WMI-TOEGANG GESLAG vir Asynchrone oproepe

Asynchrone terugbel vir WMI-geleenthede na afgeleë masjiene.

Miskien moet u die volgende doen.
Links:
http://stackoverflow.com/questions/2782317/exception-while-managementeventwatcherwmi-to-notify-events-from-remote-machine
https://msdn.microsoft.com/en-us/library/aa393266(v=vs.85).aspx

Teks:
Die instelling van DCOM-beveiliging sodat gebruikers op afstand toegang tot 'n rekenaar kan kry
Veiligheid in WMI hou verband met die verbinding met 'n WMI-naamruimte. WMI gebruik DCOM om oproepe op afstand te hanteer. Een rede vir die mislukking van verbinding met 'n afgeleë rekenaar is as gevolg van 'n DCOM-mislukking (fout "DCOM Access geweier" desimaal -2147024891 of hex 0x80070005). Vir meer inligting oor DCOM-beveiliging in WMI vir C ++ -toepassings, sien die instelling van kliëntaansoekprosesse.
U kan DCOM-instellings vir WMI instel met behulp van die DCOM Config-hulpprogramma (DCOMCnfg.exe) wat u in Administratiewe gereedskap in die Configuratiescherm vind. Hierdie program stel die instellings bloot wat sekere gebruikers in staat stel om op afstand via DCOM met die rekenaar te verbind. Lede van die groep Administrateurs mag standaard toegang tot die rekenaar maak. Met hierdie hulpprogramma kan u die beveiliging instel om die WMI-diens te begin, toegang tot en instel.
Die volgende prosedure beskryf hoe u DCOM-opstart- en aktiveringstoestemmings vir sekere gebruikers en groepe kan verleen. As Rekenaar A op afstand verbind is met Rekenaar B, kan u hierdie toestemmings op Rekenaar B instel om 'n gebruiker of groep wat nie deel uitmaak van die groep Administrateurs op Rekenaar B in staat te stel om DCOM-opstart- en aktiveringsoproepe op Rekenaar B uit te voer nie.
Aa393266.wedge (en-us, VS.85) .gif Om toestemmings- en aktiveringstoestemmings vir DCOM vir 'n gebruiker of groep te verleen
Klik op Start, klik op Run, tik DCOMCNFG en klik dan op OK.
Vou Component Services in die dialoogvenster Component Services uit, brei Computers uit, klik dan met die rechtermuisknop op My Computer en klik op Properties.
Klik in die dialoogkassie Eienskappe van my rekenaar op die tab COM-beveiliging.
Klik onder Beperkings en aktiveringstoestemmings.
Volg hierdie stappe in die dialoogvenster Begin toestemming as u naam of u groep nie in die lys Groepe of gebruikersname verskyn nie:
Klik op Voeg in die dialoogvenster Begin toestemming.
Voeg u naam en die groep in die dialoogkassie Gebruikers, rekenaars of groepe in die dialoogvenster Voer die voorwerpname in om te kies en klik dan OK.
Kies u gebruiker en groep in die dialoogkassie Begin toestemming. In die kolom Toestaan ​​onder Toestemmings vir gebruiker, kies Start op afstand en kies Aktivering op afstand, en klik dan op OK.
Die volgende prosedure beskryf hoe u DCOM-toestemmings op afstand mag verleen vir sekere gebruikers en groepe. As Rekenaar A op afstand verbind met Rekenaar B, kan u hierdie toestemmings op Rekenaar B instel om 'n gebruiker of groep wat nie deel uitmaak van die Administrateursgroep op Rekenaar B te laat rekenaar B verbind nie.
Aa393266.wedge (en-us, VS.85) .gif Om DCOM-toegang tot afstandtoegang te verleen
Klik op Start, klik op Run, tik DCOMCNFG en klik dan op OK.
Vou Component Services in die dialoogvenster Component Services uit, brei Computers uit, klik dan met die rechtermuisknop op My Computer en klik op Properties.
Klik in die dialoogkassie Eienskappe van my rekenaar op die tab COM-beveiliging.
Klik op Wysig limiete onder toegangstoestemmings.
Kies ANONIEME AANMELDING in die dialoogkassie Toegangstoestemming in die vak Groep of gebruikersname. Kies Afstandtoegang in die kolom Laat toe onder Toestemmings vir gebruiker en klik dan op OK.

Stel 'n eksterne WMI-verbinding op

Om aan te sluit op 'n WMI-naamruimte op 'n afgeleë rekenaar, kan u vereis dat u die instellings vir Windows Firewall, UAC (User Account Control), DCOM of Common Information Model Object Manager (CIMOM) verander.
Die volgende gedeeltes word in hierdie onderwerp bespreek:
Windows Firewall-instellings
Instellings vir gebruikersrekeningbeheer
DCOM-instellings
CIMOM-instellings
Verwante onderwerpe
Windows Firewall-instellings
WMI-instellings vir Windows Firewall-instellings aktiveer slegs WMI-verbindings, eerder as ander DCOM-toepassings.
'N Uitsondering moet in die firewall vir WMI op die afgeleë teikenrekenaar gestel word. Met die uitsondering vir WMI kan WMI afstandverbindings en asynchrone terugbelverbindings na Unsecapp.exe ontvang. Vir meer inligting, sien Veiligheid instel vir 'n asynchrone oproep.
As 'n kliënttoepassing sy eie wasbak skep, moet die wasbak eksplisiet by die firewall-uitsonderings gevoeg word om terugbelwerk te laat slaag.
Die uitsondering vir WMI werk ook as WMI met 'n vaste poort begin is, met die opdrag winmgmt / standalonehost. Raadpleeg Die opstel van 'n vaste poort vir WMI vir meer inligting.
U kan WMI-verkeer via die Windows Firewall UI in- of deaktiveer.
Aa822854.wedge (en-us, VS.85) .gif Om WMI-verkeer in of uit te skakel met 'n firewall-UI
Klik op Beveiliging in die Configuratiescherm en klik dan op Windows Firewall.
Klik op Verander instellings en klik dan op die oortjie Uitsonderings.
Kies in die venster Uitsonderings die regmerkie vir Windows Management Instrumentation (WMI) om WMI-verkeer deur die firewall in te skakel. Skakel die vinkie uit om WMI-verkeer uit te skakel.
U kan WMI-verkeer via die firewall by die opdragprompt in of uit skakel.
Aa822854.wedge (en-us, VS.85) .gif Om WMI-verkeer by die opdragprompt in of uit te skakel met behulp van die WMI-reëlgroep
Gebruik die volgende opdragte by 'n opdragprompt. Tik die volgende in om WMI-verkeer deur die firewall moontlik te maak.
netsh advfirewall firewall set rule group = ”windows management instrumentation (wmi)” nuwe inskakel = ja
Tik die volgende opdrag om WMI-verkeer deur die firewall uit te skakel.
netsh advfirewall firewall set rule group = ”windows management instrumentation (wmi)” new enable = no
In plaas van die enkele WMI-reëlgroepopdrag te gebruik, kan u ook individuele opdragte gebruik vir elk van die DCOM-, WMI-diens en sink.
Aa822854.wedge (en-us, VS.85) .gif Om WMI-verkeer in staat te stel met behulp van aparte reëls vir DCOM, WMI, terugbel-sink en uitgaande verbindings
Gebruik die volgende opdrag om 'n firewall-uitsondering vir DCOM-poort 135 op te stel.
netsh advfirewall firewall voeg reël dir = in name = ”DCOM” program =% systemroot% \ system32 \ svchost.exe diens = rpcss aksie = protokol toelaat = TCP localport = 135
Gebruik die volgende opdrag om 'n uitsondering op die firewall vir die WMI-diens op te stel.
netsh advfirewall firewall voeg reël dir = in name = "WMI" program =% systemroot% \ system32 \ svchost.exe diens = winmgmt-aksie = protokol toe = TCP localport = enige
Gebruik die volgende opdrag om 'n uitsondering op die firewall vir 'n wasbak wat terugbel ontvang vanaf 'n afgeleë rekenaar te kry.
netsh advfirewall firewall voeg reël dir = in name = ”UnsecApp” program =% systemroot% \ system32 \ wbem \ unsecapp.exe-aksie = toelaat
Gebruik die volgende opdrag om 'n firewall-uitsondering te skep vir uitgaande verbindings met 'n afgeleë rekenaar waarmee die plaaslike rekenaar asynchroon kommunikeer.
netsh advfirewall firewall voeg reël dir = out name = ”WMI_OUT” program =% systemroot% \ system32 \ svchost.exe service = winmgmt action = laat protokol toe = TCP localport = enige
Gebruik die volgende opdragte om die firewall-uitsonderings afsonderlik uit te skakel.
Aa822854.wedge (en-us, VS.85) .gif Om WMI-verkeer uit te skakel met aparte reëls vir DCOM, WMI, terugbel-sink en uitgaande verbindings
Om die DCOM-uitsondering uit te skakel.
netsh advfirewall firewall verwyder reëlnaam = ”DCOM”
Om die WMI-diensuitsondering uit te skakel.
netsh advfirewall firewall delete name name = "WMI"
Om die wasbakuitsondering uit te skakel.
netsh advfirewall firewall delete name name = "UnsecApp"
Om die uitgaande uitsondering uit te skakel.
netsh advfirewall firewall verwyder reëlnaam = ”WMI_OUT”
Instellings vir gebruikersrekeningbeheer
Gebruikersrekeningbeheer (UAC) -toegang-tokenfiltering kan beïnvloed watter bewerkings in WMI-naamruimtes toegelaat word of watter data teruggestuur word. Onder UAC loop alle rekeninge in die plaaslike administrateursgroep met 'n standaardgebruikertoegangstoken, ook bekend as UAC-toegangstokenfiltering. 'N Administrateurrekening kan 'n script met 'n verhoogde voorreg laat loop -' Run as Administrator '.
As u nie verbinding maak met die ingeboude administrateurrekening nie, beïnvloed UAC verbindings na 'n afgeleë rekenaar anders, afhangende van of die twee rekenaars in 'n domein of 'n werkgroep is. Raadpleeg Gebruikersrekeningbeheer en WMI vir meer inligting oor UAC en afstandverbindings.
DCOM-instellings
Raadpleeg Beveiliging van 'n eksterne WMI-verbinding vir meer inligting oor DCOM-instellings. UAC beïnvloed egter verbindings vir nondomain-gebruikersrekeninge. As u verbinding maak met 'n afgeleë rekenaar met behulp van 'n nie-hoofgebruikerrekening wat in die plaaslike administrateursgroep van die afgeleë rekenaar opgeneem word, moet u eksklusiewe DCOM-toegangs-, aktivering- en lanseringsregte tot die rekening verleen.
CIMOM-instellings
Die CIMOM-instellings moet opgedateer word as die afstandverbinding tussen rekenaars is wat nie 'n vertrouensverhouding het nie; anders sal 'n asynchrone verbinding misluk. Hierdie instelling moet nie vir rekenaars in dieselfde domein of vertroude domeine gewysig word nie.
Die volgende registerinskrywing moet gewysig word om anonieme terugbels moontlik te maak:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WBEM \ CIMOM \ AllowAnonymousCallback
Datatipe
REG_DWORD
As die waarde AllowAnonymousCallback op 0 gestel is, verhoed die WMI-diens anonieme terugbelaksies na die kliënt. As die waarde op 1 gestel is, word