2023年12月22日发(作者:)
授予 WMI
用户权限和设置权限
应用到: Windows 7, Windows Server 2008 R2
授予 WMI
用户权限和设置权限的步骤
1.
打开 WMI
控件控制台:依次单击“开始”、“运行”,键入 ,然后单击“确定”。
2.
在控制台树中,右键单击“WMI
控件”,然后单击“属性”。
3.
单击“安全”选项卡。
4.
选择授予用户和组访问权限的命名空间,然后单击“安全”。
5.
在“安全”对话框中,单击“添加”。
计算机或组”对话框中,输入要添加的对象(用户或组)名称。单击“检6.
在“选择用户、查名称”以验证条目,然后单击“确定”。可能需要更改位置或单击“高级”按钮以查询对象。参阅对话框“帮助”获取详细信息。
7.
在“安全”对话框中的“权限”下,选择允许或拒绝新用户或组使用的权限:
级别
执行方法
完全写入
描述
允许用户执行 WMI 类方法。
允许完全读取、写入以及删除对所有 WMI 对象、类别和实例(动态和静态)的访问权限。
可以对静态 WMI 对象进行写入访问。
可以对动态 WMI 类实例进行写入访问。
部分写入
提供程序写入
启用帐户
远程启用
读取安全
编辑安全
允许对 WMI 对象进行读取访问。
允许对命名空间进行远程访问。
允许对安全信息进行只读访问。
允许对安全信息进行读写访问。
其他注意事项
•
•
若要执行本地计算机上的此任务,必须以本机管理员组成员身份登录。
若要执行远程计算机上的此任务,必须以那台计算机的管理员组成员身份登录。若要访问远程计算机,请依次右键单击“WMI
控件”、“连接到另一台计算机”、“另一台计算机”,然后键入要连接的计算机的名称。如果正从计算机管理控制台使用
WMI
控件,请右键单击“计算机管理”连接到其他计算机。
可以通过选择该用户或组,然后单击“删除”的方式删除用户或组访问 WMI
服务的授权。
•
备份或还原 WMI
储存库
应用到: Windows 7, Windows Server 2008 R2
备份或还原 WMI
储存库的步骤
1.
打开 WMI
控件控制台:依次单击“开始”、“运行”,键入
,然后单击“确定”。
2.
在控制台树中,右键单击“WMI
控件”,然后单击“属性”。
3.
单击“备份/还原”选项卡。
4.
单击“立即备份”或“立即还原”。
其他注意事项
•
若要执行该过程,您必须是本地计算机上管理员组的成员,或者您必须被委派了相应的权限。如果计算机已加入某个域,则 Domain Admins
组的成员可能会执行该过程。作为安全性最佳操作,请考虑使用“运行身份”来执行此过程。
必须以本地计算机管理员身份运行才能将备份文件保存在 %Windir%System32WbemRepositor
文件夹中。或者,可以将它保存在帐户配置文件的 Documents
文件夹中。
单击“立即备份”手动备份储存库时,可以备份到指定的文件名,以后可以从保存的文件中还原。如果要保存类的特定配置,此方法非常有用。也可以在命令提示符下运行 Winmgmt
命令,并从保存的文件中还原。有关使用 Winmgmt
命令的详细信息,请依次单击“开始”、“运行”,然后键入
winmgmt /?
•
•
修改权限或删除授权的用户
应用到: Windows 7, Windows Server 2008 R2
修改权限或删除授权的用户的步骤
1.
打开 WMI
控件控制台:依次单击“开始”、“运行”,键入
,然后单击“确定”。
2.
在控制台树中,右键单击“WMI
控件”,然后单击“属性”。
3.
单击“安全”选项卡。
4.
选择要更改用户或组权限或删除用户或组的命名空间,然后单击“安全”。
5.
在“安全”对话框中的“名称”下,选择要删除或要修改其权限的用户或组。
6.
请执行下列步骤之一:
•
•
若要删除用户或组,请单击“删除”。
若要更改安全设置,在“权限”下通过清除或选中相应的复选框,即可修改允许或拒绝用户或组使用的权限。
其他注意事项
•
若要执行此任务,您必须是管理员或使用域帐户,该域帐户是所管理的计算机上管理员组的成员。
WMI
安全只在用户登录到 Windows
管理服务时才能验证。因此,在连接用户时,对用户的权限所做的任何更改要到下一次用户登录到 WMI
时才会生效。例如,如果用户的访问权限被吊销,所做的更改需要在用户注销 Windows
管理后,并尝试再次登录才会生效。
可以修改远程计算机或本地计算机上的用户或组权限。若要访问远程计算机,请依次右键单击“WMI
控件”、“连接到另一台计算机”、“另一台计算机”,然后键入要连接的计算机的名称。如果正从计算机管理控制台使用 WMI
控件,请右键单击“计算机管理”节点以连接其他计算机。
•
•
无法远程连接到 WMI
如果管理应用程序无法获得远程客户机系统的公用信息模型(CIM)信息,或者使用分布式组件对象模型(DCOM)的远程 BIOS 更新失败,则会显示以下错误消息:
•
•
Access Denied(拒绝访问)
Win32:RPC server is unavailable(RPC 服务器不可用)
如果显示这些错误消息,请执行以下操作:
1. 要验证客户端系统是否已连接到网络,请在服务器的命令提示符处键入:
ping
2. 如果服务器和客户端系统都属于某一域,请执行以下步骤:
a. 验证域管理员帐户同时具有这两个系统的管理员权限。
b. 如果用户正在服务器系统上使用 IT Assistant,运行 IT Assistant
ConfigServices 公用程序(位于 IT Assistant 安装目录的 /bin 目录下的
)。将 IT Assistant 配置为在域管理员帐户下运行,并验证已启用 DCOM 和 CIM。有关信息,请参阅《IT Assistant 用户指南》。
c. 如果您使用的是 IT Assistant,请使用域管理员帐户为客户端系统配置 IT
Assistant 子网查找。如果已查找到该系统,请将其从已查找到系统的列表中删除,为其配置子网查找,然后再重新查找。有关信息,请参阅《IT Assistant
用户指南》。
3. 如果服务器和客户端系统都属于某一工作组(不属于域),请执行以下步骤:
a. 如果客户端系统正运行 Microsoft Windows XP Professional 或 Windows XP
Professional x64 版操作系统,且服务器运行 Windows 2000,请验证服务器上安装有 Service Pack 2 或更高版本。
b. 如果客户端系统运行 Windows XP 版本,且不是域的一部分,请编辑注册表以管理员权限远程连接。
警告:在更改注册表前请备份系统数据文件。不正确地编辑注册表可能会导致操作系统无法使用。
4. 要在客户端系统上更改注册表,请单击开始® 运行,键入 regedit,然后单击确定。在注册表编辑器窗口中,导航至:
我的电脑HKEY_LOCAL_MACHINESYSTEM
CurrentControlSetControlLsa
5. 将 forceguest 值设置为 0(默认值为 1)。如果不修改该值,即使提供的信息表明已具有管理员权限,远程连接至系统的用户也只具有 Guest 权限。
a. 在客户端系统上创建一个帐户,该帐户的用户名和密码与运行 WMI 管理应用程序的系统上的管理员帐户的用户名和密码相同。
b. 如果用户使用的是 IT Assistant,请运行 IT Assistant ConfigServices 公用程序(位于 IT Assistant 安装目录的 /bin 目录下的 )。将 IT
Assistant 配置为在本地管理员帐户(现在也是远程客户端的管理员)下运行。另外,请验证已启用 DCOM 和 CIM。有关信息,请参阅《IT Assistant 用户指南》。
c. 如果用户使用的是 IT Assistant,请使用管理员帐户为客户端系统配置子网查找。输入用户名为
Assistant 用户指南》。
6. 执行以下步骤以修改用于远程连接到系统 WMI 的用户权限级别:
a. 单击开始® 运行,键入 ,然后单击确定。
b. 导航至服务和应用程序下的 WMI 控件。
c. 右键单击 WMI 控件,然后单击属性。
d. 单击安全选项卡,然后选择 Root 树下的 DellOMCI。
e. 单击安全。
f. 选择要控制访问权限的特定组或用户,然后使用允许或拒绝复选框配置权限。
7. 执行以下步骤以使用 WMI CIM Studio 从远程系统连接到系统 WMI(rootdellomci):
a. 在本地系统上随 CIM Studio 一起安装 WMI 工具,并在远程系统上安装
Dell OMCI。
b. 为 WMI 远程连接相应配置系统的防火墙。例如,在 Windows 防火墙中打开 TCP 端口 135 和 445。
c. 对于本地安全策略中的网络访问:本地帐户的共享和安全模式,将本地安全设置为典型 - 本地用户以自己的身份验证。
d. 在 Windows Vista 的情形中,禁用系统上的 UAC。
e. 使用 WMI CIM Studio(例如,10.94.174.167rootdellomci)从远程系统连接到系统 WMI(rootdellomci)。
f. 如有提示,输入目标远程系统的管理员凭据。
不同的操作系统之间的WMI连接
你可以在不同的Windows操作系统之间建立远程连接。但是在一个常见的远程连接场景下,如:计算机A连接到计算机B的一个WMI命名空间,计算机B通常需要更高的安全级别。
在不同的操作系统之间建立连接
只有在管理员组中的域用户才可以建立一个远程的WMI连接。目标计算机也会对远程连接设置Impersonation级别和身份验证级别来接受连接。例如:如果计算机A是Windows 2000
Server with SP2,计算机B是Windows XP,那么连接字符串中的身份验证级别必须设置成Pkt,因为Windows XP不接受更低级别身份验证的连接。
以下的VBScript代码展示了如何将身份验证级别设置为Pkt。
Set objWMIService = GetObject("winmgmts:" _ & "{authenticationLevel=Pkt}!" _ &
"ComputerB" _ & "rootcimv2")
DCOM的Impersonation和身份验证设置
WMI有一些缺省DCOM的Impersonation和身份验证设置,目标计算机B通常使用这些设置来判断是否允许远程连接。当然计算机A也可以设置一些为计算机B不接受的设置,而在之后的连接调用时更改这些设置。但是对于身份验证服务,还是建议你指定RPC_C_AUTHN_DEFAULT值,并为目标计算机设置一个合适的DCOM的配置。
无法建立连接
WMI不支持在以下操作系统之间建立远程连接:
•
•
•
Windows XP Home Edition。
Windows NT不能连接到Windows 2000之后的版本如Windows XP、Windows Server 2003。
也不支持Windows me/98/95 访问Windows Server 2003。
对以下Windows版本之间的连接有额外的要求:
对于目标计算机是Windows 2000 Server with SP4,要求将Impersonation级别显示指定为impersonation。
•
•
•
Windows 2000必须要安装SP2才能访问Windows XP以及之后版本的Windows系统。
从Windows Server 2003连接到Windows Me/98、Windows NT 4.0 with SP3,必须指定用户名和密码。
连接超时
当通过tServer或者tServer建立WMI连接时,你可以设置WMI连接的Timeout时间。
发布评论