Zum Inhalt wechseln


Foto

WMI Berechtigungen

Windows Server 2008 R2 Windows Server 2012 R2 GPO

  • Bitte melde dich an um zu Antworten
26 Antworten in diesem Thema

#1 RolfW

RolfW

    Expert Member

  • 1.138 Beiträge

 

Geschrieben 20. März 2017 - 15:12

Hallo zusammen,

 

es gibt ja unter Windows 2008 R2 und 2012 R2 die WMI-Steuerung. Gibt es Möglichkeiten, die Berechtigungen innerhalb des WMI Namespace (z.B. DEFAULT oder CIMV2) automatisiert (GPO, etc.) zu verwalten bzw. einen separaten user hinzuzufügen und für bestimmte Punkte zu berechtigen?

Grund: Ich möchte damit erreichen, dass ein "WMI User" die benötigten WMI Klassen Remote abfragen kann. 

 

Vielen Dank.

Grüße
 


Bearbeitet von RolfW, 20. März 2017 - 16:42.

- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#2 NorbertFe

NorbertFe

    Expert Member

  • 30.601 Beiträge

 

Geschrieben 20. März 2017 - 15:13

Nur gescriptet soweit ich weiß. Per GPO nicht.

Make something i***-proof and they will build a better i***.


#3 NilsK

NilsK

    Expert Member

  • 12.332 Beiträge

 

Geschrieben 20. März 2017 - 15:31

Moin,

 

und wieder meine Lieblingsfrage: Was willst du denn erreichen?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 RolfW

RolfW

    Expert Member

  • 1.138 Beiträge

 

Geschrieben 20. März 2017 - 15:59

Ich möchte damit erreichen, dass ein "WMI User" die benötigten WMI Klassen Remote abfragen kann. 


Bearbeitet von RolfW, 20. März 2017 - 15:59.

- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#5 NilsK

NilsK

    Expert Member

  • 12.332 Beiträge

 

Geschrieben 20. März 2017 - 17:38

Moin,

 

grummel ... ja, das geht aus deiner Frage hervor. Und welches eigentliche Ziel verbirgt sich dahinter?

 

Leute, lasst euch doch nicht immer alles aus der Nase ziehen! Wie soll man euch da helfen?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#6 RolfW

RolfW

    Expert Member

  • 1.138 Beiträge

 

Geschrieben 20. März 2017 - 19:01

Moin,

für ein SAM wurde ein WMI User angelegt, der besondere Rechte im WMI Default und CIMV2 benötigt. Zudem musste der User in die lokale Gruppe DCOM oder wie sie heißt... ansonsten kann man das Ganze nur noch mit einen Skript (Task per GPO) inventarisieren, was auch nicht die beste Lösung ist...

Wunsch wäre natürlich ohne reboot.

http://www.mcseboard...it-wmi-rechten/

Das von blub klingt jetzt im Ansatz auch nicht so schlecht... denn irgendwelche Hashwerte möchte ich ungern einfach reinwürgen.

Bearbeitet von RolfW, 21. März 2017 - 06:31.

- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#7 NilsK

NilsK

    Expert Member

  • 12.332 Beiträge

 

Geschrieben 21. März 2017 - 07:17

Hallo Rolf,

Entschuldige bitte meine Ungeduld.

Gruß, Nils

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#8 RolfW

RolfW

    Expert Member

  • 1.138 Beiträge

 

Geschrieben 21. März 2017 - 07:19

Was benötigt ihr noch an Infos? Sorry für das nachlegen 😇
- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#9 NilsK

NilsK

    Expert Member

  • 12.332 Beiträge

 

Geschrieben 21. März 2017 - 07:36

Moin,

 

wie auch die Quellen in den anderen Threads bestätigen, dürfte das Zuweisen von maßgeschneiderten WMI-Berechtigungen einen sehr hohen Aufwand erzeugen. Wenn es um eine Lizenzprüfung geht, dann ist das ja normalerweise eine einmalige Sache. Da wäre es vermutlich am effizientesten, die Abfrage über ein Tool oder über ein WMI-Skript zu erledigen, das z.B. per Startskript mit Systemrechten läuft oder das per Taskplaner lokal mit Adminrechten ausgeführt wird und die Daten an zentraler Stelle sammelt.

 

Gruß, Nils

 

EDIT: Irrtum korrigiert - bei lokaler Ausführung sind wahrscheinlich keine Admin- oder Systemrechte nötig.


Bearbeitet von NilsK, 21. März 2017 - 07:50.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#10 testperson

testperson

    Board Veteran

  • 4.511 Beiträge

 

Geschrieben 21. März 2017 - 07:39

Hi,

 

gibt es dafür nicht als "kleine" gratis Lösung das MAP Toolkit: https://technet.micr...s/dd537566.aspx

 

In den FAQs steht allerdings auch drin, dass für die WMI Querys ein User mit lokalen Adminrechten benötigt wird.

 

Gruß

Jan


Bearbeitet von testperson, 21. März 2017 - 07:40.

Good morning, that's a nice TNETENNBA!

#11 RolfW

RolfW

    Expert Member

  • 1.138 Beiträge

 

Geschrieben 21. März 2017 - 07:45

Das Problem bei den Adminrechten ist, dass dies aktuell nicht gewünscht ist.

 

Vielen Dank Euch. Ich melde mich dann, was daraus geworden ist.

 

Grüße


- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#12 NilsK

NilsK

    Expert Member

  • 12.332 Beiträge

 

Geschrieben 21. März 2017 - 07:49

Moin,

 

daher ja meine Empfehlung, das mit einem lokal ablaufenden Skript zu erledigen. In der Hinsicht muss ich mich auch korrigieren: Für lokalen Lesezugriff reichen i.d.R. normale Userrechte aus, das würde die Anforderung also sehr wahrscheinlich erfüllen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#13 RolfW

RolfW

    Expert Member

  • 1.138 Beiträge

 

Geschrieben 21. März 2017 - 08:03

Da ist das Problem, dass man einen reboot benötigt (Geplanter Task). Per Skript, entweder sich anmelden muss, oder es dann lokal manuell ausführen, was ich eigentlich umgehen wollte. Oder habe ich etwas übersehen?


- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#14 NilsK

NilsK

    Expert Member

  • 12.332 Beiträge

 

Geschrieben 21. März 2017 - 08:24

Moin,

 

Logonskript, dann braucht es nur eine Anmeldung, was am nächsten Tag ja vermutlich von selbst geschieht.

Und für einen Geplanten Task braucht man keinen Reboot, den kann man im laufenden Betrieb per GPP hinzufügen, wenn ich nicht irre. Logonskript ist für so eine Sache im Userkontext aber einfacher.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#15 RolfW

RolfW

    Expert Member

  • 1.138 Beiträge

 

Geschrieben 21. März 2017 - 11:03

Hallo Nils,

 

auf den Servern haben wir den Task erst gesehen, nachdem der Reboot durch war. Falls es da noch was gibt, sehr gerne.

Das mit dem Logon Skript ist mir noch nicht ganz klar, sofern sich am Server in der Regel keiner anmeldet, läuft das nicht, richtig?

Danke!

Grüße


- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."



Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2008 R2, Windows Server 2012 R2, GPO