lcer00
Goto Top

WinRM und Gruppe WinRMRemoteWMIUsers

Hallo zusammen,

laut Microsoft: https://docs.microsoft.com/en-us/windows/win32/winrm/authentication-for- ... wird die Gruppe WinRMRemoteWMIUsers__ beim Setup (welches Setup ?) erstellt:

During setup, WinRM creates the local group WinRMRemoteWMIUsers__. WinRM then restricts remote access to any user that is not a member of either the local administration group or the WinRMRemoteWMIUsers__ group.

Dazu habe ich 2 Fragen:

Ich habe einige Server, auf denen diese Gruppe nicht existiert. Welches Setup mag Microsoft gemeint haben? winrm -qc ?

Auf den Servern, auf denen die Gruppe nicht existiert, schlagen die WMI-Abfragen fehl. Diese werden über einen extra dafür erstellten Benutzer ausgeführt - also nicht der lokale Administrator. Erstellt man die Gruppe und fügt den User hinzu, funktionieren die WMI-Abfragen. Ich hätte gedacht, das das then (WinRM then restricts remote access ...) bedeutet, dass ohne diese Gruppe nichts beschränkt ist.

Kann da jemand Licht ins Dunkel bringen. Im Internet findet man auch viele WMI-Anleitungen, in denen die Gruppe WinRMRemoteWMIUsers__ nicht erwähnt wird...

Grüße

lcer

Content-ID: 3913908961

Url: https://administrator.de/forum/winrm-und-gruppe-winrmremotewmiusers-3913908961.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

Dani
Dani 12.09.2022 um 11:34:34 Uhr
Goto Top
Moin,
Ich habe einige Server, auf denen diese Gruppe nicht existiert.
Um welche(s) Betriebsysstem(e) handelt es sich? Sind die Server in einer Domäne?


Gruß,
Dani
lcer00
lcer00 12.09.2022 um 11:56:43 Uhr
Goto Top
Hallo,
Zitat von @Dani:

Moin,
Ich habe einige Server, auf denen diese Gruppe nicht existiert.
Um welche(s) Betriebsysstem(e) handelt es sich? Sind die Server in einer Domäne?


Gruß,
Dani
Domäne, 2016-Gesamtstrukturfunktionsebene, DC sind 2019, die betroffenen Server 2012R2.

Ich kann das nur auf einigen Servern nachvollziehen, da ich für etliche OUs die Gruppe per GPP erstellt hatte, da ich dort schon mal WMI-Probleme hatte.

Grüße

lcer
Dani
Dani 12.09.2022 um 12:06:47 Uhr
Goto Top
Moin,
die betroffenen Server 2012R2.
Bingo. Die Built-In Gruppe wird meines Wissens nicht durch Windows Server sondern durch das WMF erstellt. Es gab früher Konstellationen die dazu geführt haben, dass die genannten Gruppe nicht erstellt worden ist. Das ist inzwischen gelöst. Einfach einmal manuell über PowerShell anlegen lassen und evtl. die Gruppenmitglieder nachziehen.

Ich kann das nur auf einigen Servern nachvollziehen, da ich für etliche OUs die Gruppe per GPP erstellt hatte,
Was macht die GPP, die Gruppe erstellen?!


Gruß,
Dani
lcer00
lcer00 12.09.2022 um 12:24:33 Uhr
Goto Top
Zitat von @Dani:

Moin,
die betroffenen Server 2012R2.
Bingo. Die Built-In Gruppe wird meines Wissens nicht durch Windows Server sondern durch das WMF erstellt. Es gab früher Konstellationen die dazu geführt haben, dass die genannten Gruppe nicht erstellt worden ist. Das ist inzwischen gelöst. Einfach einmal manuell über PowerShell anlegen lassen und evtl. die Gruppenmitglieder nachziehen.
OK
Ich kann das nur auf einigen Servern nachvollziehen, da ich für etliche OUs die Gruppe per GPP erstellt hatte,
Was macht die GPP, die Gruppe erstellen?!
Ja, aber ist wie gesagt "historisch gewachsen" und die GPP erstellt die Gruppe ja nicht jedes mal neu. Die GPP betrifft aber nicht die oben beschriebenen Server. Ich würde dann sagen, ich lösche die GPP, und prüfe bei den älteren Server, ob die Gruppe fehlt....

Danke!

Grüße

lcer
Dani
Dani 12.09.2022 um 12:31:14 Uhr
Goto Top
Moin,
Ich würde dann sagen, ich lösche die GPP, und prüfe bei den älteren Server, ob die Gruppe fehlt....
bevor du das tust, schau bitte ob die Option "Einstellungen löschen wenn die Richtlinie nicht mehr angewendet wird" gesetzt ist. Dann werden die angelegeten Gruppen nämlich wieder verschwinden. face-sad


Gruß,
Dani
lcer00
lcer00 12.09.2022 um 12:36:21 Uhr
Goto Top
Zitat von @Dani:

Moin,
Ich würde dann sagen, ich lösche die GPP, und prüfe bei den älteren Server, ob die Gruppe fehlt....
bevor du das tust, schau bitte ob die Option "Einstellungen löschen wenn die Richtlinie nicht mehr angewendet wird" gesetzt ist. Dann werden die angelegeten Gruppen nämlich wieder verschwinden. face-sad
face-smile Danke

lcer
Estefania
Estefania 14.02.2024 um 17:23:05 Uhr
Goto Top
Hi.

Ich brauche diese Gruppe auf einem Domain Controller (Windows Server 2019)
Dort existieren aber keine lokale Gruppen

Wie kann ich es auf einem DC steuern bzw. die Berechtigungen für WinRM setzen?

Thx.
Dani
Dani 14.02.2024 um 19:35:57 Uhr
Goto Top
Moin @Estefania,
alte Beiträge ausgraben ist nicht gerne gesehen. Wenn dieser Beitrag auch noch von einem anderen User stammt, ist da schon ein Strafpunkt.


Gruß,
Dani (Mod)