7
lokalen Benutzer über AD zentral anlegen
Hallo,
habe folgendes Anliegen.
In einer Domäne (Windows2003 Server mit Win XP Clients) möchten wir ein Netzwerk-Analyseprogramm einrichten. Dieses Programm benutzt unter anderem WMI. Wenn man nun den Administrator incl. Passwort eingibt, funktioniert es. Wir möchten aber einen Benutzer einrichten, der auf den Clients WMI zugriff hat, aber kein Domänenadmin ist.
Nun habe ich folgendes im Internet (www.administrator.info ) gefunden:
Zitat:
„Wer seinen WMI-Benutzer nicht gleich mit allmächtigen Domainadmin-Rechten ausstatten möchte, kann einen Domänenuser anlegen, und diesem dann auf allen Rechnern die lokalen Gruppenzugehörigkeiten HAUPTBENUTZER und Distributed COM Benutzer einrichten. Das Kann entweder manuell auf jedem Rechner erfolgen, oder auch per Gruppenrichtlinie vom DC aus geschehen. Dann muss diesem User auf den zu überwachenden Rechnern noch gestattet werden, auf die WMI zuzugriefen start --> ausführen --> wmimgmt.msc --> WMI-Steuerung --> Eigenschaften --> Sicherheit --> Root anklicken --> Button Sicherheit klicken --> Hinzufügen. Danach dem User folgende Berechtigungen erteilen: Konto aktivieren, Remoteaktivierung.
Willst Du auch Methoden verschiedener WMI-Klassen ausführen, dann muss auch bei Methoden ausführen ein Häkchen gemacht werden.
So, das ist die relativ komplizierte, jedoch sehr viel sicherere Variante, das ganze zu konfigurieren. Viel Schweiß und Tränen hat diese Erkenntnis verursacht!
Zitat Ende“
Meine Fragen:
1: Wie kann ich über GPO’s oder Scripting einen User anlegen, der die Berechtigung auf den Clients zum ausführen von WMI hat? Finde diesbezüglich nichts im Internet.
2: das einrichten des WMI Zugriffs muss zentral und auch per GPO oder script erfogen. Jeden PC mit dem „wmimgmt.msc“ einzurichten ist zu aufwendig
Bin über jeden tipp dankbar!
thomas
habe folgendes Anliegen.
In einer Domäne (Windows2003 Server mit Win XP Clients) möchten wir ein Netzwerk-Analyseprogramm einrichten. Dieses Programm benutzt unter anderem WMI. Wenn man nun den Administrator incl. Passwort eingibt, funktioniert es. Wir möchten aber einen Benutzer einrichten, der auf den Clients WMI zugriff hat, aber kein Domänenadmin ist.
Nun habe ich folgendes im Internet (www.administrator.info ) gefunden:
Zitat:
„Wer seinen WMI-Benutzer nicht gleich mit allmächtigen Domainadmin-Rechten ausstatten möchte, kann einen Domänenuser anlegen, und diesem dann auf allen Rechnern die lokalen Gruppenzugehörigkeiten HAUPTBENUTZER und Distributed COM Benutzer einrichten. Das Kann entweder manuell auf jedem Rechner erfolgen, oder auch per Gruppenrichtlinie vom DC aus geschehen. Dann muss diesem User auf den zu überwachenden Rechnern noch gestattet werden, auf die WMI zuzugriefen start --> ausführen --> wmimgmt.msc --> WMI-Steuerung --> Eigenschaften --> Sicherheit --> Root anklicken --> Button Sicherheit klicken --> Hinzufügen. Danach dem User folgende Berechtigungen erteilen: Konto aktivieren, Remoteaktivierung.
Willst Du auch Methoden verschiedener WMI-Klassen ausführen, dann muss auch bei Methoden ausführen ein Häkchen gemacht werden.
So, das ist die relativ komplizierte, jedoch sehr viel sicherere Variante, das ganze zu konfigurieren. Viel Schweiß und Tränen hat diese Erkenntnis verursacht!
Zitat Ende“
Meine Fragen:
1: Wie kann ich über GPO’s oder Scripting einen User anlegen, der die Berechtigung auf den Clients zum ausführen von WMI hat? Finde diesbezüglich nichts im Internet.
2: das einrichten des WMI Zugriffs muss zentral und auch per GPO oder script erfogen. Jeden PC mit dem „wmimgmt.msc“ einzurichten ist zu aufwendig
Bin über jeden tipp dankbar!
thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 98575
Url: https://administrator.de/contentid/98575
Printed on: April 16, 2024 at 18:04 o'clock
7 Comments
Latest comment
Also ich würde mal vorschlagen eine Gruppe im AD anzulegen, "Gruppe Setup" und dort einen oder mehrere Benutzer, "Setup" und "Analyse" anzulegen. Die Gruppe Setup auf den Arbeitsplatzcomputern als lokale Admins hinzufügen. Die Gruppe Setup wird aber eben nicht zu den Domain Admins hinzugefügt.
Hilft dir das?
Gruß Rafiki
Hilft dir das?
Gruß Rafiki
Hallo rafiki,
danke für deine Antwort. Leider hilft mir das nicht weiter, da diese Gruppe ja nicht zentral auf dem Client hinzugefügt wird. Ich möchte ja nicht vor jedem einzelnen Rechner sitzen und immer wieder die gleichen lokalen Einsatellungen amchen müssen. Außerdem muus ja der benutzer der lokalem haupbenutzer zugefügt werden, so dass diesewr ja auch die nötigen Berechtigungen für WMi bekommt.
Gruß
Thom
danke für deine Antwort. Leider hilft mir das nicht weiter, da diese Gruppe ja nicht zentral auf dem Client hinzugefügt wird. Ich möchte ja nicht vor jedem einzelnen Rechner sitzen und immer wieder die gleichen lokalen Einsatellungen amchen müssen. Außerdem muus ja der benutzer der lokalem haupbenutzer zugefügt werden, so dass diesewr ja auch die nötigen Berechtigungen für WMi bekommt.
Gruß
Thom
Zitat von @thhaeger:
danke für deine Antwort. Leider hilft mir das nicht weiter, da
diese Gruppe ja nicht zentral auf dem Client hinzugefügt wird.
danke für deine Antwort. Leider hilft mir das nicht weiter, da
diese Gruppe ja nicht zentral auf dem Client hinzugefügt wird.
Warum, per GPO kannst du die Gruppe zentral hinzufügen - Stichwort 'eingeschränkte Gruppen'.
Grüße, Steffen
Hi Steffen,
danke, das Stichwort hat mir gefehlt.
Jetzt fehlt mir nur noch der Weg wie man der gruppe zentral die Berechtigungen für WMI auf jeden PC einrichtet.
Zitat:
Dann muss diesem User auf den zu überwachenden Rechnern noch gestattet werden, auf die WMI zuzugriefen start --> ausführen --> wmimgmt.msc --> WMI-Steuerung --> Eigenschaften --> Sicherheit --> Root anklicken --> Button Sicherheit klicken --> Hinzufügen. Danach dem User folgende Berechtigungen erteilen: Konto aktivieren, Remoteaktivierung.
Denke, das muss man scripten oder?
Gruß
Thom
danke, das Stichwort hat mir gefehlt.
Jetzt fehlt mir nur noch der Weg wie man der gruppe zentral die Berechtigungen für WMI auf jeden PC einrichtet.
Zitat:
Dann muss diesem User auf den zu überwachenden Rechnern noch gestattet werden, auf die WMI zuzugriefen start --> ausführen --> wmimgmt.msc --> WMI-Steuerung --> Eigenschaften --> Sicherheit --> Root anklicken --> Button Sicherheit klicken --> Hinzufügen. Danach dem User folgende Berechtigungen erteilen: Konto aktivieren, Remoteaktivierung.
Denke, das muss man scripten oder?
Gruß
Thom
Hallo Thom,
die Gruppe der lokalen Admins kann das ohne weiteres. Scripting ist dazu nicht notwendig.
Grüße, Steffen
die Gruppe der lokalen Admins kann das ohne weiteres. Scripting ist dazu nicht notwendig.
Grüße, Steffen
Hi Steffen,
danke, ich werd es jetzt mal testen und mich dann wieder melden.
Gruß
Thom
danke, ich werd es jetzt mal testen und mich dann wieder melden.
Gruß
Thom
Hi,
habe jetzt die test durchgeführt.
Die Verteilung klappt
Die WMI Abfrage als Admin auch.
Leider klappt die Abfrage nicht als Hauptbenutzer, wie am Anfang geschrieben.
Hat jemand eine Idee? Möchte dem neu eingerichteten User bzw. gruppe nur die nötigsten Rechte für WMi geben.
gruß
Thom
habe jetzt die test durchgeführt.
Die Verteilung klappt
Die WMI Abfrage als Admin auch.
Leider klappt die Abfrage nicht als Hauptbenutzer, wie am Anfang geschrieben.
Hat jemand eine Idee? Möchte dem neu eingerichteten User bzw. gruppe nur die nötigsten Rechte für WMi geben.
gruß
Thom
