uwe.at.work
Goto Top

Docusnap 11: WMI-Berechtigungen korrigieren

Laut Dokumentation sind (Domänen-)Admin-Rechte für einen "Windows (AD)"-Scan erforderlich.
Wir wollen uns aber an den "need to know"-Grundsatz halten und keine Admin-Rechte vergeben.

Der offizielle Weg um das zu realisieren führt über Docusnap Skript.
Das Skript wird z.B. während der Anmeldung (mehr oder weniger) im Hintergrund ausgeführt.
Im Prinzip ist das auch eine praktikable Lösung.

Aus verschiedenen Gründen wollen wir aber den serverseitigen "Windows (AD)"-Scan via Auftragsplanung nutzen.

Es gibt einen sehr alten Foren-Eintrag, der die dazu notwendigen Berechtigungen etwas granularer beschreibt.
Allerdings werden mittlerweile weit mehr Rechte benötigt.

Der Scan lief bei uns erfolgreich durch, nachdem zu jedem der folgenden Knoten folgende
Berechtigungen für "diesen und untergeordnete Namespaces" (rekursiv) gesetzt wurden:

[X] Konto aktivieren
[X] Remoteaktivierung

  • Root\CIMV2
  • Root\DEFAULT
  • Root\Microsoft (z.B. wg. MSFT_PhysicalDisk)
  • Root\StandardCimv2
  • Root\WMI (z.B. wg. MSAcpi_ThermalZoneTemperature)

Content-ID: 794709448

Url: https://administrator.de/contentid/794709448

Ausgedruckt am: 18.11.2024 um 23:11 Uhr