Usuari no administrador en domini per a WMI

Una de maneres més recomanables de monitorar equips Windows és mitjançant l'ús de protocol WMI.

Nagios no incorpora en els seus plugins un destinat a aquesta finalitat, però hi ha molts disponibles. Per al nostre gust personal el millor és CHECK_WMI_PLUS.

El WMI va integrat a partir de Windows 2008 (en versions prèvies es pot trobar en Service Packs). L'ús d'aquest protocol ens estalviarà instal·lar el client en els equips, un client que d'altra banda en alguns casos ens pot donar problemes de funcionament en entrar en conflicte amb altres aplicacions. Existeixen multitud de documents de com crear un usuari no administrador en un equip Windows per a monitorar mitjançant WMI, però avui ens detindrem en la creació d'un usuari de domini que permeti fer totes les consultes WMI necessàries.

Cal prendre nota d'un aspecte molt important: compte amb els canvis en el directori actiu de Windows. Afegir o modificar directives pot comportar el funcionament erroni del AD. Recomanem prendre totes les precaucions necessàries davant els canvis que proposem a continuació.

Comencem doncs a crear el nostre usuari WMI en el directori:

- El primer pas és crear un grup de seguretat. Li podem posar el nom que vulguem. Creem aquest grup per si més endavant volem més usuaris amb els mateixos privilegis. Així doncs creguem un grup anomenat “Usuaris WMI”. Aquest grup l'afegim als grups “Perfomance Log Users” i “Distributed DCOM”.

- El segon passa per crear l'usuari. Li podem posar el nom que vulguem, per exemple “Usuari WMI”. Ho afegim al grup creat anteriorment, i posem aquest grup com “dafault”, ara podem treure l'usuari del grup “Domain Users”.

- Perquè l'usuari pugui connectar cal crear una política (GPO) en el domini que modifiqui a tots els equips els “User Right Assignments”. Cal posar el grup creat en el primer pas en els següents opcions:

  • Act as part of the opering system
  • Log on as a batch job
  • Log on as a service
  • Replace a process level token

 

- En la mateixa política podem definir que el grup d'usuaris del primer pas pertanyi als “Performance Log Users” de cada equip.

- Per a finalitzar hem de crear un script (no es pot fer actualment per GPO) que afegeixi el grup del punt un a les opcions de seguretat del “Control WMI”. El link de com realitzar el script el teniu aquí

http://blogs.msdn.com/b/spatdsg/archive/2007/11/21/set-wmi-namespace-security-via-gpo-script.aspx.

El script cal posar-ho perquè s'executi en iniciar l'equip.Els permisos que cal donar (només en la carpeta root/CIMV2) al grup són:

  • Execute Methods
  • Enable Acount
  • Remote Enable
  • Read Security
  • Apply to: “This namespace and subnamespaces”

Ja tenim un usuari no administrador del domini per a les nostres consultes WMI.

Veure més noticies