Управление учетными записями пользователей и WMI

Контроль учетных записей пользователей (UAC) влияет на данные WMI, возвращаемые из средства командной строки, удаленного доступа и способа выполнения скриптов. Дополнительные сведения об UAC см. в разделе Начало работы суправления учетными записями пользователей.

В следующих разделах описаны функции UAC:

• контроль учетных записей пользователей
• учетная запись, необходимая для запуска Command-Line средств WMI
• обработка удаленных подключений в UAC
• влияние UAC на данные WMI, возвращенные скриптам или приложениям
• связанные разделы

Контроль учетных записей пользователей

В рамках UAC учетные записи в локальной группе администраторов имеют два маркера доступа , один со стандартными привилегиями пользователя и одним с правами администратора. Из-за фильтрации маркеров доступа UAC скрипт обычно выполняется под стандартным маркером пользователя, если он не запускается как администратор в режиме повышенных привилегий. Не все скрипты требуют прав администратора.

Скрипты не могут программно определить, выполняются ли они под стандартным маркером безопасности пользователя или маркером администратора. Сценарий может завершиться ошибкой отказа в доступе. Если скрипту требуются права администратора, его необходимо запустить в режиме с повышенными привилегиями. Доступ к пространствам имен WMI отличается в зависимости от того, выполняется ли скрипт в режиме повышенной привилегии. Некоторые операции WMI, такие как получение данных или выполнение большинства методов, не требуют запуска учетной записи от имени администратора. Дополнительные сведения о разрешениях доступа по умолчанию см. в разделе Доступ к пространствам имен WMI и выполнение привилегированных операций.

Из-за контроля учетных записей учетных записей учетная запись, выполняющая скрипт, должна находиться в группе "Администраторы" на локальном компьютере, чтобы иметь возможность выполняться с повышенными правами.

Скрипт или приложение с повышенными правами можно запустить, выполнив один из следующих методов:

запуск скрипта в режиме с повышенными привилегиями

1. Откройте окно командной строки, щелкнув правой кнопкой мыши командную строку в меню "Пуск", а затем щелкните запустить от имени администратора.
2. Запланируйте выполнение скрипта с повышенными привилегиями с помощью планировщика задач. Дополнительные сведения см. в разделе Контексты безопасности для выполнения задач.
3. Запустите скрипт с помощью встроенной учетной записи администратора.

Учетная запись, необходимая для запуска средств WMI Command-Line

Чтобы запустить следующие WMI Command-Line Сервис, учетная запись должна находиться в группе "Администраторы", а средство должно выполняться из командной строки с повышенными привилегиями. Встроенная учетная запись администратора также может запускать эти средства.

• mofcomp

• wmic

  При первом запуске Wmic после установки системы он должен выполняться из командной строки с повышенными привилегиями. Режим с повышенными привилегиями может не потребоваться для последующих выполнений Wmic, если операции WMI не требуют прав администратора.

• winmgmt

• wmiadap

Чтобы запустить элемента управления WMI (Wmimgmt.msc) и внести изменения в параметры безопасности пространства имен WMI или аудита, учетная запись должна иметь право "Изменить безопасность" явным образом или в локальной группе администраторов. Встроенная учетная запись администратора также может изменить безопасность или аудит пространства имен.

Wbemtest.exe, средство командной строки, которое не поддерживается службами поддержки клиентов Майкрософт, может выполняться учетными записями, которые не находятся в локальной группе администраторов, если только определенная операция не требует привилегий, которые обычно предоставляются учетным записям администратора.

Обработка удаленных подключений в UAC

Независимо от того, подключаетесь ли вы к удаленному компьютеру в домене или в рабочей группе, определяет, происходит ли фильтрация UAC.

Если компьютер является частью домена, подключитесь к целевому компьютеру с помощью учетной записи домена, которая находится в локальной группе администраторов удаленного компьютера. После этого фильтрация маркеров доступа UAC не повлияет на учетные записи домена в локальной группе администраторов. Не используйте локальную, недоменовую учетную запись на удаленном компьютере, даже если учетная запись находится в группе "Администраторы".

В рабочей группе учетная запись, подключающаяся к удаленному компьютеру, является локальным пользователем на этом компьютере. Даже если учетная запись находится в группе "Администраторы", фильтрация UAC означает, что скрипт выполняется как стандартный пользователь. Рекомендуется создать выделенную локальную группу пользователей или учетную запись пользователя на целевом компьютере специально для удаленных подключений.

Безопасность должна быть скорректирована, чтобы иметь возможность использовать эту учетную запись, так как у учетной записи никогда не было прав администратора. Предоставьте локальному пользователю:

• Удаленный запуск и активация прав доступа к DCOM. Дополнительные сведения см. в подключении к WMI на удаленном компьютере.
• Права на удаленный доступ к пространству имен WMI (удаленное включение). Дополнительные сведения см. в разделе Access к пространствам имен WMI.
• Право доступа к конкретному защищаемому объекту в зависимости от безопасности, требуемой объектом.

Если вы используете локальную учетную запись либо из-за того, что вы находитесь в рабочей группе, либо это локальная учетная запись компьютера, вы можете быть вынуждены предоставить определенные задачи локальному пользователю. Например, можно предоставить пользователю право остановить или запустить определенную службу с помощью команды SC.exe, GetSecurityDescriptor и SetSecurityDescriptor методов Win32_Serviceили с помощью групповой политики с помощью Gpedit.msc. Некоторые защищаемые объекты могут не позволить стандартному пользователю выполнять задачи и не предоставлять никаких средств для изменения безопасности по умолчанию. В этом случае может потребоваться отключить UAC, чтобы локальная учетная запись пользователя не фильтровалась и вместо этого становится полным администратором. Помните, что по соображениям безопасности отключение UAC должно быть последним средством.

Отключение удаленного пользовательского приложения путем изменения записи реестра, которая управляет удаленным пользовательским приложением, не рекомендуется, но может потребоваться в рабочей группе. Запись реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy. Если значение этой записи равно нулю (0), включена фильтрация маркеров удаленного доступа UAC. Если значение равно 1, удаленный UAC отключен.

Влияние UAC на данные WMI, возвращенные скриптам или приложениям

Если сценарий или приложение выполняется под учетной записью в группе "Администраторы", но не работает с повышенными привилегиями, вы можете не получить все возвращенные данные, так как эта учетная запись выполняется как стандартный пользователь. Поставщики WMI для некоторых классов не возвращают все экземпляры в стандартную учетную запись пользователя или учетную запись администратора, которая не работает в качестве полного администратора из-за фильтрации UAC.

Следующие классы не возвращают некоторые экземпляры, если учетная запись фильтруется по UAC:

• Win32_Bus
• Win32_Printer
• Win32_ComponentCategory
• Win32_LogicalProgramGroupItem
• Win32_LogicalProgramGroup
• Win32_NetworkConnection
• Win32_UserAccount
• Win32_PrinterDriver
• Win32_PortResource
• Win32_DeviceMemoryAddress

Следующие классы не возвращают некоторые свойства, если учетная запись фильтруется по UAC:

• Win32_NetworkAdapterConfiguration
• Win32_DCOMApplicationSetting
• Win32_DCOMApplication
• Win32_Baseboard
• Win32_ComputerSystem
• Win32_NetworkAdapter
• Win32_MotherboardDevice
• Win32_DiskDrive
• Win32_PnPEntity
• Win32_VideoController
• Win32_ParallelPort
• Win32_LogicalDisk
• Win32_SystemDriver
• Win32_IRQResource
• Win32_NetworkProtocol

Связанные разделы

О WMI

доступ к защищаемым объектам WMI

изменение безопасности доступа в защищаемых объектах