Gre*_*jan 6 windows permissions group-policy dcom wmi
从各种文档看来,要更改 WMI 访问权限,您需要使用 WMI 来访问正在运行的服务并修改树的特定部分。
使用 UI 更改 150,000 台主机有点烦人。
然后必须在添加新主机的过程中包含此类更改。
可以编写一个脚本来做同样的事情,但这需要要么连接到所有这些机器,要么在启动/安装脚本中分发以供以后更新。然后你必须从示例访问控制中复制二进制 SD 数据。
我还发现您可以更改 wbem/*.mof 文件以包含 SDDL,但我目前对这一切如何工作真的很模糊。
我是否只是错过了一些简单的管理?
对此进行了一些研究,看起来下面的方法应该有效:
对于带有组策略管理控制台 (GPMC) 的 Windows 2003,执行以下步骤:
Start Menu> Administrative Tools> Group Policy Management。Domain Name-> Domains-> Domain Name,其中 Domain Name 是您要修改的域的名称。Domain Name左侧窗格中的 并选择Create and Link a GPO Here。WMI Permissions。注意: 由于 WMI 必须建立到远程主机的 DCOM 连接,这足以配置 DCOM 的访问权限。
配置分布式组件对象模型 (DCOM) 权限:
WMI Permissions通过the Group Policy Management插件或插件导航到组策略ADUC。WMI Permissions策略突出显示并单击Edit按钮。Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options。DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax。Define this policy setting。Edit Security按钮。Add按钮;在出现的弹出窗口中,指定将使用的域管理员帐户。Group or user names字段中,选择您在第 7 步中指定的域管理员。Permissions for Administrators字段中,确保Allow该Remote Access选项的列中有一个复选标记。DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax。Define this policy setting。Edit Security按钮。Add按钮;在出现的弹出窗口中,指定将使用的域管理员帐户。Permissions for Administrators现场,确保有下勾选Allow两个栏Remote Launch和Remote Activation。Group Policy Object Editor窗口。Active Directory Users and Computers窗口。| 归档时间: |
|
| 查看次数: |
25189 次 |
| 最近记录: |