Condividi tramite

Controllo dell'account utente e WMI

  • Articolo

Controllo account utente influisce sui dati WMI restituiti da uno strumento da riga di comando, accesso remoto e modalità di esecuzione degli script. Per altre informazioni sull'interfaccia utente, vedere Introduzione al controllo dell'account utente.

Le sezioni seguenti descrivono la funzionalità di Controllo dell'account utente:

Controllo dell'account utente

In Controllo dell'account utente gli account nel gruppo Administrators locale hanno due token di accesso , uno con privilegi utente standard e uno con privilegi di amministratore. A causa del filtro dei token di accesso dell'account utente, uno script viene in genere eseguito con il token utente standard, a meno che non venga eseguito "come amministratore" in modalità con privilegi elevati. Non tutti gli script richiedono privilegi amministrativi.

Gli script non possono determinare a livello di codice se sono in esecuzione con un token di sicurezza utente standard o un token di amministratore. Lo script potrebbe non riuscire con un errore di accesso negato. Se lo script richiede privilegi di amministratore, deve essere eseguito in modalità con privilegi elevati. L'accesso agli spazi dei nomi WMI varia a seconda che lo script venga eseguito in modalità con privilegi elevati. Alcune operazioni WMI, ad esempio il recupero di dati o l'esecuzione della maggior parte dei metodi, non richiedono che l'account venga eseguito come amministratore. Per altre informazioni sulle autorizzazioni di accesso predefinite, vedere Access to WMI Namespaces e Esecuzione di operazioni con privilegi.

A causa del controllo dell'account utente, l'account che esegue lo script deve trovarsi nel gruppo Administrators del computer locale per poter eseguire con diritti elevati.

È possibile eseguire uno script o un'applicazione con diritti elevati eseguendo uno dei metodi seguenti:

per eseguire uno script in modalità con privilegi elevati

  1. Aprire una finestra del prompt dei comandi facendo clic con il pulsante destro del mouse sul prompt dei comandi nel menu Start e quindi scegliendo Esegui come amministratore.
  2. Pianificare l'esecuzione dello script con privilegi elevati tramite Utilità di pianificazione. Per altre informazioni, vedere Contesti di sicurezza per l'esecuzione di attività.
  3. Eseguire lo script usando l'account administrator predefinito.

Account necessario per eseguire strumenti di Command-Line WMI

Per eseguire il seguente WMI Command-Line Tools, l'account deve trovarsi nel gruppo Administrators e lo strumento deve essere eseguito da un prompt dei comandi con privilegi elevati. L'account amministratore predefinito può anche eseguire questi strumenti.

  • mofcomp

  • wmic

    La prima volta che si esegue Wmic dopo l'installazione del sistema, è necessario eseguirla da un prompt dei comandi con privilegi elevati. La modalità con privilegi elevati potrebbe non essere necessaria per le esecuzioni successive di Wmic, a meno che le operazioni WMI non richiedano privilegi di amministratore.

  • winmgmt

  • wmiadap

Per eseguire il controllo WMI (Wmimgmt.msc) e apportare modifiche alle impostazioni di sicurezza o controllo dello spazio dei nomi WMI, l'account deve disporre del diritto Modifica sicurezza concesso in modo esplicito o nel gruppo Administrators locale. L'account amministratore predefinito può anche modificare la sicurezza o il controllo per uno spazio dei nomi.

Wbemtest.exe, uno strumento da riga di comando non supportato dai servizi di supporto tecnico Microsoft può essere eseguito da account che non si trovano nel gruppo Administrators locale, a meno che un'operazione specifica non richieda privilegi normalmente concessi agli account amministratore.

Gestione delle connessioni remote in Controllo dell'account utente

Se ci si connette a un computer remoto in un dominio o in un gruppo di lavoro determina se si verifica il filtro controllo dell'account utente.

Se il computer fa parte di un dominio, connettersi al computer di destinazione usando un account di dominio che si trova nel gruppo Administrators locale del computer remoto. Il filtro dei token di accesso del controllo dell'account utente non influirà sugli account di dominio nel gruppo Administrators locale. Non usare un account locale non di dominio nel computer remoto, anche se l'account si trova nel gruppo Administrators.

In un gruppo di lavoro l'account che si connette al computer remoto è un utente locale in tale computer. Anche se l'account si trova nel gruppo Administrators, il filtro controllo dell'account utente indica che uno script viene eseguito come utente standard. Una procedura consigliata consiste nel creare un gruppo di utenti locale dedicato o un account utente nel computer di destinazione specificamente per le connessioni remote.

La sicurezza deve essere modificata per poter usare questo account perché l'account non ha mai avuto privilegi amministrativi. Assegnare all'utente locale:

  • Avvio remoto e attivazione dei diritti per accedere a DCOM. Per altre informazioni, vedere Connessione a WMI in un computer remoto.
  • Diritti per accedere allo spazio dei nomi WMI in modalità remota (Abilitazione remota). Per altre informazioni, vedere Access to WMI Namespaces.
  • Diritto di accedere all'oggetto a protezione diretta specifico, a seconda della sicurezza richiesta dall'oggetto.

Se si usa un account locale, perché si è in un gruppo di lavoro o si tratta di un account computer locale, potrebbe essere necessario assegnare attività specifiche a un utente locale. Ad esempio, è possibile concedere all'utente il diritto di arrestare o avviare un servizio specifico tramite il comando SC.exe, il GetSecurityDescriptor e SetSecurityDescriptor metodi di Win32_Serviceo tramite Criteri di gruppo tramite Gpedit.msc. Alcuni oggetti a protezione diretta potrebbero non consentire a un utente standard di eseguire attività e non offrono alcun mezzo per modificare la sicurezza predefinita. In questo caso, potrebbe essere necessario disabilitare controllo dell'account utente in modo che l'account utente locale non sia filtrato e diventi invece un amministratore completo. Tenere presente che, per motivi di sicurezza, la disabilitazione dell'interfaccia utente deve essere un'ultima risorsa.

La disabilitazione di Controllo dell'account utente remoto modificando la voce del Registro di sistema che controlla Controllo dell'account utente remoto non è consigliata, ma potrebbe essere necessaria in un gruppo di lavoro. La voce del Registro di sistema è HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy. Quando il valore di questa voce è zero (0), il filtro dei token di accesso di Controllo dell'account utente remoto è abilitato. Quando il valore è 1, controllo dell'account utente remoto è disabilitato.

Effetto UAC sui dati WMI restituiti agli script o alle applicazioni

Se uno script o un'applicazione è in esecuzione con un account nel gruppo Administrators, ma non è in esecuzione con privilegi elevati, è possibile che non vengano restituiti tutti i dati perché questo account è in esecuzione come utente standard. I provider di WMI per alcune classi non restituiscono tutte le istanze a un account utente standard o a un account amministratore che non è in esecuzione come amministratore completo a causa del filtro controllo dell'account utente.

Le classi seguenti non restituiscono alcune istanze quando l'account viene filtrato in base al controllo dell'account utente:

Le classi seguenti non restituiscono alcune proprietà quando l'account viene filtrato da Controllo dell'account utente:

Informazioni sui WMI

l'accesso a oggetti a protezione diretta WMI

modifica della sicurezza degli accessi in oggetti a protezione diretta