配置非管理员用户以进行WMI监视

配置非管理员用户以进行WMI监视

配置非管理员用户以进行WMI监视

您可以通过使用lusrmgr.msc将必要的用户账户添加到分布式COM用户和性能监视器用户组中,来配置常规Windows用户去访问WMI信息。然后配置DCOM安全设置来允许这些组远程访问系统(使用dcomcnfg)。

注意:需要在要监视的客户端设备的用户配置文件中执行这些配置。

在本地用户和组中配置分布式COM用户设置:

首先,我们将DCOM用户组添加到我们的本地用户设置中。

1. 点击开始 → 运行,输入lusrmgr.msc,然后点击确定。
2. 在用户文件夹中,右键点击用户以显示菜单,然后选择属性
3. 点击成员选项卡,然后点击添加
4. 在‘输入要选择的对象名称’下,输入‘分布式COM用户’(不带引号),点击检查名称,然后点击确定
5. 点击添加
6. 对性能监视器用户组和事件日志读取器组重复步骤3-5.
配置DCOM安全设置从而允许组远程访问系统:

接下来,我们向用户组(分布式COM用户和性能监视器用户)提供基本访问权限,以便能够远程获得对设备的控制权。
7. 点击开始 → 运行,输入dcomcnfg,然后点击确定。
8. 深入到组件服务树,直到进入我的电脑。右键单击‘我的电脑’打开菜单,然后点击属性
9. 点击COM安全性选项卡,然后点击启动和激活权限部分下的编辑限制
10. 点击添加。
11. 在‘输入要选择的对象名称’下,输入‘分布式COM用户’(不带引号),点击检查名称,然后点击确定
12. 点击添加
13. 对性能监视器用户组重复步骤9-12。
14. 检查允许对每个组的每个权限(本地启动,远程启动,本地激活,远程激活),然后点击确定
对要应用于所有名称空间的WMI空间安全性进行设置:

最后,为两个用户组的所有命名空间下的所有类提供访问权限,这样OpManager就能够使用WMI获取这些数据了。
15. 点击开始  运行,输入wmimgmt.msc,然后点击确定。
16. 通过右键单击WMI控件(本地)打开菜单,然后点击属性
17. 点击安全性选项卡,然后点击,随后点击安全性按钮。
18. 点击添加
19. 在‘输入要选择的对象名称’下,输入‘分布式COM用户’(不带引号),点击检查名称,然后点击确定
20. 确保已选择分布式COM用户组,然后点击高级
21. 突出显示其中有分布式COM用户的行,然后点击编辑
22. 从‘适用于’下拉列表中,选择‘此命名空间和字命名空间’
23. 在‘允许’列下,选中执行方法,启用账户和远程启用,然后点击确定
24. 对性能监视器用户组重复不追17-23.
25. 点击确定关闭所有窗口。

为Windows服务监视设置Service Control Manager安全性的权限:

如果要监视Windows服务监视器是否打开/关闭,则需要向SCManager授予权限。Windows服务的访问由Service Control Manager的安全描述符控制,默认情况下,此描述符仅限于强化的操作系统。以下提到的步骤将在用户级别授予对Service Control Manager的远程访问权限,从而获取服务器上的服务列表。

      检索用户账户的用户SID
  1. 在受监视的设备上,以管理员模式打开命令提示符。
  2. 运行以下命令从而检索用户SID。将UserName替换为User账户的用户名。
wmic useraccount where name="UserName" get name,sid
例如:
wmic useraccount where name='administrator' get name,sid
  1. 记下SID。(例如S-1-0-10-200000-30000000000-4000000000-500)
      检索SC Manager当前的SDDL
  1. 通过运行以下命令,SC Manager当前的SDDL将保存到CurrentSDDL.txt。
sc sdshow scmanager > CurrentSDDL.txt
  1. 编辑CurrentSDDL.txt并复制整个内容。
  2. SDDL如下所示:
D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)S:(AU;AF;KA;;;WD)(AU;OIIOFA;GA;;;WD)
      更新SDDL:
  1. 为上述SID构造新的SDDL代码段。
(A;;CCLCRPWPRC;;;<SID of User>)
例如.
(A;;CCLCRPWPRC;;;S-1-0-10-200000-30000000000-4000000000-500)
  1. 现在需要将此代码段放在原始SDDL的“S:”之前。
  2. 更新后的SDDL将如下所示:
D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)(A;;CCLCRPWPRC;;;S-1-0-10-200000-30000000000-4000000000-500)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
      最后,使用更新的SDDL执行以下命令:
sc sdset scmanager D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)(A;;CCLCRPWPRC;;;S-1-0-10-200000-30000000000-4000000000-500)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
       这将向用户授予以下权限:
       CC- 获取服务的当前配置
       LC- 获取服务的当前状态
       RP- 读取属性/启动服务
       WP- 写入属性/停止服务
       RC- 读取安全描述符






    • Related Articles

    • 为WMI监视配置非管理员用户(域级别)

      为了使非管理员用户能够在OpManager中执行WMI监视,需要在您的网络中相应地配置用户配置文件。可以这样做: 1. 在设备级别(配置单个设备)— 链接到知识库 2. 在域级别(在AD服务器中配置详细信息,然后将其推送到网络设备) 本帮助文章详细介绍了配置非管理员用户以在域级别进行WMI监视的过程。     这可以通过两种方式实现: 1. 使用GPO将域用户添加到本地管理员组 2. 使用GPO授予DCOM远程访问,启动和激活权限,并在WMI名称空间上配置权限以启用远程桌面连接 ...

    • 配置WMI监视的非管理员(admin)用户

      问题: 如果不使用域管理员和本地管理员来通过WMI监视? 解决方法: 默认地,Windows只运行域管理员和本地管理员用户读取WMI类信息。 但是,你也可以添加一个普通用户,然后按照下面的步骤赋予相应的权限。 下面是已经测试过的Windows版本: Windows Server 2003 R2 Service Pack 2 Windows Server 2008 R2 Datacenter Windows Server 2012 R2 Standard Widows Server 2016 ...

    • WMI凭证未通过,错误为“RPC服务器不可用”

      通过OpManager中的WMI模式添加Windows Server时解决“RPC服务器不可用错误”的步骤。 1) 尝试使用域名\用户名和仅使用用户名添加服务器。 2) 检查是否能够从OpManager服务器ping远程Windows计算机。尝试同时使用主机名和IP地址ping通。 3) 检查OpManager服务器和远程Windows计算机之间是否有防火墙。如果有防火墙,则必须打开防火墙中的端口进行监视。端口是135(RPC)和445(WMI)。之后尝试将其添加到OpManager中。 ...

    • 【APM】WMI问题简单排查办法

      可能遇到的问题: 问题 1.APM 中测试凭证失败。 问题 2.APM 中 WMI 凭证测试通过,但会出现告警 WMI 不能获得 XXX 属性数据(偶发或一直存在)。 问题 3.APM 中遇到取数问题。 对于问题 1,首先检查是否满足前提条件: 1.APM 必须安装在 Windows 服务器上 2.需要开放访问的端口:静态端口135、445;动态端口范围:1025-5000、49152-65535 3.需要开启的Windows服务:WMI、RPC、DCOM ...

    • 使用WBEMTEST测试WMI连接

      要检查OpManager服务器与被监视设备之间的连接是否畅通,请执行以下步骤: 1.在OpManager服务器中,点击“开始>运行---> wbemtest”,然后点击确定。这将启动WMI测试器。 2.点击“连接”,然后在顶部框中键入\\<设备名称>\root\cimv2 3.在OpManager中使用的用户名和密码中输入凭证,然后选择“连接” 4.如果所有查询按钮在WMI测试仪中被激活,意味着连接和WMI都没有问题。 ...