Řízení uživatelských účtů a rozhraní WMI

Řízení uživatelských účtů (UAC) ovlivňuje data rozhraní WMI vrácená z nástroje příkazového řádku, vzdáleného přístupu a způsobu spouštění skriptů. Další informace o nástroji Řízení uživatelských účtů najdete v tématu Začínáme s uživatelským řízením účtů.

Následující části popisují funkce řízení uživatelských účtů:

• řízení uživatelských účtů
• účet potřebný ke spuštění nástrojů WMI Command-Line
• zpracování vzdálených připojení v části Řízení uživatelských účtů
• vliv řízení uživatelských účtů na data rozhraní WMI vrácená do skriptů nebo aplikací
• související témata

Řízení uživatelských účtů

V části Řízení uživatelských účtů mají účty v místní skupině Administrators dva přístupové tokeny, jeden se standardními uživatelskými oprávněními a jeden s oprávněními správce. Kvůli filtrování přístupových tokenů řízení uživatelských účtů se skript obvykle spouští pod standardním uživatelským tokenem, pokud se nespustí jako správce v režimu zvýšených oprávnění. Ne všechny skripty vyžadovaly oprávnění správce.

Skripty nemůžou programově určit, jestli jsou spuštěné pod standardním tokenem zabezpečení uživatele nebo tokenem správce. Skript může selhat s chybou odepření přístupu. Pokud skript vyžaduje oprávnění správce, musí se spustit v režimu se zvýšenými oprávněními. Přístup k oborům názvů služby WMI se liší v závislosti na tom, jestli je skript spuštěný v režimu se zvýšenými oprávněními. Některé operace rozhraní WMI, například získání dat nebo provádění většiny metod, nevyžadují, aby účet běžel jako správce. Další informace o výchozích přístupových oprávněních najdete v tématu Přístup k oborům názvů WMI a Provádění privilegovaných operací.

Kvůli řízení uživatelských účtů musí být účet, který spouští skript, ve skupině Administrators v místním počítači, aby měl možnost spouštět se zvýšenými právy.

Skript nebo aplikaci se zvýšenými oprávněními můžete spustit provedením jedné z následujících metod:

spuštění skriptu v režimu se zvýšenými oprávněními

1. Otevřete okno příkazového řádku tak, že kliknete pravým tlačítkem na příkazový řádek v nabídce Start a potom kliknete na Spustit jako správce.
2. Pomocí Plánovače úloh naplánujte spuštění skriptu se zvýšenými oprávněními. Další informace naleznete v tématu kontexty zabezpečení pro spouštění úloh.
3. Spusťte skript pomocí integrovaného účtu správce.

Účet potřebný ke spuštění nástrojů služby WMI Command-Line

Chcete-li spustit následující nástroje WMI Command-Line nástroje, musí být váš účet ve skupině Administrators a nástroj musí být spuštěn z příkazového řádku se zvýšenými oprávněními. Předdefinovaný účet správce může tyto nástroje také spustit.

• mofcomp

• Při prvním spuštění Wmic po instalaci systému se musí spustit z příkazového řádku se zvýšenými oprávněními. Režim se zvýšenými oprávněními nemusí být vyžadován pro následné spuštění Wmic, pokud operace rozhraní WMI nevyžadují oprávnění správce.

• winmgmt

• wmiadap

Pokud chcete spustit ovládací WMI (Wmimgmt.msc) a provést změny nastavení zabezpečení nebo auditování oboru názvů WMI, musí mít váš účet právo Upravit zabezpečení explicitně uděleno nebo být v místní skupině Administrators. Integrovaný účet správce může také změnit zabezpečení nebo auditování oboru názvů.

Wbemtest.exe, nástroj příkazového řádku, který není podporován službami zákaznické podpory Společnosti Microsoft, může být spuštěn účty, které nejsou v místní skupině Administrators, pokud konkrétní operace nevyžaduje oprávnění, která jsou obvykle udělena účtům správce.

Zpracování vzdálených připojení v rámci řízení uživatelských účtů

Jestli se připojujete ke vzdálenému počítači v doméně nebo v pracovní skupině, určuje, jestli probíhá filtrování UAC.

Pokud je váš počítač součástí domény, připojte se k cílovému počítači pomocí účtu domény, který je v místní skupině Administrators vzdáleného počítače. Filtrování přístupového tokenu UAC nebude mít vliv na účty domény v místní skupině Administrators. Nepoužívejte místní, nedoménový účet na vzdáleném počítači, i když je účet ve skupině Administrators.

V pracovní skupině je účet, který se připojuje ke vzdálenému počítači, místním uživatelem v tomto počítači. I když je účet ve skupině Administrators, filtrování UAC znamená, že skript běží jako standardní uživatel. Osvědčeným postupem je vytvořit vyhrazenou místní skupinu uživatelů nebo uživatelský účet na cílovém počítači speciálně pro vzdálená připojení.

Zabezpečení musí být upraveno tak, aby bylo možné tento účet používat, protože účet nikdy neměl oprávnění správce. Dejte místnímu uživateli:

• Vzdálené spuštění a aktivace práv pro přístup k modelu DCOM. Další informace naleznete v tématu Připojení k rozhraní WMI na vzdáleném počítači.
• Práva pro vzdálený přístup k oboru názvů WMI (vzdálená povolení). Další informace naleznete v tématu Přístup k oborům názvů WMI.
• Právo na přístup ke konkrétnímu zabezpečitelnému objektu v závislosti na zabezpečení požadovaném objektem.

Pokud používáte místní účet, buď z důvodu, že jste v pracovní skupině, nebo je to účet místního počítače, můžete být nuceni udělit konkrétním úkolům místnímu uživateli. Můžete například uživateli udělit právo zastavit nebo spustit konkrétní službu pomocí příkazu SC.exe, GetSecurityDescriptor a SetSecurityDescriptor metody Win32_Servicenebo prostřednictvím zásad skupiny pomocí gpedit.msc. Některé zabezpečitelné objekty nemusí umožnit standardnímu uživateli provádět úlohy a nenabízí žádné prostředky ke změně výchozího zabezpečení. V takovém případě možná budete muset nástroj Řízení uživatelských účtů zakázat, aby se místní uživatelský účet nefiltroval a místo toho se stane úplným správcem. Mějte na paměti, že z bezpečnostních důvodů by zakázání řízení uživatelských účtů mělo být poslední možnost.

Zakázání vzdáleného řízení uživatelských účtů změnou položky registru, která řídí Vzdálené řízení uživatelských účtů, se nedoporučuje, ale může být nutné v pracovní skupině. Položka registru je HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy. Pokud je hodnota této položky nula (0), je povolené filtrování přístupového tokenu vzdáleného řízení uživatelských účtů. Pokud je hodnota 1, vzdálené řízení uživatelských účtů je zakázané.

Účinek řízení uživatelských účtů na data rozhraní WMI vrácená do skriptů nebo aplikací

Pokud skript nebo aplikace běží pod účtem ve skupině Administrators, ale nespouštět se zvýšenými oprávněními, nemusí se zobrazit všechna vrácená data, protože tento účet běží jako standardní uživatel. Poskytovatelé služby WMI pro některé třídy nevrátí všechny instance do standardního uživatelského účtu nebo účtu správce, který není spuštěný jako úplný správce kvůli filtrování UAC.

Následující třídy nevrací některé instance, pokud je účet filtrován nástrojem UAC:

• Win32_Bus
• Win32_Printer
• Win32_ComponentCategory
• Win32_LogicalProgramGroupItem
• Win32_LogicalProgramGroup
• Win32_NetworkConnection
• Win32_UserAccount
• Win32_PrinterDriver
• Win32_PortResource
• Win32_DeviceMemoryAddress

Následující třídy nevrací některé vlastnosti při filtrování účtu podle řízení uživatelských účtů:

• Win32_NetworkAdapterConfiguration
• Win32_DCOMApplicationSetting
• Win32_DCOMApplication
• Win32_Baseboard
• Win32_ComputerSystem
• Win32_NetworkAdapter
• Win32_MotherboardDevice
• Win32_DiskDrive
• Win32_PnPEntity
• Win32_VideoController
• Win32_ParallelPort
• Win32_LogicalDisk
• Win32_SystemDriver
• Win32_IRQResource
• Win32_NetworkProtocol

Související témata

o službě WMI

přístup k zabezpečitelným objektům WMI

změna zabezpečení přístupu u zabezpečitelných objektů