Udostępnij za pośrednictwem

Konfigurowanie zdalnego połączenia WMI

  • Artykuł

Nawiązanie połączenia z przestrzenią nazw usługi WMI na komputerze zdalnym może wymagać zmiany ustawień zapory systemu Windows, Kontrola konta użytkownika (UAC), DCOM lub Menedżera Obiektów Wspólnego Modelu Informacji (CIMOM).

W tym temacie omówiono następujące sekcje:

Ustawienia zapory systemu Windows

Ustawienia usługi WMI dla ustawień Zapory systemu Windows umożliwiają tylko połączenia WMI, a nie inne aplikacje DCOM.

Należy ustawić wyjątek w zaporze dla usługi WMI na zdalnym komputerze docelowym. Wyjątek dla usługi WMI umożliwia usłudze WMI odbieranie połączeń zdalnych i asynchronicznych wywołań zwrotnych do Unsecapp.exe. Aby uzyskać więcej informacji, zobacz Ustawianie zabezpieczeń w wywołaniu asynchronicznym.

Jeśli aplikacja kliencka tworzy własny odbiornik, ten odbiornik musi być jawnie dodany do wyjątków zapory, aby umożliwić prawidłowe działanie wywołań zwrotnych.

Wyjątek dla usługi WMI działa również, jeśli usługa WMI została uruchomiona z stałym portem, używając polecenia winmgmt /standalonehost. Aby uzyskać więcej szczegółów, zobacz Konfigurowanie stałego portu dla usługi WMI.

Możesz włączyć lub wyłączyć ruch WMI za pośrednictwem interfejsu użytkownika Zapory systemu Windows.

Aby włączyć lub wyłączyć ruch WMI przy użyciu interfejsu użytkownika zapory

  1. W panelu sterowania kliknij pozycję Zabezpieczenia, a następnie kliknij Zapora systemu Windows.
  2. Kliknij Zmień ustawienia, a następnie kliknij kartę Wyjątki.
  3. W oknie Wyjątki zaznacz pole wyboru dla Instrumentacja Zarządzania Windows (WMI), aby włączyć ruch WMI przez zaporę. Aby wyłączyć komunikację WMI, wyczyść pole wyboru.

Możesz włączyć lub wyłączyć ruch WMI przez zaporę w wierszu polecenia.

Aby włączyć lub wyłączyć ruch WMI w wierszu polecenia przy użyciu grupy reguł WMI

  • Użyj następujących poleceń w wierszu polecenia. Wpisz następujące polecenie, aby włączyć ruch WMI przez zaporę.

    netsh advfirewall firewall set rule group="instrumentacja zarządzania Windows (WMI)" new enable=yes

    Wpisz następujące polecenie, aby wyłączyć ruch WMI przez zaporę.

    netsh advfirewall firewall set rule group="instrumentacja zarządzania Windows (WMI)" new enable=no

Zamiast używać pojedynczego polecenia grupy reguł WMI, można również użyć poszczególnych poleceń dla każdego z elementów: DCOM, usługi WMI i odbiornika.

Aby włączyć ruch WMI przy użyciu oddzielnych reguł dla modelu DCOM, usługi WMI, ujścia wywołania zwrotnego i połączeń wychodzących

  1. Aby ustanowić wyjątek zapory dla portu DCOM 135, użyj następującego polecenia.

    netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. Aby ustanowić wyjątek zapory dla usługi WMI, użyj następującego polecenia.

    netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. Aby ustanowić wyjątek zapory dla ujścia, który odbiera wywołania zwrotne z komputera zdalnego, użyj następującego polecenia.

    netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. Aby ustanowić wyjątek zapory dla połączeń wychodzących z komputerem zdalnym, z którego komputer lokalny komunikuje się asynchronicznie, użyj następującego polecenia.

    netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Aby oddzielnie wyłączyć wyjątki zapory, użyj następujących poleceń.

Aby wyłączyć ruch WMI przy użyciu oddzielnych reguł dla modelu DCOM, usługi WMI, ujścia wywołania zwrotnego i połączeń wychodzących

  1. Aby wyłączyć wyjątek dla DCOM.

    netsh advfirewall firewall delete rule name="DCOM"

  2. Aby wyłączyć wyjątek usługi WMI.

    netsh advfirewall firewall delete rule name="WMI"

  3. Aby wyłączyć wyjątek ujścia.

    netsh advfirewall firewall delete rule name="UnsecApp"

  4. Aby wyłączyć wyjątek wychodzący.

    netsh advfirewall firewall delete rule name="WMI_OUT"

Ustawienia kontroli konta użytkownika

Filtrowanie tokenów dostępu kontroli konta użytkownika (UAC) może mieć wpływ na to, które operacje są dozwolone w przestrzeniach nazw usługi WMI lub jakie dane są zwracane. W ramach Kontroli konta użytkownika wszystkie konta w lokalnej grupie Administratorzy działają z standardowym tokenem dostępu, znanym również jako filtrowanie tokenów dostępu Kontroli konta użytkownika. Konto administratora może uruchomić skrypt z podwyższonym poziomem uprawnień — "Uruchom jako administrator".

Jeśli nie łączysz się z wbudowanym kontem Administratora, kontrola konta użytkownika (UAC) wpływa na połączenia z komputerem zdalnym w różny sposób, w zależności od tego, czy oba komputery znajdują się w domenie, czy w grupie roboczej. Aby uzyskać więcej informacji na temat Kontroli konta użytkownika i połączeń zdalnych, zobacz Kontrola konta użytkownika i WMI.

Ustawienia modelu DCOM

Aby uzyskać więcej informacji na temat ustawień DCOM, zobacz Zabezpieczanie zdalnego połączenia WMI. Kontrola konta użytkownika (UAC) ma wpływ na połączenia dla kont użytkowników spoza domeny. Jeśli nawiążesz połączenie z komputerem zdalnym przy użyciu konta użytkownika niezwiązanego z domeną, które jest uwzględnione w lokalnej grupie Administratorzy komputera zdalnego, musisz jawnie udzielić uprawnień dostępu, aktywacji i uruchamiania DCOM zdalnego dla tego konta.

Ustawienia modelu CIMOM

Ustawienia modelu CIMOM należy zaktualizować, jeśli połączenie zdalne znajduje się między komputerami, które nie mają relacji zaufania; w przeciwnym razie połączenie asynchroniczne zakończy się niepowodzeniem. To ustawienie nie powinno być modyfikowane dla komputerów w tej samej domenie lub w zaufanych domenach.

Aby zezwolić na anonimowe wywołania zwrotne, należy zmodyfikować następujący wpis rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

               Typ danych

               REG\_DWORD

Jeśli wartość AllowAnonymousCallback jest ustawiona na 0, usługa WMI zapobiega anonimowym wywołaniom zwrotnym do klienta. Jeśli wartość jest ustawiona na 1, usługa WMI zezwala na anonimowe wywołania zwrotne do klienta.

Łączenie się z usługą WMI na komputerze zdalnym