标签: dcom

我需要修改Component Services / DCOM Config下netman区域的Launch and Activation Permissions。但是，此区域已禁用，无法进行任何更改。

1. 我在管理员组
2. 我使用提升的管理员权限启动了 dcomcnfg。

我需要做什么来修改这里的设置？

从各种文档看来，要更改 WMI 访问权限，您需要使用 WMI 来访问正在运行的服务并修改树的特定部分。

使用 UI 更改 150,000 台主机有点烦人。
然后必须在添加新主机的过程中包含此类更改。

可以编写一个脚本来做同样的事情，但这需要要么连接到所有这些机器，要么在启动/安装脚本中分发以供以后更新。然后你必须从示例访问控制中复制二进制 SD 数据。

我还发现您可以更改 wbem/*.mof 文件以包含 SDDL，但我目前对这一切如何工作真的很模糊。

我是否只是错过了一些简单的管理？

我的实验

• 所以我用两台电脑建立了一个简单的网络。两者都在同一个工作组中。
• 我在计算机 1 中创建了一个密码为“A”的本地用户“A”。
• 然后我在计算机 2 上创建了一个相同的命名本地用户 'A'，密码为 'A'。

我的观察

• 我注意到，当我在计算机 2 中以“A”身份登录时，我可以在计算机 1 中以“A”身份进行网络访问。例如，浏览“A”共享文件夹时。

我的想法

• 这具有讽刺意味，尽管它们的名称相同，但它们实际上是两台不同计算机上的两个不同 LOCAL 用户！
• 这对我来说可能是一个安全隐患。如果碰巧一个人在计算机 2 中拥有相同的用户名和密码，从而错误地访问了计算机 1，该怎么办？

我的问题：

• 这种用户名和密码的共享称为什么？
• 如何在同一网络上的两台 Windows PC 之间使用相同的名称和身份验证？
• 我们如何启用/禁用在两台计算机之间共享相同的本地用户名和密码？

我也意识到这在 DCOM 调用期间也有效。

谢谢你的任何答案

因此，我一直在尝试解决“特定于应用程序的权限设置不授予本地激活权限”问题，而我一直在阅读的所有内容都说我需要获取“DCOMperm.exe”。有很多指向使用和下载链接的链接指向非 MS 源。我想直接从 Microsoft 获取此信息，但在那里找不到。

有人说它是 SDK 的一部分，但我不确定是哪一个。有没有人有任何获得这个exe的经验？

我在W2K8R2机器上安装（并注册）了一个 DCOM 应用程序，其 GUID 可以在 dcomcnfg 显示的 DCOM 列表中找到。

我还可以使用 Powershell 查找其 GUID 的Win32_DCOMApplication或Win32_DCOMApplicationSetting对象：

PS C:\Windows\system32> Get-WMIObject Win32_DCOMApplicationSetting -Filter "AppID='{1CECFD4D-2CFB-4626-95C7-0266C26960FA
}'"


__GENUS                   : 2
__CLASS                   : Win32_DCOMApplicationSetting
__SUPERCLASS              : Win32_COMSetting
__DYNASTY                 : CIM_Setting
__RELPATH                 : Win32_DCOMApplicationSetting.AppID="{1CECFD4D-2CFB-4626-95C7-0266C26960FA}"
__PROPERTY_COUNT          : 12
__DERIVATION              : {Win32_COMSetting, CIM_Setting}
__SERVER                  : MYSRV
__NAMESPACE               : root\cimv2
__PATH                    : \\MYSRV\root\cimv2:Win32_DCOMApplicationSetting.AppID="{1CECFD4D-2CFB-4626-95C7-0266C269
                            60FA}"
AppID                     : {1CECFD4D-2CFB-4626-95C7-0266C26960FA}
AuthenticationLevel       :
Caption                   :
CustomSurrogate           :
Description               :
EnableAtStorageActivation : False
LocalService              :
RemoteServerName          :
RunAsUser                 :
ServiceParameters         :
SettingID …

问题

我正在尝试使用下面链接中的脚本使用命令从远程计算机 (Server 2012 R2) 检索 Windows 更新Get-WUList。

https://gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9de2-88dff796b0bc

但是，我收到错误：

使用“1”个参数调用“CreateInstance”时出现异常：“从计算机 Whitebass 中检索具有 CLSID {4CB43D7F-7EEE-4906-8698-60DA1C38F2FE} 的远程组件的 COM 类工厂失败，原因是出现以下错误：800706ba Whitebass。”

我尝试过的

我知道问题出在防火墙上，因为当防火墙禁用时我能够成功连接。

我在网上找到的大部分信息都提到启用防火墙规则。然而，即使在玩了这些之后我仍然无法让它工作。

我启用的防火墙规则如下（目前我只列出了我认为适用的规则）：

• Windows 管理规范（异步输入）
• Windows 管理规范 (DCOM-In)
• Windows 管理规范 (WMI-In)
• 远程服务管理 (NP-In)
• 远程服务管理 (RPC-In)
• 远程服务管理 (RPC-EPMAP)

我刚刚全新安装了 Windows Server 2008 R2 (x64)。我有一个应用程序，它使用远程 DCOM 通信与服务器通信并查询一些 WMI 对象。当我使用管理员登录进行 WMI 通信时，一切都很好。

当我在管理员组中添加新用户时（通过在新用户创建 GUI 中选择用户为管理员），它似乎不起作用。我已经为用户提供了 DCOM 远程访问权限（使用http://jintegra.intrinsyc.com/support/com/doc/remoteaccess.html），以及 WMI 访问权限（使用http://www.poweradmin。 com/help/enableWMI.aspx）。我还在 Server 2008 R2 上找到了叛徒注册表项，并将新创建的用户设为所有者并授予所有权限（使用http://www.opennms.org/wiki/WmiConfiguration#Windows_2008_R2）。

即使那样，当我尝试连接时，我也无法完全通过。我知道这一点是因为我查看了 Windows 安全日志，并且可以看到成功的凭据验证、特殊登录和登录事件。

但是，我只是无法进一步进行。我收到错误，无法连接到主机，然后我被注销（从安全日志中找到）。

我什至不知道哪个服务不允许我访问。以前有人处理过这个问题吗？如果您有一个快速的答案，那就太好了，否则，请告诉我如何正确阅读安全日志或其他一些日志，以找出拒绝我访问的服务。

此外，所有 3 个防火墙，域/公共/私人都已关闭。

非常感谢！！