но я действительно расплывчато о том, как все это работает в данный момент.

Я просто пропустил какую-то точку простого администрирования?


5
2018-04-22 17:23


Источник


Хороший вопрос, мне тоже интересно. - Neolisk


Ответы:


Сделал некоторые исследования по этому вопросу и выглядит так: метод, приведенный ниже, должен работать:

В Windows 2003 с консолью управления групповыми политиками (GPMC) выполните следующие шаги:

  1. Перейдите к Start Menu > Administrative Tools > Group Policy Management,
  2. В левой панели перейдите в «Лес»: Domain Name -> Domains -> Domain Name, где Domain Name - это имя домена, который вы хотите изменить.
  3. Щелкните правой кнопкой мыши Domain Name в левой панели и выберите Create and Link a GPO Here,
  4. Назовите новую политику WMI Permissions,

ЗАМЕТКА:  Поскольку WMI должен установить DCOM-соединение с удаленным хостом, этого достаточно, чтобы настроить разрешения доступа для DCOM.

Конфигурирование распределенной модели объектных объектов (DCOM):

  1. Перейдите к WMI Permissions групповой политики, либо путем the Group Policy Management подключаемый модуль или ADUC плагин.
  2. Убедитесь, что WMI Permissions политика выделена и нажмите на Edit кнопка.
  3. Перейдите к Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options,
  4. В правой панели пользовательского интерфейса дважды щелкните DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax,
  5. Поставьте галочку в поле рядом с Define this policy setting,
  6. Нажать на Edit Security кнопка.
  7. Нажать на Add кнопка; в появившемся всплывающем окне укажите учетную запись администратора домена, которая будет использоваться.
  8. Нажмите «ОК».
  9. в Group or user names выберите администратора домена, указанного в шаге 7.
  10. в Permissions for Administrators поле, убедитесь, что в Allow столбец для Remote Access вариант.
  11. Нажмите «ОК».
  12. Нажмите «ОК».
  13. В правой панели пользовательского интерфейса дважды щелкните DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax,
  14. Поставьте галочку в поле рядом с Define this policy setting,
  15. Нажать на Edit Security кнопка.
  16. Нажать на Add кнопка; в появившемся всплывающем окне укажите учетную запись администратора домена, которая будет использоваться.
  17. Нажмите «ОК».
  18. В поле Группы или имени пользователя выберите администратора домена, указанного на шаге # 16.
  19. в Permissions for Administrators убедитесь, что имеется флажок под Allow столбец для обоих Remote Launch а также Remote Activation,
  20. Нажмите «ОК».
  21. Нажмите «ОК».
  22. Закрой Group Policy Object Editor окно.
  23. Нажмите «ОК» и закройте Active Directory Users and Computers окно.

4
2018-02-28 10:57



Я надеюсь, что люди, которые настраивают объекты групповой политики, чтобы обеспечить доступ к WMI, достаточно хорошо понимают эти системы, что им не нужно точно знать, когда и сколько раз нажмите «ОК». - Todd Wilcox


привязка https://answers.splunk.com/answers/2703/how-to-enable-wmi-data-collection-on-a-domain-server.html

В настоящее время нет неэзотерического способа глобальной настройки WMI   параметры безопасности в домене. У каждой машины есть свои настройки. Там   однако это блог MSDN, в котором перечислены шаги, которые вы можете предпринять для создания   сценарий, который содержит соответствующие дескрипторы безопасности, которые вы   затем может затем входить в объект групповой политики в качестве сценария запуска и   ваши компьютеры получают обновленные параметры безопасности во время загрузки.

Вот ссылка на сообщение в блоге w / method для создания скрипта: https://blogs.msdn.microsoft.com/spatdsg/2007/11/21/set-wmi-namespace-security-via-gpo-script/

Этот подход дал мне удобный способ включения доступа WMI для учетной записи службы домена, не использующей домен, с использованием объекта групповой политики.


1
2017-11-27 20:08