Una de maneras más recomendables de monitorizar equipos Windows es mediante el uso de protocolo WMI.

Nagios no incorpora en sus plugins uno destinado a esta finalidad, pero hay muchos disponibles. Para nuestro gusto personal el mejor es CHECK_WMI_PLUS.

El WMI va integrado a partir de Windows 2008 (en versiones previas se puede encontrar en Service Packs). El uso de este protocolo nos ahorrará instalar el cliente en los equipos, un cliente que por otra parte en algunos casos nos puede dar problemas de funcionamiento al entrar en conflicto con otras aplicaciones. Existen multitud de documentos de cómo crear un usuario no administrador en un equipo Windows para monitorizar mediante WMI, pero hoy nos detendremos en la creación de un usuario de dominio que permita hacer todas las consultas WMI necesarias.

Hay que tomar nota de un aspecto muy importante: cuidado con los cambios en el directorio activo de Windows. Añadir o modificar directivas puede comportar el funcionamiento erróneo del AD. Recomendamos tomar todas las precauciones necesarias ante los cambios que proponemos a continuación.

Empecemos pues a crear nuestro usuario WMI en el directorio:

- El primer paso es crear un grupo de seguridad. Le podemos poner el nombre que queramos. Creamos este grupo por si más adelante queremos más usuarios con los mismos privilegios. Así pues creamos un grupo llamado “Usuarios WMI”. Este grupo lo añadimos a los grupos “Perfomance Log Users” y “Distributed DCOM”.

- El segundo pasa por crear el usuario. Le podemos poner el nombre que queramos, por ejemplo “Usuario WMI”. Lo añadimos al grupo creado anteriormente, y ponemos este grupo como “dafault”, ahora podemos sacar el usuario del grupo “Domain Users”.

- Para que el usuario pueda conectar hay que crear una política (GPO) en el dominio que modifique a todos los equipos los “User Right Assignments”. Hay que poner el grupo creado en el primer paso en los siguientes opciones:

  • Act as part of the opering system
  • Log on as a batch job
  • Log on as a service
  • Replace a process level token

 

- En la misma política podemos definir que el grupo de usuarios del primer paso pertenezca a los “Performance Log Users” de cada equipo.

- Para finalizar debemos crear un script (no se puede hacer actualmente por GPO) que añada el grupo del punto uno a las opciones de seguridad del “Control WMI”. El link de cómo realizar el script lo tenéis aquí

http://blogs.msdn.com/b/spatdsg/archive/2007/11/21/set-wmi-namespace-security-via-gpo-script.aspx.

El script hay que ponerlo para que se ejecute al iniciar el equipo.Los permisos que hay que dar (solo en la carpeta root/CIMV2) al grupo son: