本文指导如何创建具有有限权限的服务帐户,将其从域管理员组中移除,并通过分配到特定本地组(如分布式COM用户和性能监视器用户)来授予WMI监控权限。同时,详细阐述了在WMI控制台中设置‘远程启用’权限的步骤,确保安全组能远程监控计算机,而不会过度授权。
如今,网络中的一些管理员将域管理员权限授予监控服务帐户以监控他们的计算机。通过本文,您可以授予对此类服务帐户的最低 WMI 访问权限。为实现此目标,请遵循以下说明:
- 创建具有有限权限的服务帐户(如果存在,请将其从 域管理员组中删除)
- 在您的域中创建一个安全组(要授予访问权限,我建议在您的域中创建一个新的安全组。众所周知,基于组的访问有一些好处,我不会通过本文描述这些好处)
要授予基于 WMI 的监视访问权限,您需要添加提及的服务帐户,或者最好将提及的安全组添加到每台计算机的以下本地组中。此外,可以通过组策略授予这些权限。
- 分布式 COM 用户
- 性能监视器用户
完成上述步骤后,您需要通过以下过程向您的新安全组授予“远程启用”权限:
|
|
|---|
| 请仔细执行以下操作,我建议 不要 删除任何现有权利 |
- 使用wmimgmt.msc或 mmc 控制台打开 WMI 控件
- 右键单击WMI Control (Local)项,然后单击 Properties项
- 在打开的菜单中,单击“安全”选项卡
- 在安全选项卡中,选择根文件夹,然后单击 安全按钮
- 在“Security for Root”菜单中,添加您在第一步中创建的安全组,并在上述组的“权限”部分中仅选中“远程启用 - 允许”项,然后单击“高级”按钮
- 在“高级”菜单中,选择您的安全组,然后单击“编辑”按钮
- 在打开的菜单中,从“应用于”下拉列表中,选择“此命名空间和子命名空间”,然后单击“ 确定”按钮
- 单击每个打开的菜单上的应用/确定按钮以授予所需的访问权限。
注意:您可以向未加入的计算机授予此类访问权限,但请注意您需要在每台计算机上本地创建服务帐户,并将这些权限授予服务帐户而不是本地安全组。
恭喜,在完成上述所有步骤后,您已向监控服务帐户授予最低 WMI 权限。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
