Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Monitoring via WMI ohne Adminberechtigung. (Wie) Ist das möglich?

Frage Netzwerke Netzwerkmanagement

Mitglied: Chaotica

Chaotica (Level 1) - Jetzt verbinden

16.02.2012 um 17:21 Uhr, 2841 Aufrufe, 2 Kommentare

Hallo zusammen!
Mal wieder ein Neuling der Hilfe von erfahrenen Experten benötigt.

Wir setzen demnächst OpManger 9.0 für das Monitoring aller Server und einiger Netzwerkkomponenten ein.
U.a. aus Sicherheitsgründen verwenden wir hierfür nicht SNMP sondern WMI.

Nach Rücksprache mit dem OpManager Support habe ich erfahren, dass wir für das Monitoring unserer Infrastruktur (div. DCs, Applikationsserver, etc.) einen Account mit lokalen- bzw. Domänenadminrechten benötigen.

Bei meine Recherche nach Alternativen bin ich über folgenden Ansatz gestolpert:
"...
  1. Add the user(s) in question to the Performance Monitor Users group
  2. Under Services and Applications, bring up the properties dialog of WMI Control. In the Security tab, highlight Root/CIMV2, click Security; add Performance Monitor Users and enable the options : Enable Account and Remote Enable
  3. Run dcomcnfg. At Component Services > Computers > My Computer, in the COM security tab of the Properties dialog click "Edit Limits" for both Access Permissions and Launch and Activation Permissions. Add Performance Monitor Users and allow remote access, remote launch, and remote activation
  4. Select Windows Management Instrumentation under Component Services > Computers > My Computer > DCOM Config and give Remote Launch and Remote Activation privileges to Performance Users Group
..."

Quelle: http://msdn.microsoft.com/en-us/library/aa393266.aspx

Ein Test hat gezeigt, dass es funktioniert.
Leider kann ich nichts über die Gefährdung des Systems durch diesen Schritt in Erfahrung bringen. Mir ist ehrlich gesagt nicht mal klar was die Änderungen bewirken.

Jetzt meine Fragen:
  1. Benötigt man zwingend einen lokalen- oder Domänenadmin für das Monitoting via WMI, oder geht das auch anders?
  2. Ist der beschriebene Workaround eine sinnvolle/sichere Alternative?

Ich hoffe für meinen ersten Beitrag sind meine Fragen nicht zu trivial.
Schon mal vielen Dank für die Antworten!
Mitglied: 60730
17.02.2012 um 08:28 Uhr
Moin,

Ganz einfach...

Es gibt eine granulare rechteverteilung in windows.
Ein admin darf vieles, ein domainadmin alles machen.

Du willst aber.nur wmi ueberwachen, abfragen, da brauchst du keine grosse kelle, da reicht es den oberen weg zu nehmen.

Du machst ja auch keinen zum domainadmin, wenn der einzelne druckjobs von anderen benutzern loeschen koennen sollen darf.

Gruss
Bitte warten ..
Mitglied: Chaotica
17.02.2012 um 10:31 Uhr
Moin Moin,

Danke für den Hinweis.
Berechtige ich mit dem o.g. Vorgang nur den entsprechenden Benutzer/Gruppe für die wmi Überwachung, oder öffne ich damit eine größere Sicherheitslücke?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Visual Studio
Schwellwert Monitoring für DotNet Memory Management Global

Frage von xXEddiXx zum Thema Visual Studio ...

Festplatten, SSD, Raid
Performancesteigerung des RAID Arrays möglich? (13)

Frage von takvorian zum Thema Festplatten, SSD, Raid ...

Monitoring
System Monitoring für Windows, Linux (5)

Frage von manuelw zum Thema Monitoring ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...