Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Monitoring via WMI ohne Adminberechtigung. (Wie) Ist das möglich?

Frage Netzwerke Netzwerkmanagement

Mitglied: Chaotica

Chaotica (Level 1) - Jetzt verbinden

16.02.2012 um 17:21 Uhr, 2859 Aufrufe, 2 Kommentare

Hallo zusammen!
Mal wieder ein Neuling der Hilfe von erfahrenen Experten benötigt.

Wir setzen demnächst OpManger 9.0 für das Monitoring aller Server und einiger Netzwerkkomponenten ein.
U.a. aus Sicherheitsgründen verwenden wir hierfür nicht SNMP sondern WMI.

Nach Rücksprache mit dem OpManager Support habe ich erfahren, dass wir für das Monitoring unserer Infrastruktur (div. DCs, Applikationsserver, etc.) einen Account mit lokalen- bzw. Domänenadminrechten benötigen.

Bei meine Recherche nach Alternativen bin ich über folgenden Ansatz gestolpert:
"...
  1. Add the user(s) in question to the Performance Monitor Users group
  2. Under Services and Applications, bring up the properties dialog of WMI Control. In the Security tab, highlight Root/CIMV2, click Security; add Performance Monitor Users and enable the options : Enable Account and Remote Enable
  3. Run dcomcnfg. At Component Services > Computers > My Computer, in the COM security tab of the Properties dialog click "Edit Limits" for both Access Permissions and Launch and Activation Permissions. Add Performance Monitor Users and allow remote access, remote launch, and remote activation
  4. Select Windows Management Instrumentation under Component Services > Computers > My Computer > DCOM Config and give Remote Launch and Remote Activation privileges to Performance Users Group
..."

Quelle: http://msdn.microsoft.com/en-us/library/aa393266.aspx

Ein Test hat gezeigt, dass es funktioniert.
Leider kann ich nichts über die Gefährdung des Systems durch diesen Schritt in Erfahrung bringen. Mir ist ehrlich gesagt nicht mal klar was die Änderungen bewirken.

Jetzt meine Fragen:
  1. Benötigt man zwingend einen lokalen- oder Domänenadmin für das Monitoting via WMI, oder geht das auch anders?
  2. Ist der beschriebene Workaround eine sinnvolle/sichere Alternative?

Ich hoffe für meinen ersten Beitrag sind meine Fragen nicht zu trivial.
Schon mal vielen Dank für die Antworten!
Mitglied: 60730
17.02.2012 um 08:28 Uhr
Moin,

Ganz einfach...

Es gibt eine granulare rechteverteilung in windows.
Ein admin darf vieles, ein domainadmin alles machen.

Du willst aber.nur wmi ueberwachen, abfragen, da brauchst du keine grosse kelle, da reicht es den oberen weg zu nehmen.

Du machst ja auch keinen zum domainadmin, wenn der einzelne druckjobs von anderen benutzern loeschen koennen sollen darf.

Gruss
Bitte warten ..
Mitglied: Chaotica
17.02.2012 um 10:31 Uhr
Moin Moin,

Danke für den Hinweis.
Berechtige ich mit dem o.g. Vorgang nur den entsprechenden Benutzer/Gruppe für die wmi Überwachung, oder öffne ich damit eine größere Sicherheitslücke?
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst WMI-Filter Syntax (10)

Frage von DasWombat1993 zum Thema Windows Server ...

Monitoring
gelöst Monitoring des Stromverbrauches (4)

Frage von OtenMoten zum Thema Monitoring ...

Batch & Shell
gelöst Powershell - WMI Return Codes unterdrücken, WIE? (3)

Frage von instinctless zum Thema Batch & Shell ...

Neue Wissensbeiträge
Sicherheit

Millionen Euro in den Sand gesetzt?

Information von transocean zum Thema Sicherheit ...

Sicherheit

How I hacked hundreds of companies through their helpdesk

Information von SeaStorm zum Thema Sicherheit ...

Erkennung und -Abwehr

Ccleaner-Angriff war nur auf große Unternehmen gemünzt

(10)

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Humor (lol)
gelöst Freidach Beitrag (40)

Frage von Penny.Cilin zum Thema Humor (lol) ...

Windows 7
gelöst SSD - Win7 Lags (20)

Frage von ph5555 zum Thema Windows 7 ...

Firewall
gelöst Firewall Firmeneimsatz (19)

Frage von wiesi200 zum Thema Firewall ...