为了使非管理员用户能够在OpManager中执行WMI监视,需要在您的网络中相应地配置用户配置文件。可以这样做:
1. 在设备级别(配置单个设备)— 链接到知识库
2. 在域级别(在AD服务器中配置详细信息,然后将其推送到网络设备)
本帮助文章详细介绍了配置非管理员用户以在域级别进行WMI监视的过程。
这可以通过两种方式实现:
1. 使用GPO将域用户添加到本地管理员组
2. 使用GPO授予DCOM远程访问,启动和激活权限,并在WMI名称空间上配置权限以启用远程桌面连接
1.使用GPO将域用户添加到本地管理员组
- 创建一个新的域用户并将其命名为“wmiuser”。
- 还要创建一个新的安全组并将其命名为“本地管理”。
- 将新用户“wmiuser”设置为“本地管理”组的成员。
- 之后,打开组策略管理控制台并通过右键单击组策略对象来创建GPO。将其命名为“本地管理GPO”。
- 右键点击本地管理GPO,然后点击“编辑”。这将打开编辑组策略管理。深入到计算机配置 > 策略 > Windows设置 > 安全设置 > 受限制的组。
- 右键点击受限制的组,选择“添加组”,然后点击“浏览”。
- 在这里输入“本地管理”(创建的新组),然后单击“检查名称”。之后点击两次“确定”从而继续操作。
- 在配置成员身份窗口中,单击“本组作为成员隶属于”部分右侧的“添加按钮”,然后点击“浏览”。
- 输入“管理员”,然后击两次“确定”。之后,点击应用并关闭编辑组策略管理。
- 接着,将“本地管理员GPO”链接到适当的计算机/服务器的组织单位,以将“本地管理”域组添加到相应的计算机“本地管理员”组中。
- 等待一段时间,直到更新的GPO详细信息与您的计算机同步,然后您就可以开始使用此用户在OpManager中进行WMI监视。
2.使用GPO授予DCOM远程访问,启动和激活权限,并在WMI名称空间上配置权限以启用远程桌面连接
- 请注意,在实施此方法时,需要在每台需要监视的计算机上手动执行某些步骤,因为并非可以使用GPO来执行所有必需的操作。
- 创建一个新的域用户并将其命名为“wmiuser”。
- 接着,打开组策略管理控制台并通过右键点击“组策略对象”来创建GPO。将其命名为“WMI DCOM权限GPO”。
- 右键点击“WMI DCOM权限” GPO,然后点击“编辑”。这将打开组策略管理编辑。之后,依次点击计算机配置 > 策略 > Windows设置 > 安全设置 > 本地策略 > 安全选项。
- 双击“DCOM:安全描述符定义语言(SDDL)语法中的计算机访问限制”策略,并确保选中了“定义此策略设置”。
- 选择“编辑安全性”。点击添加并输入“wmiuser”,点击检查名称,然后单击确定。
- 选择“wmiuser”并选中“本地访问和远程访问”。点击两次确定。
- 之后,双击 “DCOM:安全描述符定义语言(SDDL)语法中的计算机启动限制” 策略,并确保选中了 “定义此策略设置”。
- 选择“编辑安全性”。单击添加并输入“wmiuser”,点击检查名称,然后单击确定。
- 选择“wmiuser”,并确保选中了“本地启动”,“远程启动”,“本地激活”和“远程激活”。然后点击两次确定。
- 然后,将 “WMI DCOM权限GPO” 链接到适当的计算机/服务器的组织单位,以应用选定的DCOM策略。
- 在最终设备中,请执行下面的知识库中的 “将WMI控件安全设置变更为所有命名空间” 和 “设置Windows Server 2003 监视服务控制管理的安全性权限” 中提到的步骤。 这是在WMI名称空间上配置权限,并在服务控制管理上提供权限。https://pitstop.manageengine.com/portal/en/kb/articles/how-to-configure-a-non-admin-user-for-wmi-monitoring
- 等待一段时间,直到更新的GPO详细信息与您的计算机同步,然后您就可以开始使用此用户在OpManager中进行WMI监视。