Создание групповой политики для доступа к WMI без прав администратора [Версия для КПК]

Показать полную графическую версию : Создание групповой политики для доступа к WMI без прав администратора

Bobik2010

15-12-2016, 17:46

Приветствую, категорически!

Есть статья, в которой описываются действия по предоставлению пользователю прав доступа к объектам WMI без предоставления ему прав администратора. Такой подход, я считаю, удобно использовать для подключения всяческих систем мониторинга, и не переживать за безопасность.
Всё здорово, но как это можно реализовать групповой политикой?
Статья: https://support.zoho.com/portal/manageengine/helpcenter/articles/how-to-configure-a-non-admin-user-for-wmi-monitoring

Казбек

15-12-2016, 18:56

Bobik2010,

Для configuring the DCOM security settings to allow the groups to access the system remotely можете использовать GPO (http://www.thinmanager.com/kb/index.php/DCOM_Permissions#via_GPO).

Bobik2010

17-12-2016, 13:40

Не получается что-то, делал так:
1. создал доменного пользователя "domen\wmiuser"
2. добавил сервер ("TestSRV") в организационную единицу "TESTWMI"
3. создал политику "WMIGPO", добавил пользователя, дал права этому пользователю и анониму
Per Domain Policy:
This must be done on the DOMAIN CONTROLLER and typically should be done by the customer's Domain Administrator!!!
Start > Run > gpmc.msc OK
Expand: Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Open: "DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax" and Make sure the "ANONYMOUS LOGON" user is allowed both Local and Remote Access.
Open: "DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax" and Make sure the "ANONYMOUS LOGON" user is allowed both Local and Remote Access.
4. применил политики, проверил, что отработали.

проверяю:
Get-WmiObject -Class Win32_Processor -ComputerName TestSRV
Get-WmiObject : Отказано в доступе
строка:1 знак:1
+ Get-WmiObject -Class Win32_Processor -ComputerName TestSRV
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Get-WmiObject], ManagementException
+ FullyQualifiedErrorId : GetWMIManagementException,Microsoft.PowerShell.Commands.GetWmiObjectCommand

Vadikan

17-12-2016, 20:54

Bobik2010, версия серверной ОС? Перенесу...

Bobik2010

19-12-2016, 09:59

Server 2012 R2, 2016