Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WMI Security für Remote PowerShell

Mitglied: xcabur

xcabur (Level 1) - Jetzt verbinden

02.07.2019 um 16:29 Uhr, 253 Aufrufe, 3 Kommentare

Hallo zusammen

Folgendes Problem:
UserA (Non-Admin) kann lokal (Win10) den PowerShell Befehl Get-NetAdapter ausführen. Per Remote PowerShell kann ich auf dasselbe Gerät verbinden (UserA ist Mitglied der lokalen Remote Management Users) allerdings erhalte ich beim Ausführen von Get-NetAdapter eine Access Denied Meldung.

Wenn ich in der WMI Security auf dem Root-Node die "Remote Management Users" hinzufüge und das Recht "Remote enable" erteile (Authenticated Users haben bereits Read, Execute ) funktioniert die Remote Abfrage.

Nun die Frage:
1. Wieso ist dies nicht bereits der Standard, weil mit der Mitgliedschaft der "Remote Management Users" Gruppe erteilt ich ja bereits das Recht für WinRM Listener, was macht es dann für einen Sinn, wenn ich die WMI basierenden PowerShell cmdlets nicht ausführen kann?
2. Habe ich ein Sicherheitsproblem, wenn ich dies wie oben beschrieben konfiguriere? Ich habe seitens Microsoft leider keine vernünftige best practice gefunden

Gruss und Danke
2019-07-02 16_24_34-strokesplus - Klicke auf das Bild, um es zu vergrößern
Mitglied: erikro
02.07.2019 um 16:37 Uhr
Moin,
Zitat von xcabur:
1. Wieso ist dies nicht bereits der Standard, weil mit der Mitgliedschaft der "Remote Management Users" Gruppe erteilt ich ja bereits das Recht für WinRM Listener, was macht es dann für einen Sinn, wenn ich die WMI basierenden PowerShell cmdlets nicht ausführen kann?

Naja, die Powershell heißt Powershell, weil sie powerful ist. Es gibt ja nicht nur get-Commandlets, sondern auch set-, new-, remove- ... Da sollte man schon als Admin wissen und vor allem bewusst einstellen, wer sowas alles darf.

2. Habe ich ein Sicherheitsproblem, wenn ich dies wie oben beschrieben konfiguriere? Ich habe seitens Microsoft leider keine vernünftige best practice gefunden

Siehe Antwort auf 1. Ob Du da ein Sicherheitsproblem hast oder nicht, kann ich (und auch MS) nicht beurteilen. Das hängt ganz vom Wissen der Menschen, die das dürfen, und vom Vertrauen in sie ab.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: colinardo
02.07.2019, aktualisiert um 16:49 Uhr
Servus.
Nun, MS sieht deine genannte Gruppe primär für andere Aufgaben vor, namentlich das Management über den Server Manager, siehe dazu den folgenden Link
01.
Remote Management Users
02.

03.
Members of the Remote Management Users group can access WMI resources over management protocols (such as WS-Management via the Windows Remote Management service). This applies only to WMI namespaces that grant access to the user.
04.
The Remote Management Users group is generally used to allow users to manage servers through the Server Manager console, whereas the WinRMRemoteWMIUsers_ group is allows remotely running Windows PowerShell commands.

Grüße Uwe
Bitte warten ..
Mitglied: xcabur
02.07.2019 um 17:45 Uhr
Zitat von erikro:
Naja, die Powershell heißt Powershell, weil sie powerful ist. Es gibt ja nicht nur get-Commandlets, sondern auch set-, new-, remove- ... Da sollte man schon als Admin wissen und vor allem bewusst einstellen, wer sowas alles darf.

Die Authenticated Users habe per Default nur Read und Invoke Access.
Bitte warten ..
Ähnliche Inhalte
Windows 10
WMI - Firewall - Security
Frage von NetzwerkDudeWindows 104 Kommentare

Hi, die Idee ist an alle User im Netzwerk via WMI msg nachrichten zukommen zu lassen, z.B. um auf ...

Batch & Shell

Powershell - WMI Return Codes unterdrücken, WIE?

gelöst Frage von instinctlessBatch & Shell3 Kommentare

Hi, ist vermutlich ne noob frage aber ich habe folgendes Problem Folgender Aufruf in einem Script gibt auf der ...

Entwicklung

WMI Powershell. Erstellung eines Programm zum auslesen und speichern mehrere Daten

Frage von 135961Entwicklung3 Kommentare

Hallo zusammen, mein Problem ist ich soll ein Programm erstellen ,dass die folgenden Daten an einem Lokalenrechner ausliest und ...

Batch & Shell

Dienst Stoppen und deaktivieren per Powershell und WMI auf remote Server

gelöst Frage von pixel0815Batch & Shell1 Kommentar

Moin, gibt es da eine einfache möglichkeit einen gewissen Dienst zu deaktivieren und vorher zu stoppen? Die Computernamen sollen ...

Neue Wissensbeiträge
Administrator.de Feedback
Entwicklertagebuch: Die nächste Version
Information von admtech vor 1 StundeAdministrator.de Feedback

Hallo Administrator User, vielleicht haben es einige User schon mitbekommen: Wir arbeiten aktuell an einer komplett neuen Version von ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 3 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 3 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 3 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Heiß diskutierte Inhalte
Batch & Shell
Regedit eintrad ändern als Admin
Frage von cyberworm83Batch & Shell19 Kommentare

Hallo zusammen, ich bin derzeit als Rollout Techniker unterwegs und muss täglich bei zig Rechnern einen Registry Einträg ändern ...

Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

LAN, WAN, Wireless
Wie komme ich mit WLAN um die Ecke?
Frage von Hexa09LAN, WAN, Wireless16 Kommentare

Hallo, ich habe eine Anfrage bekommen, und möchte, bevor ich dazu was beginne, erst einmal einen Rat von Profis ...

DNS
DNS Probleme nach Umstellung auf IPv6
Frage von thunderbird304DNS16 Kommentare

Hi Leute! Folgende Problematik: Umstieg von Glasfaser auf Telekom Buisiness DSL. Durch die Umstellung ist die FritzBox nun Gateway. ...