web-dev-qa-db-ja.com

グループポリシーを使用してWMIへのアクセスを設定する方法はありますか?

さまざまなドキュメントから、WMIアクセスを変更するには、WMIを使用して実行中のサービスにアクセスし、ツリーの特定の部分を変更する必要があるようです。

UIを使用して、そのような厄介な150,000ホストの変更。
そして、新しいホストを追加するプロセスにそのような変更を含める必要があります。

同じことを行うスクリプトを書くこともできますが、それはそれらすべてのマシンにライブで接続するか、または起動/インストールスクリプトで後で更新するために配布する必要があります。次に、サンプルのアクセス制御からバイナリSDデータをコピーする必要があります。

また、wbem/*。mofファイルを変更してSDDLを含めることができることもわかりましたが、現時点ではすべてがどのように機能するかについては漠然としています。

単純な管理のポイントが足りないだけですか?

windowspermissionsgroup-policywmidcom
6
Greg Domjan

これについていくつかの調査を行い、以下の方法が機能するはずです:

グループポリシー管理コンソール(GPMC)を備えたWindows 2003の場合、次の手順を実行します。

  1. _Start Menu_> _Administrative Tools_> _Group Policy Management_に移動します。
  2. 左側のペインで、フォレストに移動します:_Domain Name_-> Domains-> _Domain Name_。ここで、ドメイン名は変更するドメインの名前です。
  3. 左側のペインで_Domain Name_を右クリックし、_Create and Link a GPO Here_を選択します。
  4. 新しいポリシーに_WMI Permissions_という名前を付けます。

注:WMIはリモートホストへのDCOM接続を確立する必要があるため、DCOMのアクセス許可を構成するにはこれで十分です。

分散コンポーネントオブジェクトモデル(DCOM)権限の構成:

  1. _WMI Permissions_プラグインまたはADUCプラグインのいずれかによって、_the Group Policy Management_グループポリシーに移動します。
  2. _WMI Permissions_ポリシーが強調表示されていることを確認し、Editボタンをクリックします。
  3. _Computer Configuration_-> _Windows Settings_-> _Security Settings_-> _Local Policies_-> _Security Options_に移動します。
  4. 右側のUIペインで、DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntaxをダブルクリックします。
  5. _Define this policy setting_の横のボックスにチェックマークを付けます。
  6. _Edit Security_ボタンをクリックします。
  7. Addボタンをクリックします。表示されるポップアップウィンドウで、使用するドメイン管理者アカウントを指定します。
  8. OKをクリックします。
  9. _Group or user names_フィールドで、手順7で指定したドメイン管理者を選択します。
  10. _Permissions for Administrators_フィールドで、_Remote Access_オプションのAllow列にチェックマークがあることを確認します。
  11. OKをクリックします。
  12. OKをクリックします。
  13. 右側のUIペインで、DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntaxをダブルクリックします。
  14. _Define this policy setting_の横のボックスにチェックマークを付けます。
  15. _Edit Security_ボタンをクリックします。
  16. Addボタンをクリックします。表示されるポップアップウィンドウで、使用するドメイン管理者アカウントを指定します。
  17. OKをクリックします。
  18. [グループ名またはユーザー名]フィールドで、手順16で指定したドメイン管理者を選択します。
  19. _Permissions for Administrators_フィールドの_Remote Launch_と_Remote Activation_の両方のAllow列の下にチェックマークがあることを確認します。
  20. OKをクリックします。
  21. OKをクリックします。
  22. _Group Policy Object Editor_ウィンドウを閉じます。
  23. [OK]をクリックして、_Active Directory Users and Computers_ウィンドウを閉じます。
5
Volodymyr M.

参照 https://answers.splunk.com/answers/2703/how-to-enable-wmi-data-collection-on-a-domain-server.html

現時点では、ドメイン全体でWMIセキュリティ設定をグローバルに構成する非難解な方法はありません。各マシンには独自の設定があります。ただし、MSDNブログには、適切なセキュリティ記述子を含むスクリプトを作成するために実行できる手順が記載されており、その後、起動スクリプトとしてGPOにスローして、コンピューターは、ブート時に更新されたセキュリティ設定を取得します。

これは、スクリプトを作成するためのメソッドを含むブログ投稿へのリンクです。 https://blogs.msdn.Microsoft.com/spatdsg/2007/11/21/set-wmi-namespace-security-via- gpo-script /

このアプローチにより、GPOを使用して非ドメイン管理サービスアカウントのWMIアクセスを有効にするための使用可能な方法が得られました。

2
thinknot

Microsoftには、PowerShellスクリプトを使用してグループポリシーを介してこれを行う方法を示す別のより最近の記事があります。

https://blogs.technet.Microsoft.com/askpfeplat/2018/04/30/delegate-wmi-access-to-domain-controllers/

彼らがなぜスケジュールされたタスクでそれをするのかわからない。グループポリシースタートアップスクリプトがPowerShellをネイティブでサポートするようになったと思います。

https://gallery.technet.Microsoft.com/Set-WMI-Namespace-Security-5081ad6d

0
Minkus