Hvordan logger ind interaktivt på en Windows host effekt WMI forespørgsler til den vært?

Indlæg af Hanne Mølgaard Plasc

Problem



Jeg har en applikation, der udfører WMI-forespørgsler på eksterne værter. Jeg forsøger at definere den minimale mængde af sikkerhedsrettigheder, der kræves for brugeren, der plejede at gøre forespørgslen.


Jeg har defineret en bruger med minimale tilladelser. Jeg har fundet ud af, at denne bruger har tilstrækkelige tilladelser til at udføre de nødvendige forespørgsler, men kun hvis den samme bruger er logget ind interaktivt på den eksterne vært.


Hvis jeg for eksempel logger på den eksterne vært med nonadmin-brugeren (dvs. åbner et skrivebord på fjernværten), returnerer spørgsmålet select * from Win32\_Environment 2 yderligere poster, end hvis jeg ikke er logget ind. De 2 poster er :


instance of Win32\_Environment
{
    Caption = "COMP-BAF3244E\nonadmin\TEMP";
    Description = "COMP-BAF3244E\nonadmin\TEMP";
    Name = "TEMP";
    Status = "OK";
    SystemVariable = FALSE;
    UserName = "COMP-BAF3244E\nonadmin";
    VariableValue = "\%USERPROFILE\%\Local Settings\Temp";
};


og


instance of Win32\_Environment
{
    Caption = "COMP-BAF3244E\nonadmin\TMP";
    Description = "COMP-BAF3244E\nonadmin\TMP";
    Name = "TMP";
    Status = "OK";
    SystemVariable = FALSE;
    UserName = "COMP-BAF3244E\nonadmin";
    VariableValue = "\%USERPROFILE\%\Local Settings\Temp";
};


som det ses i MOF-repræsentationen i det wbemtest-værktøj. Den wbemtest forbindelse er til \remotehost ootcimv2 som bruger nonadmin.


Hvordan registrerer resultaterne af WMI-spørgsmålet, hvordan det logger ind på fjernværtsværdien?


Hvilke tilladelser skal jeg tilføje til min bruger, så de yderligere oplysninger er tilgængelige, selv om den eksterne bruger ikke er logget ind?

Bedste reference


Problemet har at gøre med at brugerprofilen ikke læses, medmindre brugeren har de rigtige rettigheder.


Brugerprofilen, der ikke læses, er også et problem for at kalde Win32\_Process.Create. Hvis profilen ikke er indlæst, mislykkes dette med UNKNOWN FAILURE (8).


Tak til dette blogindlæg for at påpege årsagen til fejlene! [7]


For at få brugerprofilen indlæst automatisk under fjernadgang til WMI, skal brugeren 'Sikkerhedskopiere filer og mapper' og 'Gendan filer og mapper' brugerrettigheder.


Du kan finde disse rettigheder politik på:


"Run..." --> secpol.msc --> Local Policies --> User Rights Assignment