Какие разрешения необходимы для CIMSessions

Question

Мне нужно запросить некоторые классы WMI на серверах, чтобы у меня не было разрешений. Вот ошибка, которую я получаю, когда запускаю ее.

PS> get-ciminstance -ComputerName test.mydomain.com -ClassName Win32_OperatingSystem 
get-ciminstance : Access is denied. 
At line:1 char:1 
+ get-ciminstance -ComputerName test.mydomain.com -ClassName Win32_Operating ... 
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
    + CategoryInfo   : PermissionDenied: (root\cimv2:Win32_OperatingSystem:String) [Get-CimInstance], CimException 
    + FullyQualifiedErrorId : HRESULT 0x80070005,Microsoft.Management.Infrastructure.CimCmdlets.GetCimInstanceCommand 
    + PSComputerName  : test.mydomain.com 

Сейчас сервер имеет PowerShell 2, поэтому он использует DCOM, но я буду получать PowerShell обновлен и настроен для подключения WSMAN.

Но каковы разрешения, которые должны быть предоставлены учетной записи?

Answer 1

По умолчанию Administrators (местный) и Authenticated Users (домен) имеют как минимум права на чтение пространства имен. Вам необходимо убедиться, что вы можете войти в систему/пройти аутентификацию на сервере. Стоит отметить, что группа Authenticated Users не имеет разрешения Remote Enable по умолчанию.

ОС Windows использует командлеты WinRM для CIM, а учетная запись пользователя должна быть administrator. WinRM создает локальную группу под названием WinRMRemoteWMIUsers_ и предоставляет доступ только к группе Administrators и WinRMRemoteWMIUsers_. Чтобы добавить пользователя в эту группу, используйте следующую команду:

net localgroup WinRMRemoteWMIUsers__ /add "domain\user" 

Абстрактный ответ просто, что вы должны быть предоставлены Enable Account и Remote Enable разрешения на Namespace иметь WMI чтения права удаленно.

Процесс проверки разрешений WMI

Вход на сервер и запуска mmc.exe. Добавьте Snapin WMI и после загрузки, щелкните правой кнопкой мыши на WMI Control. Когда откроется окно «Свойства», нажмите «Безопасность», раскройте root и выберите cimv2. Нажмите кнопку безопасности и просмотрите, кому предоставлен доступ и какой доступ предоставляется.

Скрипт для тестирования ж/DCOM

Если вы хотите проверить с помощью DCOM, или нужно, потому что OS сервер слишком старый, использовать этот скрипт:

$Computer = thisbox.domain.com 
$CimOption = New-CimSessionOption -Protocol Dcom 
$CimSession = New-CimSession -ComputerName $Computer -SessionOption $CimOption 

Get-CimInstance -ClassName win32_operatingsystem -CimSession $CimSession 

Answer 2

Перейти к панели управления > Учетные записи пользователей> Managae User> Новый пользователь, войдите в систему для нового пользователя. Автоматически все настройки Windows будут установлены, а затем измените режим самолета на включенное. Настройка будет отображаться для предыдущего пользователя. Наслаждаться!!