共用方式為

設定遠端 WMI 連線

  • 發行項

聯機到遠端電腦上的 WMI 命名空間可能需要您變更 Windows 防火牆使用者帳戶控制 (UAC)、DCOM 或 Common Information Model Object Manager (CIMOM) 的設定。

本主題將討論下列各節:

Windows 防火牆設定

Windows 防火牆設定的 WMI 設定也只啟用 WMI 連線,而不是其他 DCOM 應用程式。

遠端目標電腦上的 WMI 防火牆中必須設定例外狀況。 WMI 的例外允許 WMI 接收遠端連線和異步回呼到 Unsecapp.exe。 如需詳細資訊,請參閱在異步呼叫上設定安全性

如果用戶端應用程式建立自己的接收器,該接收器必須明確新增至防火牆例外,以確保回呼運作成功。

如果 WMI 是以固定埠使用 winmgmt /standalonehost 命令啟動,則 WMI 的例外狀況也會運作。 如需詳細資訊,請參閱 設定 WMI 的固定埠

您可以透過 Windows 防火牆 UI 啟用或停用 WMI 流量。

使用防火牆 UI 啟用或停用 WMI 流量

  1. 在 [控制面板]中,按兩下 [安全性],然後按兩下 [Windows 防火牆]
  2. 按一下 [變更設定],然後按一下 [例外狀況] 索引標籤。
  3. 在 [例外狀況] 視窗中,選取 [Windows Management Instrumentation (WMI) 複選框,以啟用透過防火牆的 WMI 流量。 若要停用 WMI 流量,請清除複選框。

您可以在命令提示字元中透過防火牆啟用或停用 WMI 流量。

透過命令提示字元使用 WMI 規則群組啟用或停用 WMI 流量

  • 在命令提示字元中使用下列命令。 輸入下列命令以啟用透過防火牆的 WMI 流量。

    netsh advfirewall 防火牆設定規則群組="windows management instrumentation (wmi)" 新設定 啟用=是

    輸入下列命令以透過防火牆停用 WMI 流量。

    netsh advfirewall 防火牆 設定規則群組=“windows management instrumentation (wmi)” new enable=no

除了使用單一 WMI 規則群組命令之外,您也可以針對每個 DCOM、WMI 服務和接收器使用個別命令。

使用適用於DCOM、WMI、回呼接收器和傳出連線的個別規則來啟用WMI流量

  1. 若要建立DCOM埠 135 的防火牆例外狀況,請使用下列命令。

    netsh advfirewall 防火牆新增規則 dir=in name=“DCOM” program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. 若要建立 WMI 服務的防火牆例外狀況,請使用下列命令。

    netsh advfirewall 防火牆新增規則 dir=in name=“WMI” program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

  3. 若要為接收遠端電腦回呼的接收端建立防火牆例外狀況,請使用下列命令。

    netsh advfirewall 防火牆新增規則 dir=in name="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. 若要為本機計算機以異步方式通訊之遠端電腦的連出連線建立防火牆例外狀況,請使用下列命令。

    netsh advfirewall 防火牆新增 rule dir=out name =「WMI_OUT」 program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

若要個別停用防火牆例外狀況,請使用下列命令。

使用 DCOM、WMI、回呼接收和傳出連線的不同規則來停用 WMI 流量

  1. 若要停用 DCOM 例外狀況。

    netsh advfirewall 防火牆刪除規則名稱=“DCOM”

  2. 若要停用 WMI 服務例外狀況。

    netsh advfirewall 防火牆刪除規則名稱=“WMI”

  3. 若要停用「Sink Exception」。

    netsh advfirewall 防火牆刪除規則名稱=「UnsecApp」

  4. 停用傳出例外狀況。

    netsh advfirewall 防火牆刪除規則名稱=“WMI_OUT”

用戶帳戶控制設定

用戶帳戶控制 (UAC) 存取令牌篩選可能會影響 WMI 命名空間中允許的作業,或傳回哪些數據。 在 UAC 下,本機 Administrators 群組中的所有帳戶都會以標準使用者 存取令牌執行,也稱為 UAC 存取令牌篩選。 系統管理員帳戶可以執行具有更高許可權的腳本:「以系統管理員身分執行」。

當您未連線到內建系統管理員帳戶時,UAC 會根據兩部計算機位於網域或工作組中,以不同的方式影響遠端電腦的連線。 如需 UAC 和遠端連線的詳細資訊,請參閱 使用者帳戶控制和 WMI

DCOM 設定

如需 DCOM 設定的詳細資訊,請參閱 保護遠端 WMI 連線。 不過,UAC 會影響非網域用戶帳戶的連線。 如果您使用遠端電腦本機 Administrators 群組中包含的非網域使用者帳戶連線到遠端電腦,則必須明確授與遠端 DCOM 存取、啟用和啟動帳戶的許可權。

CIMOM 設定

如果遠端連線位於沒有信任關係的計算機之間,則必須更新 CIMOM 設定;否則,異步連接將會失敗。 對於相同網域或受信任網域中的計算機,不應修改此設定。

必須修改下列登錄專案,以允許匿名回呼。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

               數據類型

               REG\_DWORD

如果 AllowAnonymousCallback 值設定為 0,則 WMI 服務會防止對用戶端進行匿名回呼。 如果值設定為 1,WMI 服務會允許對用戶端進行匿名回呼。

連線到遠端電腦上的 WMI