Из различной документации видно, что для изменения доступа к WMI вам необходимо использовать WMI для доступа к работающей службе и изменения определенных частей дерева.
Раздражает такое изменение 150 000 хостов с помощью пользовательского интерфейса.
А потом придется включать такие изменения в процесс добавления новых хостов.
Можно написать сценарий, чтобы сделать то же самое, но он должен либо подключаться ко всем этим машинам вживую, либо распространяться для последующего обновления, например, в сценарии запуска / установки. А затем вам придется повозиться с копированием двоичных данных SD из примера управления доступом.
Я также обнаружил, что вы можете изменить файл wbem / *. Mof, включив в него SDDL, но я не совсем понимаю, как все это работает в данный момент.
Мне просто не хватает простого администрирования?
Провел небольшое исследование по этому поводу и похоже, что приведенный ниже метод должен работать:
Для Windows 2003 с консолью управления групповой политикой (GPMC) выполните следующие действия:
Start Menu > Administrative Tools > Group Policy Management.Domain Name -> Domains -> Domain Name, где Domain Name - это имя домена, который вы хотите изменить.Domain Name на левой панели и выберите Create and Link a GPO Here.WMI Permissions.НОТА: Поскольку WMI должен установить соединение DCOM с удаленным хостом, этого достаточно для настройки прав доступа для DCOM.
Настройка разрешений распределенной компонентной объектной модели (DCOM):
WMI Permissions групповая политика, либо the Group Policy Management плагин или ADUC плагин.WMI Permissions политика выделена и нажмите на Edit кнопка.Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax.Define this policy setting.Edit Security кнопка.Add кнопка; в появившемся всплывающем окне укажите учетную запись администратора домена, которая будет использоваться.Group or user names В поле выберите администратора домена, которого вы указали на шаге № 7.Permissions for Administrators убедитесь, что в поле Allow столбец для Remote Access вариант.DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax.Define this policy setting.Edit Security кнопка.Add кнопка; в появившемся всплывающем окне укажите учетную запись администратора домена, которая будет использоваться.Permissions for Administrators убедитесь, что под Allow столбец для обоих Remote Launch и Remote Activation.Group Policy Object Editor окно.Active Directory Users and Computers окно.Ссылка https://answers.splunk.com/answers/2703/how-to-enable-wmi-data-collection-on-a-domain-server.html
В настоящее время нет неэзотерического способа глобальной настройки параметров безопасности WMI для всего домена. У каждой машины свои настройки. Однако есть блог MSDN, в котором перечислены шаги, которые вы можете предпринять для создания сценария, содержащего соответствующие дескрипторы безопасности, которые затем можно добавить в объект групповой политики в качестве сценария запуска, и ваши компьютеры получат обновленные параметры безопасности при загрузке. время.
Вот ссылка на сообщение в блоге о методе создания скрипта: https://blogs.msdn.microsoft.com/spatdsg/2007/11/21/set-wmi-namespace-security-via-gpo-script/
Этот подход дал мне удобный метод для включения доступа WMI для учетной записи службы, не являющейся администратором домена, с помощью GPO.
У Microsoft есть еще одна, более свежая статья, демонстрирующая, как это сделать с помощью групповой политики с помощью сценария PowerShell:
https://blogs.technet.microsoft.com/askpfeplat/2018/04/30/delegate-wmi-access-to-domain-controllers/
Не уверен, почему они делают это с помощью запланированного задания. Я считаю, что сценарии запуска групповой политики теперь изначально поддерживают PowerShell:
https://gallery.technet.microsoft.com/Set-WMI-Namespace-Security-5081ad6d