• Tuis
  • Kb
  • WMI Toegang geweier vir asynchrone oproepe

WMI Toegang geweier vir asynchrone oproepe

Op Asynchrone terugbels vir WMI Events aan afgeleë masjiene.

Jy sal dalk die volgende moet doen.
Links:
http://stackoverflow.com/questions/2782317/exception-while-managementeventwatcherwmi-to-notify-events-from-remote-machine
https://msdn.microsoft.com/en-us/library/aa393266(v=vs.85).aspx

Teks:
Stel DCOM Security in om 'n gebruiker toe te laat om 'n rekenaar op afstand te verkry
Sekuriteit in WMI is verwant aan die koppeling aan 'n WMI naamruimte. WMI gebruik DCOM om afgeleë oproepe te hanteer. Een rede vir die versuim om aan te sluit op 'n afgeleë rekenaar is as gevolg van 'n DCOM-fout (fout "DCOM Access Denied" decimal -2147024891 of hex 0x80070005). Vir meer inligting oor DCOM-sekuriteit in WMI vir C ++-aansoeke, sien Kliëntprogram Prosesbeveiliging instel.
U kan DCOM-instellings vir WMI instel met behulp van die DCOM Config-nut (DCOMCnfg.exe) wat in Administratiewe gereedskap in die Configuratiescherm verskyn. Hierdie program vertoon die instellings wat sekere gebruikers toelaat om op afstand via DCOM aan die rekenaar te koppel. Lede van die Administrateur-groep mag by verstek op afstand na die rekenaar koppel. Met hierdie program kan u die sekuriteit instel om die WMI-diens te begin, toegang en instel.
Die volgende prosedure beskryf hoe om DCOM-opstart- en aktiveringspermitte vir sekere gebruikers en groepe toe te staan. As Computer A op afstand rekenaar verbind met Computer B, kan u hierdie toestemmings op rekenaar B stel om 'n gebruiker of groep wat nie deel van die Administrateur-groep op rekenaar B is, toe te laat om DCOM-opstart- en aktiveringsoproepe op rekenaar B op te stel nie.
Aa393266.wedge (nl-us, VS.85) .gifTo verleen DCOM remote launch en aktivering regte vir 'n gebruiker of groep
Kliek op Start, kliek op Doen, tik DCOMCNFG en klik op OK.
In die dialoogkassie Komponente Dienste, uitbrei Komponentdienste, Computers uitbrei, en klik met die rechtermuisknop op hierdie rekenaar en klik op Eienskappe.
In die dialoogkassie My rekenaar eienskappe, klik die COM Security-oortjie.
Klik onder Launch and Activation Permissions op Edit Limits.
Volg die volgende stappe in die dialoogkassie Launch Toestemming as u naam of u groep nie in die lys Groepe of gebruikers name verskyn nie:
Klik in die dialoogkassie Launch Toestemming op Voeg by.
In die dialoogkassie Kies gebruikers, rekenaars of groepe, voeg jou naam en die groep in die Naam van die voorwerp in om die blokkie te kies en klik dan op OK.
In die dialoogkassie Launch Toestemming, kies jou gebruiker en groep in die vak Groep- of gebruikersnaam. In die kolom Toestaan ​​onder Toestemmings vir gebruiker, kies Remote Launch en kies Remote Activation en klik dan OK.
Die volgende prosedure beskryf hoe om DCOM-toegangtoegewings vir sekere gebruikers en groepe toe te staan. As Computer A op afstand rekenaar verbind met Computer B, kan u hierdie toestemmings op rekenaar B stel om 'n gebruiker of groep wat nie deel uitmaak van die Administrateur-groep op rekenaar B, toe te laat om aan rekenaar B te koppel nie.
Aa393266.wedge (nl-us, VS.85) .gifTo verleen DCOM remote access permissions
Kliek op Start, kliek op Doen, tik DCOMCNFG en klik op OK.
In die dialoogkassie Komponente Dienste, uitbrei Komponentdienste, Computers uitbrei, en klik met die rechtermuisknop op hierdie rekenaar en klik op Eienskappe.
In die dialoogkassie My rekenaar eienskappe, klik die COM Security-oortjie.
Klik onder Toegangtoestemmings op Redigeer perke.
In die dialoogkassie Toegangtoestemming, kies ANONYMOUS LOGON naam in die vak Groep- of gebruikersnaam. In die kolom Toestaan ​​onder Toestemmings vir gebruiker, kies Remote Access en klik dan OK.

Opstel van 'n afgeleë WMI-verbinding

As u na 'n WMI-naamruimte op 'n afgeleë rekenaar koppel, kan u vereis dat u die instellings vir Windows-firewall, gebruikersaccountbeheer (UAC), DCOM of Common Information Model Object Manager (CIMOM) verander.
Die volgende afdelings word in hierdie onderwerp bespreek:
Windows Firewall instellings
Gebruikers rekening beheer instellings
DCOM-instellings
CIMOM-instellings
Verwante onderwerpe
Windows Firewall instellings
WMI instellings vir Windows Firewall instellings aktiveer net WMI verbindings, eerder as ander DCOM programme.
'N Uitsondering moet in die firewall vir WMI op die eksterne doelrekenaar gestel word. Met die uitsondering vir WMI kan WMI afgeleë verbindings en asynchrone terugbels ontvang na Unsecapp.exe. Vir meer inligting, sien Sekuriteit instel op 'n Asynchrone oproep.
As 'n kliënt aansoek 'n eie sink skep, moet die sink uitdruklik by die uitsonderings van die firewall gevoeg word om terugbels te laat slaag.
Die uitsondering vir WMI werk ook as WMI met 'n vaste poort begin is, met behulp van die winmgmt / standalonehost opdrag. Vir meer inligting, sien 'n vaste poort vir WMI instel.
U kan WMI-verkeer aktiveer of deaktiveer via die Windows Firewall-gebruikersinterface.
Aa822854.wedge (nl-us, VS.85) .gifTo WMI-verkeer in of afskakel met die firewall-gebruikerskoppelvlak
Kliek in die Configuratiescherm op Security en klik op Windows Firewall.
Kliek op Verander instellings en klik dan op die Uitsonderings oortjie.
In die Uitzonderings venster, kies die boks vir Windows Management Instrumentation (WMI) om WMI-verkeer deur die firewall in te skakel. As jy WMI-verkeer wil deaktiveer, maak die boks skoon.
U kan WMI-verkeer deur die firewall aanstuur of deaktiveer by die opdragprompt.
Aa822854.wedge (nl-us, VS.85) .gif Om WMI-verkeer aan te skakel by instruksiesprompt met WMI-reëlgroep
Gebruik die volgende opdragte by 'n opdragprompt. Tik die volgende om WMI-verkeer deur die firewall te aktiveer.
netsh advfirewall firewall set rule group = "Windows bestuur instrumentation (wmi)" new enable = yes
Tik die volgende opdrag om WMI-verkeer uit te skakel deur die firewall.
netsh advfirewall firewall stel reël groep = "windows management instrumentation (wmi)" new enable = no
Eerder as om die enkele WMI-reëlgroepopdrag te gebruik, kan jy ook individuele opdragte vir elke DCOM, WMI-diens gebruik en sink.
Aa822854.wedge (nl-us, VS.85) .gifTo maak WMI-verkeer in staat om afsonderlike reëls vir DCOM, WMI, terugbreek sink en uitgaande verbindings te gebruik.
Om 'n firewall-uitsondering vir DCOM-poort 135 te vestig, gebruik die volgende opdrag.
netsh advfirewall firewall voeg reël dir = in naam = "DCOM" program =% systemroot% \ system32 \ svchost.exe service = rpcss action = toelaat protokol = TCP local port = 135
Om 'n firewall-uitsondering vir die WMI-diens te vestig, gebruik die volgende opdrag.
netsh advfirewall firewall voeg reël dir = in naam = "WMI" program =% systemroot% \ system32 \ svchost.exe service = winmgmt action = toelaat protokol = TCP local port = enige
Om 'n vuurmuur-uitsondering vir die wasbak te maak wat terugbels van 'n afgeleë rekenaar ontvang, gebruik die volgende opdrag.
netsh advfirewall firewall voeg reël dir = in naam = "UnsecApp" program =% systemroot% \ system32 \ wbem \ unsecapp.exe action = toelaat
Om 'n firewall-uitsondering vir uitgaande verbindings tot 'n afgeleë rekenaar op te stel wat die plaaslike rekenaar asynchroon kommunikeer, gebruik die volgende opdrag.
netsh advfirewall firewall voeg reël dir = out naam = "WMI_OUT" program =% systemroot% \ system32 \ svchost.exe service = winmgmt action = toelaat protokol = TCP local port = enige
Gebruik die volgende opdragte om die firewall uitsonderings afsonderlik uit te skakel.
Aa822854.wedge (nl-us, VS.85) .gifTo WMI-verkeer uit te skakel met afsonderlike reëls vir DCOM, WMI, terugbel sink en uitgaande verbindings.
Om die DCOM-uitsondering uit te skakel.
netsh advfirewall firewall delete reël naam = "DCOM"
Om die WMI-diens uitsondering uit te skakel.
netsh advfirewall firewall delete reël naam = "WMI"
Om die wasbak uitsondering uit te skakel.
netsh advfirewall firewall delete reël naam = "UnsecApp"
Om die uitgaande uitsondering uit te skakel.
netsh advfirewall firewall delete reël naam = "WMI_OUT"
Gebruikers rekening beheer instellings
Gebruikersaccount Control (UAC) toegang token filtering kan beïnvloed watter bedrywighede toegelaat word in WMI naamruimtes of watter data terugbesorg word. Onder UAC word alle rekeninge in die plaaslike Administrateur-groep uitgevoer met 'n standaardgebruikertoegangsteken, ook bekend as die toegang tot tokenfiltering deur die UAC. 'N Bestuurderrekening kan 'n script met 'n verhoogde voorreg- "Run as Administrator" uitvoer.
Wanneer u nie aan die ingeboude Administrateur-rekening koppel nie, affekteer UAC verskille na 'n afgeleë rekenaar anders, afhangende van die feit of die twee rekenaars in 'n domein of 'n werkgroep is. Vir meer inligting oor UAC en afgeleë verbindings, sien gebruikers rekening beheer en WMI.
DCOM-instellings
Vir meer inligting oor DCOM-instellings, sien Sekuriteit van 'n eksterne WMI-verbinding. UAC affekteer egter verbindings vir nondomain gebruikersrekeninge. As u 'n eksterne rekenaar verbind met 'n gebruikers rekening wat nie in die plaaslike Administrateur-groep van die afgeleë rekenaar is nie, moet u eksplisiete eksterne toegang van DCOM verleen, aktivering en bekendstelling van regte aan die rekening.
CIMOM-instellings
Die CIMOM-instellings moet opgedateer word as die eksterne konneksie tussen rekenaars is wat nie 'n trustverhouding het nie. Andersins sal 'n asynchrone verbinding misluk. Hierdie instelling moet nie vir rekenaars in dieselfde domein of in vertroude domeine verander word nie.
Die volgende registerinskrywing moet gewysig word om anonieme terugbesprekings toe te laat:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ wbem \ CIMOM \ AllowAnonymousCallback
Datatipe
REG_DWORD
As die waarde AllowAnonymousCallback ingestel is op 0, verhoed die WMI-diens anonieme terugroepe aan die kliënt. As die waarde op 1 gestel is, sal die