Включить WMI в Windows 8
Обновлено: 21.11.2024
Для подключения к пространству имен WMI на удаленном компьютере может потребоваться изменить настройки брандмауэра Windows, контроля учетных записей (UAC), DCOM или диспетчера объектов общей информационной модели (CIMOM).
В этой теме обсуждаются следующие разделы:
Настройки брандмауэра Windows
Параметры WMI для параметров брандмауэра Windows разрешают только соединения WMI, а не другие приложения DCOM.
Исключение должно быть установлено в брандмауэре для WMI на удаленном целевом компьютере. Исключение для WMI позволяет WMI получать удаленные подключения и асинхронные обратные вызовы к Unsecapp.exe. Дополнительные сведения см. в разделе Настройка безопасности асинхронного вызова.
Если клиентское приложение создает собственный приемник, этот приемник необходимо явно добавить в исключения брандмауэра, чтобы разрешить обратные вызовы.
Исключение для WMI также работает, если WMI был запущен с фиксированным портом с помощью команды winmgmt /standalonehost. Дополнительные сведения см. в разделе Настройка фиксированного порта для WMI.
Вы можете включить или отключить трафик WMI через пользовательский интерфейс брандмауэра Windows.
Чтобы включить или отключить трафик WMI с помощью интерфейса брандмауэра
- На панели управления нажмите "Безопасность", а затем нажмите "Брандмауэр Windows".
- Нажмите «Изменить настройки», а затем перейдите на вкладку «Исключения».
- В окне "Исключения" установите флажок "Инструментарий управления Windows" (WMI), чтобы включить трафик WMI через брандмауэр. Чтобы отключить трафик WMI, снимите флажок.
Вы можете включить или отключить трафик WMI через брандмауэр в командной строке.
Чтобы включить или отключить трафик WMI в командной строке с помощью группы правил WMI
Используйте следующие команды в командной строке. Введите следующее, чтобы включить трафик WMI через брандмауэр.
брандмауэр netsh advfirewall устанавливает правило group="инструментарий управления Windows (wmi)" new enable=yes
Введите следующую команду, чтобы отключить трафик WMI через брандмауэр.
брандмауэр netsh advfirewall устанавливает правило group="инструментарий управления Windows (wmi)" new enable=no
Вместо использования одной команды группы правил WMI вы также можете использовать отдельные команды для каждого DCOM, службы WMI и приемника.
Чтобы включить трафик WMI с помощью отдельных правил для DCOM, WMI, обратного приемника и исходящих подключений
Чтобы установить исключение брандмауэра для порта DCOM 135, используйте следующую команду.
брандмауэр netsh advfirewall добавить правило dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135
Чтобы установить исключение брандмауэра для службы WMI, используйте следующую команду.
брандмауэр netsh advfirewall добавить правило dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any
Чтобы установить исключение брандмауэра для приемника, который получает обратные вызовы от удаленного компьютера, используйте следующую команду.
брандмауэр netsh advfirewall добавить правило dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow
Чтобы установить исключение брандмауэра для исходящих подключений к удаленному компьютеру, с которым локальный компьютер взаимодействует асинхронно, используйте следующую команду.
брандмауэр netsh advfirewall добавить правило dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any
Чтобы отключить исключения брандмауэра отдельно, используйте следующие команды.
Чтобы отключить трафик WMI с помощью отдельных правил для DCOM, WMI, обратного приемника и исходящих подключений
Чтобы отключить исключение DCOM.
брандмауэр netsh advfirewall удалить правило name="DCOM"
Чтобы отключить исключение службы WMI.
брандмауэр netsh advfirewall удалить правило name="WMI"
Чтобы отключить исключение приемника.
брандмауэр netsh advfirewall удалить правило name="UnsecApp"
Чтобы отключить исходящее исключение.
брандмауэр netsh advfirewall удалить правило name="WMI_OUT"
Настройки контроля учетных записей пользователей
Фильтрация токена доступа контроля учетных записей (UAC) может повлиять на то, какие операции разрешены в пространствах имен WMI или какие данные возвращаются. В рамках UAC все учетные записи в локальной группе администраторов работают со стандартным пользовательским токеном доступа, также известным как фильтрация токена доступа UAC. Учетная запись администратора может запускать скрипт с повышенными правами — «Запуск от имени администратора».
Если вы не подключаетесь к встроенной учетной записи администратора, UAC по-разному влияет на подключения к удаленному компьютеру в зависимости от того, входят ли два компьютера в домен или в рабочую группу. Дополнительные сведения о UAC и удаленных подключениях см. в разделе Контроль учетных записей пользователей и WMI.
Настройки DCOM
Дополнительную информацию о настройках DCOM см. в разделе Защита удаленного подключения WMI. Однако UAC влияет на подключения для учетных записей пользователей, не входящих в домен.Если вы подключаетесь к удаленному компьютеру с помощью учетной записи пользователя, не являющейся членом домена, включенной в локальную группу администраторов удаленного компьютера, вы должны явно предоставить удаленный доступ к DCOM, активацию и запуск этой учетной записи.
Настройки CIMOM
Параметры CIMOM необходимо обновить, если удаленное подключение осуществляется между компьютерами, между которыми нет доверительных отношений; в противном случае произойдет сбой асинхронного соединения. Этот параметр не следует изменять для компьютеров в том же домене или в доверенных доменах.
Чтобы разрешить анонимные обратные вызовы, необходимо изменить следующую запись реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback
Если для параметра AllowAnonymousCallback установлено значение 0, служба WMI запрещает анонимные обратные вызовы клиенту. Если установлено значение 1, служба WMI разрешает анонимные обратные вызовы клиенту.
Инструментарий управления Windows (WMI) — ключевой компонент операционной системы Windows 8. Он используется для сбора системной статистики, мониторинга состояния системы и управления системными компонентами.
Он используется такими инструментами управления, как Windows Systems Management Server; он, вероятно, ничего не отобразит на вашем компьютере с Windows 8, когда вы нажмете элемент управления WMI в консоли управления компьютером. Эта служба должна быть запущена и правильно настроена, и к ней можно получить доступ в локальной или удаленной системе, работающей под управлением операционных систем Microsoft Windows.
<р>1. Щелкните правой кнопкой мыши значок компьютера и выберите Управление.<р>2. В разделе «Управление компьютером» дважды щелкните Службы и приложения. Затем щелкните WMI Control, чтобы выбрать его. Щелкните правой кнопкой мыши элемент управления WMI и выберите пункт Свойства. Теперь вы можете использовать диалоговое окно «Свойства элемента управления WMI» для настройки WMI.
<р>3. В свойствах элемента управления WMI
Общие элементы
На этой вкладке укажите сводную информацию о системе и WMI. WMI использует учетные данные текущего пользователя для получения системной информации.
Резервное копирование/восстановление
Статистика резервного копирования/восстановления, собранная WMI, хранится в репозитории. По умолчанию этот репозиторий находится в %SystemRoot%\System32\Wbem\Repository. Эта статистика автоматически резервируется через регулярные промежутки времени.
Безопасность
Параметры безопасности определяют, кто имеет доступ к разным уровням статистики WMI. По умолчанию группа «Администраторы» имеет полный доступ к WMI, а группа «Прошедшие проверку» имеет разрешения на выполнение методов, включение учетных записей и запись собранной статистики.
Дополнительно
Дополнительные параметры определяют пространство имен по умолчанию для WMI. Пространство имен по умолчанию используется в сценариях WMI, если для объекта WMI не задан полный путь к пространству имен. Вы можете изменить настройку по умолчанию, нажав кнопку «Изменить», выбрав новое пространство имен по умолчанию и нажав кнопку «ОК».
Ранее, в октябре 2015 г., я написал статью об ошибках удаленного подключения, возникающих при использовании WMI Explorer на удаленном компьютере под управлением Windows 8. Это решение не применимо к компьютерам с другими версиями Windows.
Подводя итог, нужно внести три изменения в WMI Explorer для подключения к удаленному компьютеру с Windows 8.
- Разрешить удаленное администрирование через брандмауэр Windows
- Предоставьте пользователю необходимый удаленный доступ к системе безопасности COM
- Предоставьте пользователю необходимый удаленный доступ к корневому пространству имен и вложенным пространствам имен WMI.
Для тех, кто столкнулся с этой проблемой, но не имеет времени выполнить все шаги, я создал скрипт для ее решения.
Чтобы использовать сценарий, запустите его локально на удаленном компьютере в сеансе с повышенными правами (запуск от имени администратора). Этот скрипт не предназначен для удаленного запуска, например, с помощью Invoke-Command. Поскольку он предоставляет разрешение текущему пользователю, убедитесь, что сценарий выполняется в учетной записи пользователя, запустившего WMI Explorer.
Чтобы следить за ходом выполнения скрипта, используйте его параметр Verbose.
Поискав замену PowerShell брандмауэру netsh, я нашел то, что мне было нужно, но была только одна проблема. При выполнении фактической команды:
Он выдал исключение ObjectNotFound, сообщающее об отсутствии правил с DisplayGroup, равным «Удаленное администрирование».
Узнайте, что правил брандмауэра не существует, пока вы не запустите:
В связи с этим я решил, что в своем сценарии я буду использовать брандмауэр netsh, а не Set-NetFirewallRule, чтобы не создавать каждое правило по отдельности и убедиться, что они настроены правильно.
Следующее — разрешения безопасности COM. Необходимо убедиться, что текущий пользователь имеет права удаленного доступа. В своем исходном сообщении я удостоверился, что у всех есть удаленный доступ, потому что это работает, и безопасность не является проблемой для виртуальной машины.
Вместо этого я поспрашивал и узнал, что могу назначить текущего пользователя в группу пользователей Distributed COM, которая по умолчанию имеет разрешения на удаленный доступ. Чтобы добавить пользователя в группу, я нашел сообщение от Scripting Guys, описывающее, как это сделать в PowerShell. Большая разница между их сообщением и моим скриптом заключалась в добавлении переменных $User и $Computer для представления текущего имени пользователя и имени компьютера.
Последним шагом было назначение прав удаленного доступа группе «Прошедшие проверку», чтобы они могли получить доступ к корневому пространству имен и подпространствам имен. Когда дело доходит до выполнения этого в сценарии, я многим обязан Карлу Митшке и его публикации «Создание сценария удаленного доступа к DCOM/WMI для пользователей, не являющихся администраторами».
Конечно, было немало вещей, которые нужно было удалить, так как они нам просто не нужны, например, переменная $computers, цикл foreach и переменные, связанные с разрешениями DCOM. В его сценарии переменная $SDDL определяет, какие разрешения установлены, и в настоящее время она настроена на предоставление удаленного доступа к указанному пространству имен, но не к подпространствам имен. Добавляя КИ; к строке он становится $SDDL = «A;CI;CCWP;;;$SID», и теперь он также предоставляет разрешения для подпространств имен.
Если у вас есть вопросы о наших продуктах, задайте их на нашем форуме поддержки.
Для клиентов с лицензией используйте форум, связанный с вашим продуктом, на наших форумах поддержки продуктов для зарегистрированных клиентов.
Для пользователей пробных версий, пожалуйста, оставьте сообщение на нашем форуме "Бывшие и будущие клиенты - вопросы".
WMI устанавливается на все современные операционные системы Microsoft (Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows Server 2003/2008/2012/2016, Windows 8/8.1 и Windows 10). На этой странице будет описано, как включить удаленный доступ к WMI. Следующие шаги займут всего одну-две минуты вашего времени.
Обычно этот параметр — все, что нужно изменить, чтобы WMI заработал (шаги 2 и 3 обычно не требуются, но могут потребоваться в некоторых случаях).
- На целевом сервере перейдите в «Администрирование» -> «Управление компьютером».
- Развернуть службы и приложения.
- Щелкните правой кнопкой мыши Свойства в элементе управления WMI.
Выберите вкладку "Безопасность" и нажмите кнопку "Безопасность":
Добавьте пользователя мониторинга (при необходимости), а затем обязательно установите флажок Удаленное включение для пользователя/группы, которые будут запрашивать данные WMI.
В этот момент вернитесь и посмотрите, решит ли это проблему. Повторное создание отчетов может занять несколько минут.
Все пользователи (включая неадминистраторов) могут запрашивать/считывать данные WMI на локальном компьютере.
Для чтения данных WMI на удаленном сервере необходимо установить соединение с управляющего компьютера (на котором установлено наше программное обеспечение для мониторинга) с сервером, который вы отслеживаете (целевым сервером). Если на целевом сервере работает брандмауэр Windows (также известный как брандмауэр подключения к Интернету), подобный тому, который поставляется с Windows XP и Windows 2003 (и выше), вам нужно указать ему разрешить удаленные запросы WMI. Это можно сделать только в командной строке. Запустите на целевом компьютере следующее, если на нем работает брандмауэр Windows:
Если учетная запись, которую вы используете для наблюдения за целевым сервером, НЕ является администратором на целевом сервере, вам необходимо разрешить пользователю, не являющемуся администратором, взаимодействовать с DCOM, выполнив простые действия, перечисленные ниже. Следуйте инструкциям для:
- Чтобы предоставить пользователю или группе разрешения на удаленный запуск и активацию DCOM.
- Чтобы предоставить разрешения на удаленный доступ DCOM.
Чтобы предоставить пользователю или группе разрешения на удаленный запуск и активацию DCOM:
- Нажмите «Пуск», выберите «Выполнить», введите DCOMCNFG и нажмите «ОК».
- В диалоговом окне "Службы компонентов" разверните "Службы компонентов", "Компьютеры", затем щелкните правой кнопкой мыши "Мой компьютер" и выберите "Свойства".
- В диалоговом окне "Свойства: Мой компьютер" перейдите на вкладку "Безопасность COM".
- В разделе "Разрешения на запуск и активацию" нажмите "Изменить ограничения".
В диалоговом окне "Разрешение на запуск" выполните следующие действия, если ваше имя или ваша группа не отображаются в списке "Группы или имена пользователей":
- В диалоговом окне "Разрешение на запуск" нажмите "Добавить".
- В диалоговом окне "Выбор пользователей, компьютеров или групп" добавьте свое имя и группу в поле "Введите имена объектов для выбора", а затем нажмите "ОК".
- В диалоговом окне «Разрешение на запуск» выберите своего пользователя и группу в поле «Группа или имена пользователей». В столбце "Разрешить" в разделе "Разрешения для пользователя" выберите "Удаленный запуск" и выберите "Удаленная активация", а затем нажмите "ОК".
Следующая процедура описывает, как предоставить разрешения на удаленный доступ DCOM для определенных пользователей и групп. Если компьютер A удаленно подключается к компьютеру B, вы можете установить эти разрешения на компьютере B, чтобы разрешить пользователю или группе, не входящей в группу администраторов на компьютере B, подключаться к компьютеру B.
Чтобы предоставить разрешения на удаленный доступ DCOM:
Нажмите «Пуск», выберите «Выполнить», введите DCOMCNFG и нажмите «ОК».
В диалоговом окне "Службы компонентов" разверните "Службы компонентов", "Компьютеры", затем щелкните правой кнопкой мыши "Мой компьютер" и выберите "Свойства".
В диалоговом окне "Свойства: Мой компьютер" перейдите на вкладку "Безопасность COM".
В разделе "Разрешения на доступ" нажмите "Изменить ограничения".
В диалоговом окне «Разрешение на доступ» выберите имя «АНОНИМНЫЙ ВХОД» в поле «Имена групп или пользователей». В столбце Разрешить в разделе Разрешения для пользователя выберите Удаленный доступ и нажмите кнопку ОК.
Читайте также:
- Как установить геопанду в Windows 10
- Поддержка Windows Server 2008 R2, когда она закончится
- Автоматическая очистка временных файлов при выходе из Windows 7
- Служба журнала событий недоступна. Убедитесь, что служба работает под управлением Windows 10
- Как бесплатно установить Office 2019 без регистрации для Windows 10