Пример настройки компьютеров в домене для опроса по wmi

Для настройки компьютеров в домене для опроса по wmi необходимо выполнить следующие шаги.

1. Установка Network MACMonitor WMI Provider.

Network MACMonitor WMI provider - динамическая библиотека, которая позволяет получать информацию о том, какие  пользовательские сессии активны на компьютере. Так же при установки библиотеки компьютеру присваивается уникальный wmi идентификатор. Если не установить эту библиотеку, то при опросах компьютеров будет недоступна информация о сессиях пользователей, а так же возможны проблемы с идентификацией компьютеров. При отсутствии установленной библиотеки идентификация компьютера осуществляется по трем параметрам: серийному номеру материнской платы, идентификатору компьютерной системы и времени установки операционной системы. Три этих параметра могут совпадать, например если система клонировалась с одного компьютера на другой.

1.1. Создать общий сетевой ресурс \\dc.macmonitor.by\common\ и дать права на его чтение и выполнение компьютерам домена.

1.2. Скачать Network MACMonitor WMI Provider.
sha256: 9f178f013e44eb764a7224fec4fab1452f2533f042fb1a6c203f7794d5fb5bae

1.3. Разместить файл macmonprov_1.0.2.exe на общем сетевом ресурсе.

1.4. Создать файл installprov.cmd на общем сетевом ресурсе со следующим содержимым:

"\\dc.macmonitor.by\macmonprov_1.0.2.exe" /VERYSILENT /LOG="%temp%\wmi_prov.log"

1.5. Создать групповую политику wmi_settings для установки Network MACMonitor WMI Provider.

1.5.1. Зайти в Конфигурация компьютера->Политики->Конфигурация Window->Сценарии→Автозагрузка→ Добавить сценарий. Нажать кнопку Добавить.

1.5.2. Ввести путь к скрипту \\dc.macmonitor.by\common\installprov.cmd и нажать ОК.

1.5.3. Нажать кнопку ОК.

2. Создание пользователя wmi_user в оснастке пользователи и компьютеры.

Если дать пользователю wmi_user административные права на компьютерах, то пункт 3 делать не надо, поскольку администратор уже обладает всеми необходимыми правами.

3. Настройка прав пользователя для опроса по wmi.

3.1. Добавление wmi_user в Группу Пользователи DCOM

3.1.1. Зайти в Конфигурация компьютера->Настройка->Параметры панели управления->
Локальные пользователи и группы.

3.1.2. Нажать создать Локальная группа и добавить в группу Пользователи DCOM пользователя wmi_user. Нажать кнопку ОК.

3.2. Дать права пользователю wmi_user на пространства имен wmi.

3.2.1. Разместить скрипт Set-WmiNamespaceSecurity.ps1 на общем сетевом ресурсе \\dc.macmonitor.by\common\.

Следует обратить внимание, что скрипт нужно подписать сертификатом для подписи кода и этот сертификат должен находиться в доверенных издателях хранилища сертификатов компьютера, иначе скрипт не запустится. Сертификат для подписи кода должен быть подписан доверенным центром сертификации. Добавить сертификат в доверенные издатели можно с помощью групповой политики. Так же должно быть разрешено выполнение Powershell скриптов.

3.2.2. Создать файл wmiperm.cmd для запуска скрипта SetWmiNamespaceSecurity.ps1 на общем сетевом ресурсе \\dc.macmonitor.by\common\ со следующим содержимым:

%systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe -File \\dc.macmonitor.by\common\Set-WmiNamespaceSecurity.ps1 root/cimv2 add Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. Enable -allowInherit
%systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe -File \\dc.macmonitor.by\common\Set-WmiNamespaceSecurity.ps1 root/cimv2 add Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. RemoteAccess -allowInherit
%systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe -File \\dc.macmonitor.by\common\Set-WmiNamespaceSecurity.ps1 root/macmonitorby add Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. Enable -allowInherit
%systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe -File \\dc.macmonitor.by\common\Set-WmiNamespaceSecurity.ps1 root/macmonitorby add Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. RemoteAccess -allowInherit

3.2.3. Зайти в Конфигурация компьютера->Политики->Конфигурация Window->
Сценарии→Автозагрузка→ Добавить сценарий.

3.2.4. Ввести путь к скрипту \\dc.macmonitor.by\common\wmiperm.cmd и нажать ОК.

3.2.5. Нажать кнопку ОК.

4. Настройка брэндмаура windows.

4.1. Зайти Конфигурация компьютера->Политики->Конфигурация Windows->Параметры безопасности->Брандмауэр Windows в режиме повышенной безопасности->Общие параметры->Правила для входящих подключений.

4.2. Нажать создать правило.

4.3. Выбрать предопределенное правило Инструментарий управления windows (WMI). Нажать кнопку Далее.

4.4. В окне предопред. Правила оставить все без изменений и нажать кнопку далее.


4.5. В окне действие выбрать разрешить подключение и нажать Готово.

Настройка опроса windows компьютеров