为WMI监视配置非管理员用户(域级别)

为WMI监视配置非管理员用户(域级别)

为了使非管理员用户能够在OpManager中执行WMI监视,需要在您的网络中相应地配置用户配置文件。可以这样做:

1. 在设备级别(配置单个设备) 链接到知识库

2. 在域级别(在AD服务器中配置详细信息,然后将其推送到网络设备)

本帮助文章详细介绍了配置非管理员用户以在域级别进行WMI监视的过程。

 


 

这可以通过两种方式实现:

1. 使用GPO将域用户添加到本地管理员组

2. 使用GPO授予DCOM远程访问,启动和激活权限,并在WMI名称空间上配置权限以启用远程桌面连接

1.使用GPO将域用户添加到本地管理员组

  1. 创建一个新的域用户并将其命名为“wmiuser”。
  2. 还要创建一个新的安全组并将其命名为“本地管理”。
  3. 将新用户“wmiuser”设置为“本地管理”组的成员。
  4. 之后,打开组策略管理控制台并通过右键单击组策略对象来创建GPO。将其命名为“本地管理GPO”。
  5. 右键击本地管理GPO,然后“编辑”。这将打开编辑组策略管理。深入到计算机配置 > 策略 > Windows设置 > 安全设置 > 受限制的组。
  6. 右键击受限制的组,选择“添加组”,然后“浏览”。
  7. 在这里输入“本地管理”(创建的新组),然后单击“检查名称”。之后点击两次“确定”从而继续操作
  8. 在配置成员身份窗口中,单击本组作为成员隶属于”部分右侧的“添加按钮”,然后点击“浏览”。
  9. 输入“管理员”,然后两次“确定”。之后点击应用并关闭编辑组策略管理。
  10. 接着,将“本地管理员GPO”链接到适当的计算机/服务器组织单位,以将“本地管理”域组添加到相应的计算机“本地管理员”组中。
  11. 等待一段时间,直到更新的GPO详细信息与您的计算机同步,然后您就可以开始使用此用户在OpManager中进行WMI监视。

 

2.使用GPO授予DCOM远程访问,启动和激活权限,并在WMI名称空间上配置权限以启用远程桌面连接

  1. 请注意,在实施此方法时,需要在每台需要监视的计算机上手动执行某些步骤,因为并非可以使用GPO来执行所有必需的操作。
  2. 创建一个新的域用户并将其命名为“wmiuser”。
  3. 接着,打开组策略管理控制台并通过右键点击“组策略对象”来创建GPO。将其命名为“WMI DCOM权限GPO”。
  4. 右键“WMI DCOM权限” GPO,然后“编辑”。这将打开组策略管理编辑。之后依次点击计算机配置 > 策略 > Windows设置 > 安全设置 > 本地策略 > 安全选项。
  5. 双击“DCOM:安全描述符定义语言(SDDL)语法中的计算机访问限制”策略,并确保选中了“定义此策略设置”。
  6. 选择“编辑安全性”。击添加并输入“wmiuser”,点击检查名称,然后单击确定。
  7. 选择“wmiuser”并选中“本地访问和远程访问”。点击两次确定
  8. 之后,双击 DCOM:安全描述符定义语言(SDDL)语法中的计算机启动限制 策略,并确保选中了 定义此策略设置
  9. 选择“编辑安全性”。单击添加并输入“wmiuser”,点击检查名称,然后单击确定。
  10. 选择“wmiuser”,并确保选中了“本地启动”,“远程启动”,“本地激活”和“远程激活”。然后点击两次确定
  11. 然后,将 “WMI DCOM权限GPO” 链接到适当的计算机/服务器组织单位,以应用选定的DCOM策略。
  12. 在最终设备中,请执行下面的知识库中的 WMI控件安全设置变更为所有命名空间” 和 “设置Windows Server 2003 监视服务控制管理的安全性权限” 中提到的步骤。 这是在WMI名称空间上配置权限,并在服务控制管理上提供权限。https://pitstop.manageengine.com/portal/en/kb/articles/how-to-configure-a-non-admin-user-for-wmi-monitoring
  1. 等待一段时间,直到更新的GPO详细信息与您的计算机同步,然后您就可以开始使用此用户在OpManager中进行WMI监视。

    • Related Articles

    • 配置非管理员用户以进行WMI监视

      配置非管理员用户以进行WMI监视 您可以通过使用lusrmgr.msc将必要的用户账户添加到分布式COM用户和性能监视器用户组中,来配置常规Windows用户去访问WMI信息。然后配置DCOM安全设置来允许这些组远程访问系统(使用dcomcnfg)。 注意:需要在要监视的客户端设备的用户配置文件中执行这些配置。 在本地用户和组中配置分布式COM用户设置: 首先,我们将DCOM用户组添加到我们的本地用户设置中。 1. 点击开始 → 运行,输入lusrmgr.msc,然后点击确定。 2. ...
    • 配置WMI监视的非管理员(admin)用户

      问题: 如果不使用域管理员和本地管理员来通过WMI监视? 解决方法: 默认地,Windows只运行域管理员和本地管理员用户读取WMI类信息。 但是,你也可以添加一个普通用户,然后按照下面的步骤赋予相应的权限。 下面是已经测试过的Windows版本: Windows Server 2003 R2 Service Pack 2 Windows Server 2008 R2 Datacenter Windows Server 2012 R2 Standard Widows Server 2016 ...
    • WMI凭证未通过,错误为“RPC服务器不可用”

      通过OpManager中的WMI模式添加Windows Server时解决“RPC服务器不可用错误”的步骤。 1) 尝试使用域名\用户名和仅使用用户名添加服务器。 2) 检查是否能够从OpManager服务器ping远程Windows计算机。尝试同时使用主机名和IP地址ping通。 3) 检查OpManager服务器和远程Windows计算机之间是否有防火墙。如果有防火墙,则必须打开防火墙中的端口进行监视。端口是135(RPC)和445(WMI)。之后尝试将其添加到OpManager中。 ...
    • 关于“域对象变更”报表

      温馨提示: 此报表中主要显示除特定对象或对象列表之外的域级别策略和权限更改。 比如: 事件(ID 4739):适用于整个域的域策略更改。 事件(ID 5136):适用于域级别权限更改。
    • 【APM】WMI问题简单排查办法

      可能遇到的问题: 问题 1.APM 中测试凭证失败。 问题 2.APM 中 WMI 凭证测试通过,但会出现告警 WMI 不能获得 XXX 属性数据(偶发或一直存在)。 问题 3.APM 中遇到取数问题。 对于问题 1,首先检查是否满足前提条件: 1.APM 必须安装在 Windows 服务器上 2.需要开放访问的端口:静态端口135、445;动态端口范围:1025-5000、49152-65535 3.需要开启的Windows服务:WMI、RPC、DCOM ...