Konfigurera en fjärr-WMI-anslutning

Om du ansluter till ett WMI-namnområde på en fjärrdator kan du behöva ändra inställningarna för Windows-brandväggen, UAC (User Account Control), DCOM eller Common Information Model Object Manager (CIMOM).

Följande avsnitt beskrivs i det här avsnittet:

• Windows-brandväggsinställningar
• Inställningar för användarkontokontroll
• DCOM-inställningar
• CIMOM-inställningar
• Relaterade ämnen

Inställningar för Windows-brandväggen

WMI-inställningar för Windows-brandväggsinställningar aktiverar endast WMI-anslutningar i stället för andra DCOM-program.

Ett undantag måste anges i brandväggen för WMI på fjärrmåldatorn. Undantaget för WMI gör att WMI kan ta emot fjärranslutningar och asynkrona återanrop till Unsecapp.exe. Mer information finns i Ställa in säkerhet på ett asynkront anrop.

Om en klientapplikation skapar en egen sink måste den sinken uttryckligen läggas till i brandväggsundantagen för att återanrop ska lyckas.

Undantaget för WMI fungerar också om WMI har startats med en fast port med hjälp av kommandot winmgmt /standalonehost. Mer information finns i Konfigurera en fast port för WMI-.

Du kan aktivera eller inaktivera WMI-trafik via Användargränssnittet för Windows-brandväggen.

Aktivera eller inaktivera WMI-trafik med hjälp av brandväggsgränssnittet

1. I Kontrollpanelenklickar du på Security och klickar sedan på Windows-brandväggen.
2. Klicka på Ändra inställningar och klicka sedan på fliken Undantag.
3. I fönstret Undantag markerar du kryssrutan för Windows Management Instrumentation (WMI) för att aktivera WMI-trafik genom brandväggen. Om du vill inaktivera WMI-trafik avmarkerar du kryssrutan.

Du kan aktivera eller inaktivera WMI-trafik via brandväggen i kommandoraden.

Aktivera eller inaktivera WMI-trafik i kommandotolken med hjälp av WMI-regelgrupp

• Använd följande kommandon i en kommandoprompt. Skriv följande för att aktivera WMI-trafik via brandväggen.

  netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" ny aktivera=ja

  Skriv följande kommando för att inaktivera WMI-trafik via brandväggen.

  netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no

I stället för att använda kommandot för en enda WMI-regelgrupp kan du också använda enskilda kommandon för var och en av DCOM, WMI-tjänsten och mottagaren.

Aktivera WMI-trafik med hjälp av separata regler för DCOM, WMI, återanropsmottagare och utgående anslutningar

1. För att upprätta ett brandväggsundantag för DCOM-port 135 använder du följande kommando.

   netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

2. Använd följande kommando för att upprätta ett brandväggsundantag för WMI-tjänsten.

   netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

3. Använd följande kommando för att upprätta ett brandväggsundantag för mottagaren (sink) som tar emot återanrop från en fjärrdator.

   netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

4. Använd följande kommando för att upprätta ett brandväggsundantag för utgående anslutningar till en fjärrdator som den lokala datorn kommunicerar med asynkront.

   netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

För att inaktivera brandväggsundantagen separat använder du följande kommandon.

Inaktivera WMI-trafik med hjälp av separata regler för DCOM, WMI, återanropsmottagare och utgående anslutningar

1. Inaktivera DCOM-undantaget.

   netsh advfirewall firewall delete rule name="DCOM" (Detta kommando tar bort en brandväggsregel för DCOM)

2. Inaktivera WMI-tjänstundantaget.

   netsh advfirewall firewall delete rule name="WMI"

3. Inaktivera undantaget för sänka.

   netsh advfirewall firewall delete rule name="UnsecApp"

4. Inaktivera det utgående undantaget.

   netsh advfirewall firewall delete rule name="WMI_OUT"

Inställningar för användarkontokontroll

Filtrering av UAC-åtkomsttoken (User Account Control) kan påverka vilka åtgärder som tillåts i WMI-namnområden eller vilka data som returneras. Inom UAC körs alla konton i den lokala gruppen Administratörer med en standardanvändars åtkomsttoken , även kallat UAC-åtkomsttokenfiltrering. Ett administratörskonto kan köra ett skript med utökade privilegier – "Kör som administratör".

När du inte ansluter till det inbyggda administratörskontot påverkar UAC anslutningar till en fjärrdator på olika sätt beroende på om de två datorerna finns i en domän eller en arbetsgrupp. Mer information om UAC och fjärranslutningar finns i User Account Control och WMI.

DCOM-inställningar

Mer information om DCOM-inställningar finns i Skydda en fjärr-WMI-anslutning. UAC påverkar dock anslutningar för icke-domänanvändarkonton. Om du ansluter till en fjärrdator med ett icke-domänanvändarkonto som ingår i den lokala gruppen Administratörer på fjärrdatorn måste du uttryckligen bevilja fjärr-DCOM-åtkomst, aktivering och startbehörighet till kontot.

CIMOM-inställningar

CIMOM-inställningarna måste uppdateras om fjärranslutningen är mellan datorer som inte har någon förtroenderelation. Annars misslyckas en asynkron anslutning. Den här inställningen bör inte ändras för datorer i samma domän eller i betrodda domäner.

Följande registerpost måste ändras för att tillåta anonyma återanrop:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

               Datatyp

               REG\_DWORD

Om värdet AllowAnonymousCallback anges till 0 förhindrar WMI-tjänsten anonyma återanrop till klienten. Om värdet är inställt på 1 tillåter WMI-tjänsten anonyma återanrop till klienten.

Relaterade ämnen

Ansluta till WMI på en fjärrdator