远程连接WMI ,HRESULT:0x80070005 (E_ACCESSDENIED))

最新推荐文章于 2025-06-24 18:13:14 发布
最新推荐文章于 2025-06-24 18:13:14 发布
阅读量5.1k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Windows 文章标签: WMI Remote
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Marcus2006/article/details/79736899

Environment:  local -1703/remote-1709: Win10 Pro 64bit 

Preparasion:

1. local/remote都启动WS-Man服务即WinRM .  local启动winrm -quickstart. 添加所有机器(即*)到trustedhosts里. remote端只quickstart

     Ref: http://labs.supinfochina.com/en/powershell-configure-winrm-and-enable-psremoting/#_Toc429317714

2. 保证local/remote的WMI service在运行

3. 保证local访问root\cimv2没问题(用wbemtest.exe)

4. 关闭remote防火墙(所有)

问题:

1. 本来想玩转WMI的一个自带工具,C:\windows\system32\wbem\Wbemtest.exe ,结果这个工具connect同网络同workgroup的另一台机器被拒绝(我用的remote的admin用户),得到错误0x80070005!!

2. 想到MI已经取代WMI, WS-Man应该也可以,remote端Powershell启用Enable-PSRemoting。local的Powershell使用Get-WSManInstance -ResourceURI wmicimv2/win32_service -SelectorSet @{name="winrm"} -ComputerName "Server01" -credential admin (我用的remote的admin用户), 结果还是错误<f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5" Machine="xxx"><f:Message>拒绝访问。 </f:Message>

3. 用C#代码通过WS-Man协议IEnumerable<CimInstance> enumeratedInstances = cimSession.EnumerateInstances(cimNamespace, cimClassName);

    也会得到同样错误

解决方法
     方案A:  Remote端的注册表里添加特定valuename/value.
       KEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/ 下添加LocalAccountTokenFilterPolicy,类型REG_WORD,值1. 然后尝试之前2种方法,都成功!!

    Ref: https://blog.techygeekshome.info/2014/02/remote-uac-access-denied-errors-local-account-token-filter-policy-remote-uac-fix/

     优点:方便,快. 无论wbemtest.exe/powershell/C#使用都畅通无阻。

      缺点:这种方法其实是disable了remote UAC !!!对于学习或偷懒来说方便,用管理员账户登录就完全是管理员权限了,但是安全性就下降许多。


原因: "WMI tasks remotely accessing WMI information on this computer and requiring Administrative privileges MUST use a DOMAIN account part of the Local Administrators group of this computer to ensure that administrative privileges are granted. If a Local User account is used for remote accesses, it will be reduced to a plain user (filtered token), even if it is part of the Local Administrators group."
   Ref : https://serverfault.com/questions/713643/windows-10-wmi-and-event-viewer-access-denied

    MSDN描述---In a workgroup, the account connecting to the remote computer is a local user on that computer. Even if the account is in the Administrators group, UAC filtering means that a script runs as a standard user

            即使你用的remote端具有管理员权限的账户链接,UAC会把它降级为标准用户,所以本地端绝大多数访问都会被拒绝

   Ref: https://msdn.microsoft.com/en-us/library/aa826699(v=vs.85).aspx#handling_remote_connections_under_uac

方案B: 根据MSDN描述,创建只用于remote的用户与用户组,再在WMI Control(Computer Management)里,指定该用户(组)能访问哪些Namespace。比如我就创建了一个onlyRemote用户,只属于Remote Management Users但不属于administrators。

优点:安全!!

缺点:要花时间配置好Namespace范围。很多security object会要求administrator权限,在Powershell里或C#用我的onlyRemote(同时也在Administrators组里)访问Win32_Service就会出现Access Denied了,访问Win32_process不会。而我的wbemtest.exe用onlyRemote用户连接remote被完全拒绝.           

Ref: https://social.technet.microsoft.com/Forums/lync/en-US/4f33837b-1cb1-4648-85b1-3ba87cbfe93e/wmi-remote-access-denied?forum=winserverManagement

     DCOM应该是限制老式WMI的,如果不用Ws-Man访问,就还要在DCOM里指定remote权限. 通过dcomcnfg.exe修改DCOM security

PS: 在诊断Access Denied问题还用到了WMIDiag,可以辅助判断WMI潜在的问题,这次这个问题就是通过它提示发现的。


电脑重装系统还原0x80070005错误如何解决
xiaoyuxitong的博客
08-09 3386
5、最后,还要将【Microsoft Software Shadow Copy Provider】、【Task Scheduler】、【Volume Shadow Copy】,这3个服务,启动类型设置为【自动】,并且【启动】服务。那么遇到这种问题应该怎么办呢?3、服务窗口,找到并双击打开【Windows 备份】,然后在打开的Windows 备份 的属性(本地计算机)窗口,将启动类型改为【自动】,再点击【确定】;4、回到服务窗口,找到并右键点击【Windows 备份】,在打开的菜单项中,选择【启动】;...
WMI权限问题:Access is denied, please check whether the [domain-username-password] ..
yigerendengqingtian的博客
04-08 1万+
错误信息: org.jinterop.dcom.common.JIException: Access is denied, please check whether the [domain-username-password] are correct. Also, if not already done please check the GETTING STARTED and FAQ sec...
[解决方案]拒绝访问。 (异常来自HRESULT:0x80070005 (E_ACCESSDENIED))
小花生编程
02-10 4万+
【出现问题】    看ASP.net视频时敲例子出现了如题所示的错误:  【解决方案】1. Run dcomcnfg to bring up Component Services window.2. Expand Component Services &gt; Computers &gt; My Computer &gt; DCOM Config3. Scroll down list, right...
0x80070005错误代码怎么解决?多种解决0x80070005的方法
Chess_Chen的博客
06-24 2308
微软官方将0x80070005归类为「E_ACCESSDENIED」错误,本质是系统权限校验失败。当用户账户或系统进程尝试访问受保护资源时,若权限配置不匹配就会触发0x80070005。据统计,该错误在Windows更新场景的出现占比高达47%,其次是软件安装(32%)和注册表修改(21%)。
getwmi php 报错,powershell – “get-wmiobject win32_process -computername”获取错误“访问被拒绝,代码0x80070005”...
weixin_35789559的博客
03-18 370
我正在尝试在3个终端服务器上找到其$_.命令行属性中包含某些单词的进程.在我的域管理员帐户下,它工作正常.但我希望此脚本可用于域用户,并且运行此脚本时doamin用户会收到错误.我应该怎么做,以便域用户可以像域管理员一样运行此脚本?提前致谢!Get-WmiObject : Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESS...
Add-appxpackage : Deployment failed with HRESULT: 0x80070005, 无法注册包。
欲穷千里目,更上一层楼
02-19 6924
错误代码 0x80070005,一般是操作没有权限造成的。 建议尝试切换至Administrator帐户后再进行操作。 Win+R后,键入compmgmt.msc 打开计算机管理; 依次展开系统工具、本地用户和组、用户文件夹; 右侧找到Administrator,右键属性,将“密码永不过期”选项打上勾,将“账户已禁用”选项的勾去掉; 然后点击开始菜单、点击用户名、切换Administrator账户进行登录。 如果是家庭版系统,请参考以下: 可以尝试以下方法
解决:发生系统错误 5;拒绝访问!
10-11 4万+
在dos下运行net命令或其它!提示发生系统错误 5;拒绝访问! 这是因为权限不够的问题。 首先,不要以为用admin account登录系统后,用ctry + R --> cmd,就有管理权限; 此时,只是user的身份,而不是admin。   用管理员身份来运行cmd
PowerShell启用winrm失败:拒绝访问 0x80070005 -2147024891
09-21
### PowerShell启用WinRM失败:拒绝访问 0x80070005 -2147024891 在IT管理和自动化领域,PowerShell作为一种强大的脚本语言和命令行工具,在Windows系统中扮演着至关重要的角色。通过PowerShell,管理员能够执行...
ASP.NET和IIS出错问题总结
04-01
2. **配置Visual Studio**:在Visual Studio中正确配置调试设置,包括连接远程服务器所需的凭据。 3. **服务器端设置**:确保Web服务器已正确配置以支持调试。 #### 4. Web服务器未能找到请求的资源 当Web服务器...
vc-wmi.zip_vc wmi_wmi_wmi vc_wmi 远程
09-20
vc下利用wmi连接远程主机的步骤,以及需要注意的问题说明
asus-nb-wmi.rar_Welcome!_asus wmi
09-22
【标题】"asus-nb-wmi.rar_Welcome!_asus wmi" 提供的是一款专为华硕笔记本电脑设计的WMI热键驱动程序,欢迎有需求的朋友下载分享。 【华硕笔记本WMI热键驱动】是华硕笔记本用户必备的软件组件之一,它主要负责处理...
wmi.rar_C# WMI_windows wmi_wmi_wmi proerties
09-14
1. 连接WMI服务:在C#中,我们通常使用`ManagementScope`类来指定要连接WMI命名空间。默认情况下,我们可以连接到本地计算机的根\CIMV2命名空间,这是存储大多数管理信息的地方。例如: ```csharp ManagementScope...
网络错误0x80070005,访问被拒绝[亲测解决]
热门推荐
Museions的开心博客
06-29 5万+
IE浏览器报错:网络错误0x80070005,访问被拒绝,IE浏览器的安全机制给拦截过滤掉了,解决方式如下: 浏览器右上角 工具&gt;Internet选项     保存后继续访问,如果还是出现以上提示,需要再执行一下操作,看看是否已经生效配置!或者重启电脑之后再访问.   这样配置后电脑会有很大的安全风险: 启用和进行此更改不仅适用于您的网站,也适用于其他网站。默认...
如何解决“XMLHttpRequest: 网络错误 0x80070005, 拒绝访问。”问题
S_yunyun的博客
07-18 1万+
IE浏览器--设置--Internet选项--安全--本地Internet--自定义级别--通过域名访问数据源--设置为启用。亲测可用 特别注意是本地Internet,Internet无效!级别无需重置,也不用重启电脑。只需要设置这一个地方即可。 ...
ASP.NET——拒绝访问。 (异常来自HRESULT:0x80070005 (E_ACCESSDENIED))
weixin_30478757的博客
11-08 908
运行ASP.NET网站的时候出现下面这个问题,这个问题如图: 这个问题的解决方法为: 运行dcomcnfg 点 组件服务-》服务-》电脑-》我的电脑-》DCOM 配置 找到“Windows Management and Instrumentation”,右击属性--安全--编辑--将ASPNET用户权限添加进去 重启电脑 参考博客:...
.net clickonce 拒绝访问。 (异常来自 HRESULT:0x80070005 (E_ACCESSDENIED))
ddsthinkyou123的专栏
02-23 3765
win 7系统:删掉 c:\user\系统登录用户\appdata\Microsoft\Windows\UsrClass.dat 当然你必须创建一个新的win系统用户,才能删除这个文件。 参考文档
拒绝访问。 (异常来自 HRESULT:0x80070005 (E_ACCESSDENIED))
jcoiwenwfkowe的博客
10-05 5294
拒绝访问。 (异常来自 HRESULT:0x80070005 (E_ACCESSDENIED))
Retrieving the COM class factory for component with CLSID {00024500-0000-0000-C000-000000000046} failed due to the following error: 80070005 Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED)).
最新发布
06-25
<think>我们面对的是在服务器环境中使用ExcelCOM组件时出现的权限问题(错误0x80070005)。根据引用内容,特别是引用[4]和[5]提供的解决方案,核心问题在于DCOM配置中缺少执行账户的本地激活权限。###解决方案步骤####1.确认执行账户首先确定运行应用程序的账户(如IIS中的应用程序池账户或计划任务账户)。引用[4]中提到的账户是`JEFFBOX\jeffrey`。####2.修改DCOM配置按以下步骤配置Excel应用程序的DCOM权限:1.打开组件服务管理器:-按`Win+R`,输入`dcomcnfg`并回车(32位系统)或`mmccomexp.msc/32`(64位系统上的32位组件)2.导航到DCOM配置:-控制台根节点→组件服务→计算机→我的电脑→DCOM配置3.找到MicrosoftExcel应用程序:-在列表中找到“MicrosoftExcelApplication”(CLSID:{00024500-0000-0000-C000-000000000046})4.配置权限:-右键选择“属性”,切换到“安全”选项卡-在三个权限区域(启动和激活权限、访问权限、配置权限)均选择“自定义”,然后点击“编辑”5.添加执行账户并赋予权限:-添加应用程序运行账户(如`IIS_IUSRS`、`NETWORKSERVICE`或特定用户)-勾选“本地激活”(LocalActivation)权限(启动和激活权限)-勾选“本地访问”(LocalAccess)权限(访问权限)-配置权限根据需要设置(通常默认即可)>**注意**:在服务器环境中,如果应用程序池使用虚拟账户(如IIS7+中的`IISAPPPOOL\DefaultAppPool`),需在DCOM配置中添加该账户[^5]。####3.调整身份验证级别(可选)在DCOM配置的“常规”选项卡中,将身份验证级别设为“无”:```plaintext身份验证级别:无```####4.设置标识(Identity)在“标识”选项卡中,选择“交互式用户”或指定有权限的用户:```plaintext标识:交互式用户```>**警告**:使用“交互式用户”要求服务器始终有用户登录,不推荐用于生产环境。更好的做法是创建专用服务账户。####5.重置COM组件权限(高级)如果问题仍然存在,使用组件服务重置计算机范围的COM权限:1.右键“我的电脑”→属性2.切换到“COM安全”选项卡3.在“访问权限”和“启动与激活权限”区域点击“编辑默认值”4.添加执行账户并赋予“本地激活”和“本地访问”权限####6.注册表权限调整(极端情况)如果上述方法无效,检查注册表项权限:```regHKEY_CLASSES_ROOT\CLSID\{00024500-0000-0000-C000-000000000046}```赋予执行账户“完全控制”权限(谨慎操作)。###服务器环境最佳实践1.**专用服务账户**:-创建域账户加入`DistributedCOMUsers`组-在DCOM配置中使用此账户作为标识2.**避免COM在服务端使用**:-改用OpenXMLSDK(`DocumentFormat.OpenXml`)-使用第三方库(如EPPlus、NPOI)```csharp//EPPlus示例using(varpackage=newExcelPackage(newFileInfo("output.xlsx"))){varsheet=package.Workbook.Worksheets.Add("Sheet1");sheet.Cells["A1"].Value="HelloWorld";package.Save();}```3.**权限最小化**:-仅授予必要的DCOM权限(避免完全控制)###故障排除流程```mermaidgraphTDA[出现0x80070005错误]-->B{是否服务器环境?}B-->|是|C[确认执行账户]B-->|否|D[检查本地账户权限]C-->E[配置DCOM权限]E-->F{问题解决?}F-->|否|G[尝试重置COM默认权限]G-->H{问题解决?}H-->|否|I[检查注册表权限]I-->J[考虑替代方案]```>**关键提示**:微软官方明确表示OfficeCOM组件不支持服务器端自动化[^3]。生产环境应优先使用无界面解决方案。§§相关问题§§1.如何为IIS应用程序池账户配置DCOM权限?2.使用OpenXMLSDK处理Excel有哪些优势?3.如何监控和调试DCOM权限问题?4.在ASP.NETCore中如何避免使用COM生成Excel文件?[^1]:错误0x80070005表明账户缺少DCOM激活权限[^2]:服务器部署时需额外配置DCOM权限[^3]:微软建议服务器端避免使用OfficeCOM组件[^4]:DCOM配置工具是解决权限问题的关键[^5]:添加应用程序池账户到DCOM权限可解决访问拒绝问题</think>## 解决 Excel COM 类工厂访问拒绝错误 (0x80070005) ### 错误原因分析 `Retrieving the COM class factory for Excel CLSID {00024500-0000-0000-C000-000000000046} failed with error 0x80070005` 是典型的 **DCOM 权限配置问题**,常见于服务器环境部署时。核心原因包括: 1. **执行账户缺少 DCOM 激活权限**:运行程序的账户(如 IIS 应用池账户)未被授予 Excel COM 组件的本地激活权限[^4] 2. **DCOM 默认权限不足**:系统级 DCOM 配置未包含执行账户的必要权限[^4] 3. **组件安全设置错误**:Excel 应用程序的 COM 安全设置未正确配置[^5] 4. **身份验证级别问题**:服务器与 COM 组件间的身份验证级别不匹配 --- ### 完整解决方案 (分步操作) #### 步骤 1: 配置 DCOM 权限 (核心解决步骤) 1. 以管理员身份运行命令: ```cmd mmc comexp.msc /32 # 打开32位组件服务(关键!) ``` 2. 导航至: ``` 组件服务 → 计算机 → 我的电脑 → DCOM 配置 ``` 3. 找到 **Microsoft Excel 应用程序** (CLSID: `{00024500-0000-0000-C000-000000000046}`) 4. 右键 → 属性 → 安全选项卡 5. 配置三个关键区域: - **启动和激活权限** → 自定义 → 编辑 - 添加执行账户 (如 `IIS_IUSRS`, `NETWORK SERVICE` 或特定用户) - 勾选 **本地激活** (Local Activation)[^4][^5] - **访问权限** → 自定义 → 编辑 - 添加相同账户 - 勾选 **本地访问** (Local Access) - **配置权限** → 自定义 → 编辑 - 添加账户并赋予完全控制 #### 步骤 2: 设置标识和身份验证 1. 在 Excel 应用程序属性中切换到 **标识** 选项卡: - 选择 **交互式用户** (测试环境) 或 **指定用户** (生产环境) 2. 切换到 **常规** 选项卡: - 设置 **身份验证级别** 为 **无** #### 步骤 3: 注册表权限修复 (备用方案) 1. 打开注册表编辑器 (`regedit`) 2. 导航至: ``` HKEY_CLASSES_ROOT\AppID\{00024500-0000-0000-C000-000000000046} ``` 3. 右键 → 权限 → 添加执行账户 4. 赋予 **完全控制** 权限 #### 步骤 4: 服务器环境专用配置 ```powershell # 为 IIS 应用池账户授权 $account = "IIS APPPOOL\YourAppPoolName" $com = Get-WmiObject -Namespace "root\cimv2" -Class Win32_DCOMApplicationSetting | Where-Object { $_.AppId -eq "{00024500-0000-0000-C000-000000000046}" } $com.SetLaunchAndActivationPermissions($account, $true, $true, $true, $true) ``` --- ### 服务器环境最佳实践 1. **创建专用服务账户**: - 避免使用 `NETWORK SERVICE`,创建域账户加入 `Distributed COM Users` 组 - 在 DCOM 配置中使用此专用账户作为标识 2. **组件服务优化**: ```mermaid graph LR A[应用程序池] --> B(专用服务账户) B --> C{DCOM配置} C --> D[启动权限=本地激活] C --> E[访问权限=本地访问] C --> F[标识=指定用户] ``` 3. **替代方案 (推荐)**: ```csharp // 使用 OpenXML 替代 COM (无权限问题) using (var doc = SpreadsheetDocument.Create("report.xlsx", SpreadsheetDocumentType.Workbook)) { WorkbookPart workbookPart = doc.AddWorkbookPart(); workbookPart.Workbook = new Workbook(); // ... 添加工作表和数据 } ``` --- ### 验证与测试 1. 在事件查看器中检查: ``` 应用程序和服务日志 → Microsoft → Windows → DCOM-Activation ``` 2. 确认无新的 `Access Denied` 错误 3. 使用 PowerShell 测试: ```powershell $excel = New-Object -ComObject Excel.Application -Strict $excel.Visible = $true $excel.Quit() ``` > **关键提示**:微软官方不建议在服务器端使用 Office COM 组件[^2],生产环境优先考虑 OpenXML SDK 或 EPPlus 等替代方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值