Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Monitoring via WMI ohne Adminberechtigung. (Wie) Ist das möglich?

Frage Netzwerke Netzwerkmanagement

Mitglied: Chaotica

Chaotica (Level 1) - Jetzt verbinden

16.02.2012 um 17:21 Uhr, 2866 Aufrufe, 2 Kommentare

Hallo zusammen!
Mal wieder ein Neuling der Hilfe von erfahrenen Experten benötigt.

Wir setzen demnächst OpManger 9.0 für das Monitoring aller Server und einiger Netzwerkkomponenten ein.
U.a. aus Sicherheitsgründen verwenden wir hierfür nicht SNMP sondern WMI.

Nach Rücksprache mit dem OpManager Support habe ich erfahren, dass wir für das Monitoring unserer Infrastruktur (div. DCs, Applikationsserver, etc.) einen Account mit lokalen- bzw. Domänenadminrechten benötigen.

Bei meine Recherche nach Alternativen bin ich über folgenden Ansatz gestolpert:
"...
  1. Add the user(s) in question to the Performance Monitor Users group
  2. Under Services and Applications, bring up the properties dialog of WMI Control. In the Security tab, highlight Root/CIMV2, click Security; add Performance Monitor Users and enable the options : Enable Account and Remote Enable
  3. Run dcomcnfg. At Component Services > Computers > My Computer, in the COM security tab of the Properties dialog click "Edit Limits" for both Access Permissions and Launch and Activation Permissions. Add Performance Monitor Users and allow remote access, remote launch, and remote activation
  4. Select Windows Management Instrumentation under Component Services > Computers > My Computer > DCOM Config and give Remote Launch and Remote Activation privileges to Performance Users Group
..."

Quelle: http://msdn.microsoft.com/en-us/library/aa393266.aspx

Ein Test hat gezeigt, dass es funktioniert.
Leider kann ich nichts über die Gefährdung des Systems durch diesen Schritt in Erfahrung bringen. Mir ist ehrlich gesagt nicht mal klar was die Änderungen bewirken.

Jetzt meine Fragen:
  1. Benötigt man zwingend einen lokalen- oder Domänenadmin für das Monitoting via WMI, oder geht das auch anders?
  2. Ist der beschriebene Workaround eine sinnvolle/sichere Alternative?

Ich hoffe für meinen ersten Beitrag sind meine Fragen nicht zu trivial.
Schon mal vielen Dank für die Antworten!
Mitglied: 60730
17.02.2012 um 08:28 Uhr
Moin,

Ganz einfach...

Es gibt eine granulare rechteverteilung in windows.
Ein admin darf vieles, ein domainadmin alles machen.

Du willst aber.nur wmi ueberwachen, abfragen, da brauchst du keine grosse kelle, da reicht es den oberen weg zu nehmen.

Du machst ja auch keinen zum domainadmin, wenn der einzelne druckjobs von anderen benutzern loeschen koennen sollen darf.

Gruss
Bitte warten ..
Mitglied: Chaotica
17.02.2012 um 10:31 Uhr
Moin Moin,

Danke für den Hinweis.
Berechtige ich mit dem o.g. Vorgang nur den entsprechenden Benutzer/Gruppe für die wmi Überwachung, oder öffne ich damit eine größere Sicherheitslücke?
Bitte warten ..
Ähnliche Inhalte
Windows Server
PRTG Paessler Monitoring WMI konfigurieren per GPO
Frage von geTr0ffEnWindows Server3 Kommentare

Hallo, ich würde mir gerne das Leben ein wenig einfacher machen. Es geht, wie oben beschrieben, um das Einrichten ...

Windows Server
Adminberechtigung bei Ausführung durch Ordner automatisieren ?
gelöst Frage von ArteasWindows Server4 Kommentare

Mal eine vielleicht schnell zu beantwortende Frage, vielleicht eher 2 : Ich würde gern anstatt jedes Tool, welches als ...

Monitoring
Monitoring des Stromverbrauches
gelöst Frage von OtenMotenMonitoring4 Kommentare

Hallo liebe Forum-Mitglieder, ich stehe vor einem neuen Projekt: "Monitoring des Stromverbrauches unserer IT-Geräte" Der Stromverbrauch soll über intelligente ...

Monitoring
Monitoring Lösung
gelöst Frage von msalcherMonitoring2 Kommentare

Hey :) Möchte gerne meine Serverumgebung monitoren. Welche Möglichkeiten gibt es? Was möchte ich gerne monitoren: VMWare Esxi 5.1 ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Necur-Botnet soll Erpressungstrojaner Scarab massenhaft verbreiten

Information von BassFishFox vor 2 StundenErkennung und -Abwehr

12,5 Millionen Spam-Mails aus einem Bot-Netz mit 6 Millionen Computern? Eigentlich eine schwache Leistung. Die Erpresser setzen dabei auf ...

Microsoft

Nadeldrucker-Problem unter Windows - Microsoft liefert Updates

Information von BassFishFox vor 3 StundenMicrosoft

Hat ja nicht lange gedauert. Nachdem die November-Updates für Windows 7, 8.1 und 10 zahlreiche Nadeldrucker lahmgelegt hatten, stellt ...

Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 10 StundenLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Heiß diskutierte Inhalte
Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows Server
Kann man im KMS nachschauen , wieviele Clients den Key in Anspruch genommen haben
gelöst Frage von rainergugusWindows Server12 Kommentare

Hallo, wir haben einen KMS Windows 10 Key. Dieser ist ja W7 kompatibel. Aber unser Windows 7 Pool registriert ...