WMI: Einem AD User Zugriff auf WMI gestatten

Für mein neues Assetmanagement Tool benötige ich einen User, der von diesem Tool genutzt wird, um via WMI Abfragen auf den Clients durchzuführen. Aus Sicherheitsgründen wird dafür ein Service Account im AD angelegt. Dieser bekommt dann die WMI Rechte „Remote Access“ und „ReadSecurity“. Lt. Hersteller des Tools soll dies ausreichen. Da ich mich noch am Anfang der Evaluierung befinde, kann ich an dieser Stelle noch nicht berichte, ob es am Ende auch genau so funktioniert. In dieser Anleitung geht es aber auch erstmal nur darum, den Grundstein zu legen.

WMI AD User anlegen:

Ich habe für diesen User ein sehr komplexes Kennwort mit einer länge von 30 Zeichen gewählt.

Herunterladen des Powershellskripts

Wir benötigen ein Powershellskript, welches später die Rechteänderung am WMI vornimmt. Dieses bekommen wir auf Github

Dieses Skript wird via GPO auf die Clientcomputer verteilt, die später abgefragt werden sollen

Erstellen des GPO

Das GPO ist in 3 Aufgaben unterteilt. Die erste Aufgabe verteilt obiges Powershell Skript nach „c:\windows\temp“. Im 2. Teil wird eine geplante Aufgabe dazu genutzt, dieses Skript mit den erforderlichen Parametern aufzurufen. Der 3. Teil innerhalb des GPO konfiguriert die sog. „Eingeschränkten Gruppen“ für die Remoteverwaltungsbenutzer. Dieser Teil schränkt die Mitglieder der lokalen Gruppe “ Remoteverwaltungsbenutzer“ein, sodass nur der von uns erzeugte WMI User Mitglied ist und demnach auch nur er Abfragen an die WMI Schnitstelle stellen darf.

Das Skript kopieren wir an einen für die Clients zugänglichen Ort im Netzwerk. Ich habe es direkt im Sysvol abgelegt.

Wie im Screenshot zu sehen wird dieses Skript vom Sysvol auf den Clientcomputer nach „c:\windows\temp“ kopiert

Innerhalb der geplanten Aufgabe unter „Allgemein“ nehmen wir folgende Angaben vor:

Im Tab „Trigger“ wird ein neuer Trigger hinzugefügt:

Den Trigger könnt ihr nach euren Bedürfnissen anpassen.

Im Tab „Aktionen“ werden 4 Aktionen in folgender Reihenfolge erstellt:

Aktion1:

Argument = -file C:\windows\temp\Set-WMINamespaceSecurity.ps1 -namespace root -account xx\wmi-user – Remote WMI Access -operation Add -permissions Enable

Aktion 2:

Argument = -file C:\windows\temp\Set-WMINamespaceSecurity.ps1 -namespace root -account xx\wmi-user -operation Add -permissions RemoteAccess

Aktion 3:

Argument = -file C:\windows\temp\Set-WMINamespaceSecurity.ps1 -namespace root -account xx\wmi-user -operation Add -permissions ReadSecurity

Aktion 4:

Argument = -ExecutionPolicy Bypass -command „Restart-Service winmgmt -force“

Eingeschränkte Gruppe in dem GPO erstellen:

Die gezeigten Angaben im folgenden Screenshot sollten für sich sprechen 😉

Lokal am Client-PC sieht es dann wie folgt aus:

Print Friendly, PDF & Email
Abonnieren
Benachrichtige mich bei

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x