Включить WMI в Windows 8

Обновлено: 18.05.2024

Для подключения к пространству имен WMI на удаленном компьютере может потребоваться изменить настройки брандмауэра Windows, контроля учетных записей (UAC), DCOM или диспетчера объектов общей информационной модели (CIMOM).

В этой теме обсуждаются следующие разделы:

Настройки брандмауэра Windows

Параметры WMI для параметров брандмауэра Windows разрешают только соединения WMI, а не другие приложения DCOM.

Исключение должно быть установлено в брандмауэре для WMI на удаленном целевом компьютере. Исключение для WMI позволяет WMI получать удаленные подключения и асинхронные обратные вызовы к Unsecapp.exe. Дополнительные сведения см. в разделе Настройка безопасности асинхронного вызова.

Если клиентское приложение создает собственный приемник, этот приемник необходимо явно добавить в исключения брандмауэра, чтобы разрешить обратные вызовы.

Исключение для WMI также работает, если WMI был запущен с фиксированным портом с помощью команды winmgmt /standalonehost. Дополнительные сведения см. в разделе Настройка фиксированного порта для WMI.

Вы можете включить или отключить трафик WMI через пользовательский интерфейс брандмауэра Windows.

Чтобы включить или отключить трафик WMI с помощью интерфейса брандмауэра

На панели управления нажмите "Безопасность", а затем нажмите "Брандмауэр Windows".
Нажмите «Изменить настройки», а затем перейдите на вкладку «Исключения».
В окне "Исключения" установите флажок "Инструментарий управления Windows" (WMI), чтобы включить трафик WMI через брандмауэр. Чтобы отключить трафик WMI, снимите флажок.

Вы можете включить или отключить трафик WMI через брандмауэр в командной строке.

Чтобы включить или отключить трафик WMI в командной строке с помощью группы правил WMI

Используйте следующие команды в командной строке. Введите следующее, чтобы включить трафик WMI через брандмауэр.

брандмауэр netsh advfirewall устанавливает правило group="инструментарий управления Windows (wmi)" new enable=yes

Введите следующую команду, чтобы отключить трафик WMI через брандмауэр.

брандмауэр netsh advfirewall устанавливает правило group="инструментарий управления Windows (wmi)" new enable=no

Вместо использования одной команды группы правил WMI вы также можете использовать отдельные команды для каждого DCOM, службы WMI и приемника.

Чтобы включить трафик WMI с помощью отдельных правил для DCOM, WMI, обратного приемника и исходящих подключений

Чтобы установить исключение брандмауэра для порта DCOM 135, используйте следующую команду.

брандмауэр netsh advfirewall добавить правило dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

Чтобы установить исключение брандмауэра для службы WMI, используйте следующую команду.

брандмауэр netsh advfirewall добавить правило dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

Чтобы установить исключение брандмауэра для приемника, который получает обратные вызовы от удаленного компьютера, используйте следующую команду.

брандмауэр netsh advfirewall добавить правило dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

Чтобы установить исключение брандмауэра для исходящих подключений к удаленному компьютеру, с которым локальный компьютер взаимодействует асинхронно, используйте следующую команду.

брандмауэр netsh advfirewall добавить правило dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Чтобы отключить исключения брандмауэра отдельно, используйте следующие команды.

Чтобы отключить трафик WMI с помощью отдельных правил для DCOM, WMI, обратного приемника и исходящих подключений

Чтобы отключить исключение DCOM.

брандмауэр netsh advfirewall удалить правило name="DCOM"

Чтобы отключить исключение службы WMI.

брандмауэр netsh advfirewall удалить правило name="WMI"

Чтобы отключить исключение приемника.

брандмауэр netsh advfirewall удалить правило name="UnsecApp"

Чтобы отключить исходящее исключение.

брандмауэр netsh advfirewall удалить правило name="WMI_OUT"

Настройки контроля учетных записей пользователей

Фильтрация токена доступа контроля учетных записей (UAC) может повлиять на то, какие операции разрешены в пространствах имен WMI или какие данные возвращаются. В рамках UAC все учетные записи в локальной группе администраторов работают со стандартным пользовательским токеном доступа, также известным как фильтрация токена доступа UAC. Учетная запись администратора может запускать скрипт с повышенными правами — «Запуск от имени администратора».

Если вы не подключаетесь к встроенной учетной записи администратора, UAC по-разному влияет на подключения к удаленному компьютеру в зависимости от того, входят ли два компьютера в домен или в рабочую группу. Дополнительные сведения о UAC и удаленных подключениях см. в разделе Контроль учетных записей пользователей и WMI.

Настройки DCOM

Дополнительную информацию о настройках DCOM см. в разделе Защита удаленного подключения WMI. Однако UAC влияет на подключения для учетных записей пользователей, не входящих в домен.Если вы подключаетесь к удаленному компьютеру с помощью учетной записи пользователя, не являющейся членом домена, включенной в локальную группу администраторов удаленного компьютера, вы должны явно предоставить удаленный доступ к DCOM, активацию и запуск этой учетной записи.

Настройки CIMOM

Параметры CIMOM необходимо обновить, если удаленное подключение осуществляется между компьютерами, между которыми нет доверительных отношений; в противном случае произойдет сбой асинхронного соединения. Этот параметр не следует изменять для компьютеров в том же домене или в доверенных доменах.

Чтобы разрешить анонимные обратные вызовы, необходимо изменить следующую запись реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

Если для параметра AllowAnonymousCallback установлено значение 0, служба WMI запрещает анонимные обратные вызовы клиенту. Если установлено значение 1, служба WMI разрешает анонимные обратные вызовы клиенту.

Инструментарий управления Windows (WMI) — ключевой компонент операционной системы Windows 8. Он используется для сбора системной статистики, мониторинга состояния системы и управления системными компонентами.

Он используется такими инструментами управления, как Windows Systems Management Server; он, вероятно, ничего не отобразит на вашем компьютере с Windows 8, когда вы нажмете элемент управления WMI в консоли управления компьютером. Эта служба должна быть запущена и правильно настроена, и к ней можно получить доступ в локальной или удаленной системе, работающей под управлением операционных систем Microsoft Windows.

<р>1. Щелкните правой кнопкой мыши значок компьютера и выберите Управление.

<р>2. В разделе «Управление компьютером» дважды щелкните Службы и приложения. Затем щелкните WMI Control, чтобы выбрать его. Щелкните правой кнопкой мыши элемент управления WMI и выберите пункт Свойства. Теперь вы можете использовать диалоговое окно «Свойства элемента управления WMI» для настройки WMI.

<р>3. В свойствах элемента управления WMI

Общие элементы

На этой вкладке укажите сводную информацию о системе и WMI. WMI использует учетные данные текущего пользователя для получения системной информации.

Резервное копирование/восстановление

Статистика резервного копирования/восстановления, собранная WMI, хранится в репозитории. По умолчанию этот репозиторий находится в %SystemRoot%\System32\Wbem\Repository. Эта статистика автоматически резервируется через регулярные промежутки времени.

Безопасность

Параметры безопасности определяют, кто имеет доступ к разным уровням статистики WMI. По умолчанию группа «Администраторы» имеет полный доступ к WMI, а группа «Прошедшие проверку» имеет разрешения на выполнение методов, включение учетных записей и запись собранной статистики.

Дополнительно

Дополнительные параметры определяют пространство имен по умолчанию для WMI. Пространство имен по умолчанию используется в сценариях WMI, если для объекта WMI не задан полный путь к пространству имен. Вы можете изменить настройку по умолчанию, нажав кнопку «Изменить», выбрав новое пространство имен по умолчанию и нажав кнопку «ОК».

Ранее, в октябре 2015 г., я написал статью об ошибках удаленного подключения, возникающих при использовании WMI Explorer на удаленном компьютере под управлением Windows 8. Это решение не применимо к компьютерам с другими версиями Windows.

Подводя итог, нужно внести три изменения в WMI Explorer для подключения к удаленному компьютеру с Windows 8.

Разрешить удаленное администрирование через брандмауэр Windows
Предоставьте пользователю необходимый удаленный доступ к системе безопасности COM
Предоставьте пользователю необходимый удаленный доступ к корневому пространству имен и вложенным пространствам имен WMI.

Для тех, кто столкнулся с этой проблемой, но не имеет времени выполнить все шаги, я создал скрипт для ее решения.

Чтобы использовать сценарий, запустите его локально на удаленном компьютере в сеансе с повышенными правами (запуск от имени администратора). Этот скрипт не предназначен для удаленного запуска, например, с помощью Invoke-Command. Поскольку он предоставляет разрешение текущему пользователю, убедитесь, что сценарий выполняется в учетной записи пользователя, запустившего WMI Explorer.

Чтобы следить за ходом выполнения скрипта, используйте его параметр Verbose.

Поискав замену PowerShell брандмауэру netsh, я нашел то, что мне было нужно, но была только одна проблема. При выполнении фактической команды:

Он выдал исключение ObjectNotFound, сообщающее об отсутствии правил с DisplayGroup, равным «Удаленное администрирование».

Узнайте, что правил брандмауэра не существует, пока вы не запустите:

В связи с этим я решил, что в своем сценарии я буду использовать брандмауэр netsh, а не Set-NetFirewallRule, чтобы не создавать каждое правило по отдельности и убедиться, что они настроены правильно.

Следующее — разрешения безопасности COM. Необходимо убедиться, что текущий пользователь имеет права удаленного доступа. В своем исходном сообщении я удостоверился, что у всех есть удаленный доступ, потому что это работает, и безопасность не является проблемой для виртуальной машины.

Вместо этого я поспрашивал и узнал, что могу назначить текущего пользователя в группу пользователей Distributed COM, которая по умолчанию имеет разрешения на удаленный доступ. Чтобы добавить пользователя в группу, я нашел сообщение от Scripting Guys, описывающее, как это сделать в PowerShell. Большая разница между их сообщением и моим скриптом заключалась в добавлении переменных $User и $Computer для представления текущего имени пользователя и имени компьютера.

Последним шагом было назначение прав удаленного доступа группе «Прошедшие проверку», чтобы они могли получить доступ к корневому пространству имен и подпространствам имен. Когда дело доходит до выполнения этого в сценарии, я многим обязан Карлу Митшке и его публикации «Создание сценария удаленного доступа к DCOM/WMI для пользователей, не являющихся администраторами».

Конечно, было немало вещей, которые нужно было удалить, так как они нам просто не нужны, например, переменная $computers, цикл foreach и переменные, связанные с разрешениями DCOM. В его сценарии переменная $SDDL определяет, какие разрешения установлены, и в настоящее время она настроена на предоставление удаленного доступа к указанному пространству имен, но не к подпространствам имен. Добавляя КИ; к строке он становится $SDDL = «A;CI;CCWP;;;$SID», и теперь он также предоставляет разрешения для подпространств имен.

Если у вас есть вопросы о наших продуктах, задайте их на нашем форуме поддержки.
Для клиентов с лицензией используйте форум, связанный с вашим продуктом, на наших форумах поддержки продуктов для зарегистрированных клиентов.
Для пользователей пробных версий, пожалуйста, оставьте сообщение на нашем форуме "Бывшие и будущие клиенты - вопросы".

WMI устанавливается на все современные операционные системы Microsoft (Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows Server 2003/2008/2012/2016, Windows 8/8.1 и Windows 10). На этой странице будет описано, как включить удаленный доступ к WMI. Следующие шаги займут всего одну-две минуты вашего времени.

Обычно этот параметр — все, что нужно изменить, чтобы WMI заработал (шаги 2 и 3 обычно не требуются, но могут потребоваться в некоторых случаях).

На целевом сервере перейдите в «Администрирование» -> «Управление компьютером».
Развернуть службы и приложения.
Щелкните правой кнопкой мыши Свойства в элементе управления WMI.

Выберите вкладку "Безопасность" и нажмите кнопку "Безопасность":

Добавьте пользователя мониторинга (при необходимости), а затем обязательно установите флажок Удаленное включение для пользователя/группы, которые будут запрашивать данные WMI.

В этот момент вернитесь и посмотрите, решит ли это проблему. Повторное создание отчетов может занять несколько минут.

Все пользователи (включая неадминистраторов) могут запрашивать/считывать данные WMI на локальном компьютере.

Для чтения данных WMI на удаленном сервере необходимо установить соединение с управляющего компьютера (на котором установлено наше программное обеспечение для мониторинга) с сервером, который вы отслеживаете (целевым сервером). Если на целевом сервере работает брандмауэр Windows (также известный как брандмауэр подключения к Интернету), подобный тому, который поставляется с Windows XP и Windows 2003 (и выше), вам нужно указать ему разрешить удаленные запросы WMI. Это можно сделать только в командной строке. Запустите на целевом компьютере следующее, если на нем работает брандмауэр Windows:

Если учетная запись, которую вы используете для наблюдения за целевым сервером, НЕ является администратором на целевом сервере, вам необходимо разрешить пользователю, не являющемуся администратором, взаимодействовать с DCOM, выполнив простые действия, перечисленные ниже. Следуйте инструкциям для:

Чтобы предоставить пользователю или группе разрешения на удаленный запуск и активацию DCOM.
Чтобы предоставить разрешения на удаленный доступ DCOM.

Чтобы предоставить пользователю или группе разрешения на удаленный запуск и активацию DCOM:

Нажмите «Пуск», выберите «Выполнить», введите DCOMCNFG и нажмите «ОК».
В диалоговом окне "Службы компонентов" разверните "Службы компонентов", "Компьютеры", затем щелкните правой кнопкой мыши "Мой компьютер" и выберите "Свойства".
В диалоговом окне "Свойства: Мой компьютер" перейдите на вкладку "Безопасность COM".
В разделе "Разрешения на запуск и активацию" нажмите "Изменить ограничения".

В диалоговом окне "Разрешение на запуск" выполните следующие действия, если ваше имя или ваша группа не отображаются в списке "Группы или имена пользователей":

В диалоговом окне "Разрешение на запуск" нажмите "Добавить".
В диалоговом окне "Выбор пользователей, компьютеров или групп" добавьте свое имя и группу в поле "Введите имена объектов для выбора", а затем нажмите "ОК".
В диалоговом окне «Разрешение на запуск» выберите своего пользователя и группу в поле «Группа или имена пользователей». В столбце "Разрешить" в разделе "Разрешения для пользователя" выберите "Удаленный запуск" и выберите "Удаленная активация", а затем нажмите "ОК".

Следующая процедура описывает, как предоставить разрешения на удаленный доступ DCOM для определенных пользователей и групп. Если компьютер A удаленно подключается к компьютеру B, вы можете установить эти разрешения на компьютере B, чтобы разрешить пользователю или группе, не входящей в группу администраторов на компьютере B, подключаться к компьютеру B.

Чтобы предоставить разрешения на удаленный доступ DCOM:

Нажмите «Пуск», выберите «Выполнить», введите DCOMCNFG и нажмите «ОК».
В диалоговом окне "Службы компонентов" разверните "Службы компонентов", "Компьютеры", затем щелкните правой кнопкой мыши "Мой компьютер" и выберите "Свойства".
В диалоговом окне "Свойства: Мой компьютер" перейдите на вкладку "Безопасность COM".
В разделе "Разрешения на доступ" нажмите "Изменить ограничения".
В диалоговом окне «Разрешение на доступ» выберите имя «АНОНИМНЫЙ ВХОД» в поле «Имена групп или пользователей». В столбце Разрешить в разделе Разрешения для пользователя выберите Удаленный доступ и нажмите кнопку ОК.

Читайте также: