Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Monitoring via WMI ohne Adminberechtigung. (Wie) Ist das möglich?

Frage Netzwerke Netzwerkmanagement

Mitglied: Chaotica

Chaotica (Level 1) - Jetzt verbinden

16.02.2012 um 17:21 Uhr, 2854 Aufrufe, 2 Kommentare

Hallo zusammen!
Mal wieder ein Neuling der Hilfe von erfahrenen Experten benötigt.

Wir setzen demnächst OpManger 9.0 für das Monitoring aller Server und einiger Netzwerkkomponenten ein.
U.a. aus Sicherheitsgründen verwenden wir hierfür nicht SNMP sondern WMI.

Nach Rücksprache mit dem OpManager Support habe ich erfahren, dass wir für das Monitoring unserer Infrastruktur (div. DCs, Applikationsserver, etc.) einen Account mit lokalen- bzw. Domänenadminrechten benötigen.

Bei meine Recherche nach Alternativen bin ich über folgenden Ansatz gestolpert:
"...
  1. Add the user(s) in question to the Performance Monitor Users group
  2. Under Services and Applications, bring up the properties dialog of WMI Control. In the Security tab, highlight Root/CIMV2, click Security; add Performance Monitor Users and enable the options : Enable Account and Remote Enable
  3. Run dcomcnfg. At Component Services > Computers > My Computer, in the COM security tab of the Properties dialog click "Edit Limits" for both Access Permissions and Launch and Activation Permissions. Add Performance Monitor Users and allow remote access, remote launch, and remote activation
  4. Select Windows Management Instrumentation under Component Services > Computers > My Computer > DCOM Config and give Remote Launch and Remote Activation privileges to Performance Users Group
..."

Quelle: http://msdn.microsoft.com/en-us/library/aa393266.aspx

Ein Test hat gezeigt, dass es funktioniert.
Leider kann ich nichts über die Gefährdung des Systems durch diesen Schritt in Erfahrung bringen. Mir ist ehrlich gesagt nicht mal klar was die Änderungen bewirken.

Jetzt meine Fragen:
  1. Benötigt man zwingend einen lokalen- oder Domänenadmin für das Monitoting via WMI, oder geht das auch anders?
  2. Ist der beschriebene Workaround eine sinnvolle/sichere Alternative?

Ich hoffe für meinen ersten Beitrag sind meine Fragen nicht zu trivial.
Schon mal vielen Dank für die Antworten!
Mitglied: 60730
17.02.2012 um 08:28 Uhr
Moin,

Ganz einfach...

Es gibt eine granulare rechteverteilung in windows.
Ein admin darf vieles, ein domainadmin alles machen.

Du willst aber.nur wmi ueberwachen, abfragen, da brauchst du keine grosse kelle, da reicht es den oberen weg zu nehmen.

Du machst ja auch keinen zum domainadmin, wenn der einzelne druckjobs von anderen benutzern loeschen koennen sollen darf.

Gruss
Bitte warten ..
Mitglied: Chaotica
17.02.2012 um 10:31 Uhr
Moin Moin,

Danke für den Hinweis.
Berechtige ich mit dem o.g. Vorgang nur den entsprechenden Benutzer/Gruppe für die wmi Überwachung, oder öffne ich damit eine größere Sicherheitslücke?
Bitte warten ..
Ähnliche Inhalte
Exchange Server
gelöst E-Mail Versand nicht möglich - Providerwechsel (6)

Frage von Campino86 zum Thema Exchange Server ...

Erkennung und -Abwehr
gelöst Remote Management von MSE bzw. Windows Defender möglich? (2)

Frage von MOS6581 zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Webbrowser
Windows 7 unbeliebte Internetseite sperren (15)

Frage von Daoudi1973 zum Thema Webbrowser ...

ISDN & Analoganschlüsse
gelöst Splitter - RJ45 zu RJ11? (13)

Frage von Waishon zum Thema ISDN & Analoganschlüsse ...

LAN, WAN, Wireless
gelöst Suche Firmware Image für Cisco Aironet 1252 (10)

Frage von Herbrich19 zum Thema LAN, WAN, Wireless ...

Netzwerke
VLAN Verständnissproblem (9)

Frage von Dragan123 zum Thema Netzwerke ...