Freigeben über

Installation und Konfiguration für Windows-Remoteverwaltung

  • Artikel

Damit Windows-Remoteverwaltungsskripts (WinRM) ausgeführt werden können und das Winrm-Befehlszeilentool Datenvorgänge ausführen kann, muss WinRM sowohl installiert als auch konfiguriert werden.

Diese Elemente hängen auch von der WinRM-Konfiguration ab.

Der Installationspfad von WinRM

WinRM wird mit allen derzeit unterstützten Versionen des Windows-Betriebssystems automatisch installiert.

Konfiguration von WinRM und IPMI

Diese WMI-Anbieterkomponenten von WinRM und Intelligent Platform Management Interface (IPMI) werden mit dem Betriebssystem installiert.

  • Der WinRM-Dienst wird ab Windows Server 2008 automatisch gestartet. In früheren Versionen von Windows (Client oder Server) müssen Sie den Dienst manuell starten.
  • Standardmäßig ist kein WinRM-Listener konfiguriert. Selbst wenn der WinRM-Dienst ausgeführt wird, meldet das WS-Management-Protokoll, dass Anforderungsdaten nicht empfangen oder gesendet werden.
  • Die Internetverbindungsfirewall (Internet Connection Firewall, ICF) blockiert den Zugriff auf Ports.

Verwenden Sie den winrm-Befehl, um Listener und Adressen zu finden, indem Sie an einer Eingabeaufforderung den folgenden Befehl eingeben.

winrm enumerate winrm/config/listener

Geben Sie den folgenden Befehl ein, um den Status der Konfigurationseinstellungen zu überprüfen.

winrm get winrm/config

Schnelle Standardkonfiguration

Aktivieren Sie WS-Management-Protokoll auf dem lokalen Computer, und richten Sie die Standardkonfiguration für die Remoteverwaltung mit dem Befehl winrm quickconfig ein.

Der winrm quickconfig-Befehl (der als winrm qc abgekürzt werden kann) führt die folgenden Vorgänge aus:

  • Startet den WinRM-Dienst und legt den Dienststarttyp auf den automatischen Start fest.
  • Konfiguriert einen Listener für die Ports, die Nachrichten des WS-Management-Protokolls mithilfe von HTTP oder HTTPS an einer beliebigen IP-Adresse senden und empfangen.
  • Definiert ICF-Ausnahmen für den WinRM-Dienst und öffnet die Ports für HTTP und HTTPS.

Hinweis

Der winrm quickconfig-Befehl erstellt eine Firewallausnahme nur für das aktuelle Benutzerprofil. Wenn das Firewallprofil aus irgendeinem Grund geändert wird, führen Sie winrm quickconfig aus, um die Firewallausnahme für das neue Profil zu aktivieren (andernfalls ist die Ausnahme möglicherweise nicht aktiviert).

Um Informationen zum Anpassen einer Konfiguration abzurufen, geben Sie den folgenden Befehl an einer Eingabeaufforderung ein.

winrm help config

Konfigurieren von WinRM mit Standardeinstellungen

  1. Führen Sie im Administratorkonto des lokalen Computers an einer Eingabeaufforderung den folgenden Befehl aus:

    winrm quickconfig

    Wenn Sie nicht als Administrator des lokalen Computers ausführen, wählen Sie entweder im Startmenü Als Administrator ausführen aus, oder verwenden Sie den Runas-Befehl an einer Eingabeaufforderung.

  2. Wenn das Tool Diese Änderungen vornehmen [j/n]? anzeigt, geben Sie j ein.

    Wenn die Konfiguration erfolgreich ist, wird die folgende Ausgabe angezeigt.

    WinRM has been updated for remote management.

WinRM service type changed to delayed auto start.
WinRM service started.
Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.

  3. Behalten Sie die Standardeinstellungen für Client- und Serverkomponenten von WinRM bei, oder passen Sie sie an. Beispielsweise müssen Sie der Clientkonfigurationsliste TrustedHosts möglicherweise bestimmte Remotecomputer hinzufügen.

    Richten Sie eine Liste vertrauenswürdiger Hosts ein, wenn keine gegenseitige Authentifizierung eingerichtet werden kann. Kerberos ermöglicht die gegenseitige Authentifizierung, kann aber nicht in Arbeitsgruppen verwendet werden; nur Domänen. Eine bewährte Methode beim Einrichten vertrauenswürdiger Hosts für eine Arbeitsgruppe besteht darin, die Liste so klein wie möglich zu halten.

  4. Erstellen Sie einen HTTPS-Listener, indem Sie den folgenden Befehl eingeben:

    winrm quickconfig -transport:https

    Hinweis

    Öffnen Sie Port 5986, damit der HTTPS-Transport funktioniert.

Standardeinstellungen für den Listener und das WS-Management-Protokoll

Geben Sie an einer Eingabeaufforderung winrm enumerate winrm/config/listener ein, um die Listenerkonfiguration abzurufen. Listener werden durch einen Transport (HTTP oder HTTPS) und eine IPv4- oder IPv6-Adresse definiert.

Der winrm quickconfig-Befehl erstellt die folgenden Standardeinstellungen für einen Listener. Sie können mehrere Listener erstellen. Geben Sie an einer Eingabeaufforderung winrm help config ein, um weitere Informationen abzurufen.

Adresse

Gibt die Adresse an, für die der Listener erstellt wird.

Transport

Legt den Transport zum Senden und Empfangen von WS-Management-Protokollanforderungen und -antworten fest. Der Wert muss entweder HTTP oder HTTPS sein. Die Standardeinstellung ist HTTP.

Port

Gibt den TCP-Port an, für den der Listener erstellt wird.

WinRM 2.0: Der standardmäßige HTTP-Port ist 5985.

Hostname

Gibt den Hostnamen des Computers an, auf dem der WinRM-Dienst ausgeführt wird. Bei diesem Wert muss es sich um einen vollständig qualifizierten Domänennamen, eine IPv4- oder IPv6-Literalzeichenfolge oder ein Platzhalterzeichen handeln.

Aktiviert

Gibt an, ob der Listener aktiviert oder deaktiviert ist. Der Standardwert ist True.

URLPrefix

Gibt ein URL-Präfix an, für das HTTP- oder HTTPS-Anforderungen akzeptiert werden sollen. Diese Zeichenfolge enthält nur die Zeichen a–z, A–Z, 9–0, Unterstrich (_) und Schrägstrich (/). Die Zeichenfolge darf nicht mit einem Schrägstrich (/) beginnen oder enden. Beispiel: Wenn der Computername SampleMachine ist, würde der WinRM-Client https://SampleMachine/<URLPrefix> in der Zieladresse angeben. Das Standard-URL-Präfix ist wsman.

CertificateThumbprint

Gibt den Fingerabdruck des Dienstzertifikats an. Dieser Wert stellt eine Zeichenfolge mit zweistelligen Hexadezimalwerten dar, die sich im Feld Fingerabdruck des Zertifikats befinden. Diese Zeichenfolge enthält den SHA-1-Hash des Zertifikats. Zertifikate werden bei der clientzertifikatbasierten Authentifizierung verwendet. Zertifikate können nur lokalen Benutzerkonten zugeordnet werden. Sie funktionieren nicht mit Domänenkonten.

ListeningOn

Gibt die IPv4- und IPv6-Adressen an, die der Listener verwendet. Beispiel: 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6

Standardeinstellungen für das Protokoll

Viele der Konfigurationseinstellungen, z. B. MaxEnvelopeSizekb oder SoapTraceEnabled, bestimmen, wie der WinRM-Client und die Serverkomponenten mit dem WS-Management-Protokoll interagieren. In den folgenden Abschnitten werden die verfügbaren Konfigurationseinstellungen beschrieben.

MaxEnvelopeSizekb

Gibt die maximalen SOAP-Daten (Simple Object Access Protocol) in Kilobyte an. Der Standardwert ist 150 Kilobytes.

Hinweis

Das Verhalten wird nicht unterstützt, wenn MaxEnvelopeSizekb auf einen größeren Wert als 1039440 festgelegt ist.

MaxTimeoutms

Gibt den maximalen Timeoutwert in Millisekunden an, der für alle Anforderungen außer Pull-Anforderungen verwendet werden kann. Der Standardwert ist 60.000.

MaxBatchItems

Gibt die maximale Anzahl von Elementen an, die in einer Pull-Antwort verwendet werden können. Der Standardwert ist 32000.

MaxProviderRequests

Gibt die maximale Anzahl gleichzeitiger Anforderungen vom Dienst an, die zulässig sind. Der Standard ist 25.

WinRM 2.0: Diese Einstellung ist veraltet und ist schreibgeschützt.

Standardmäßige WinRM-Clientkonfigurationseinstellungen

Die Clientversion von WinRM verfügt über die folgenden Standardkonfigurationseinstellungen.

NetworkDelayms

Gibt die Zeit in Millisekunden an, die der Clientcomputer wartet, um der Netzwerk-Verzögerungszeit gerecht zu werden. Der Standardwert beträgt 5000 Millisekunden.

URLPrefix

Gibt ein URL-Präfix an, für das HTTP- oder HTTPS-Anforderungen akzeptiert werden sollen. Das Standard-URL-Präfix ist wsman.

AllowUnencrypted

Ermöglicht es dem Clientcomputer, unverschlüsselten Verkehr anzufordern. Standardmäßig erfordert der Clientcomputer verschlüsselten Netzwerkdatenverkehr, und diese Einstellung ist False.

Grundlegend

Ermöglicht es dem Clientcomputer, die Standardauthentifizierung zu verwenden. Standardauthentifizierung ist ein Schema, in dem der Benutzername und das Kennwort in Klartext an den Server oder Proxy gesendet werden. Diese Methode ist die am wenigsten sichere Authentifizierungsmethode. Der Standardwert ist True.

Digest

Ermöglicht dem Client, Digestauthentifizierung zu verwenden. Die Digestauthentifizierung ist ein Abfrage/Antwort-Schema, das eine serverspezifische Zeichenfolge für die Abfrage verwendet. Nur der Clientcomputer kann eine Anforderung der Digestauthentifizierung initiieren.

Der Clientcomputer sendet eine Anforderung an den zu authentifizierenden Server und erhält eine Tokenzeichenfolge vom Server. Anschließend sendet der Clientcomputer die Ressourcenanforderung, einschließlich des Benutzernamens und eines kryptografischen Hashs des Kennworts in Kombination mit der Tokenzeichenfolge.

Digestauthentifizierung wird für HTTP und HTTPS unterstützt. WinRM-Shell-Clientskripts und -Anwendungen können die Digestauthentifizierung angeben, der WinRM-Dienst akzeptiert jedoch keine Digestauthentifizierung. Der Standardwert ist True.

Hinweis

Digestauthentifizierung über HTTP wird nicht als sicher betrachtet.

Zertifikat

Lässt die clientzertifikatbasierte Authentifizierung durch den Client zu. Die zertifikatbasierte Authentifizierung ist ein Schema, bei dem der Server einen Client authentifiziert, der durch ein X509-Zertifikat identifiziert wird. Der Standardwert ist True.

Kerberos

Ermöglicht dem Client, Kerberos-Authentifizierung zu verwenden. Kerberos-Authentifizierung ist ein Schema, in dem sich der Client und Server gegenseitig mit Kerberos-Zertifikaten authentifizieren. Der Standardwert ist True.

Aushandeln

Ermöglicht die Verwendung der Negotiate-Authentifizierung durch den Client. Negotiate-Authentifizierung ist ein Schema, in dem der Client eine Anforderung an den zu authentifizierenden Server sendet.

Der Server bestimmt, ob das Kerberos-Protokoll oder NT LAN Manager (NTLM) verwendet wird. Das Kerberos-Protokoll ist für die Authentifizierung eines Domänenkontos ausgewählt. NTLM ist für lokale Computerkonten ausgewählt. Der Benutzername muss im Format Domäne\Benutzername für einen Domänenbenutzer angegeben werden. Der Benutzername muss im Format Servername\Benutzername für einen lokalen Benutzer auf einem Servercomputer angegeben werden. Der Standardwert ist True.

CredSSP

Lässt die Verwendung der CredSSP-Authentifizierung (Credential Security Support Provider) durch den Client zu. CredSSP ermöglicht es einer Anwendung, die Anmeldeinformationen des Benutzers vom Clientcomputer an den Zielserver zu delegieren. Der Standardwert ist False.

DefaultPorts

Gibt die Ports an, die der Client für HTTP oder HTTPS verwendet.

WinRM 2.0: Der HTTP-Standardport ist 5985, und der HTTPS-Standardport ist 5986.

TrustedHosts

Gibt die Liste der vertrauenswürdigen Remotecomputer an. Andere Computer in einer Arbeitsgruppe oder Computer in einer anderen Domäne müssen dieser Liste hinzugefügt werden.

Hinweis

Die Computer in der Liste der vertrauenswürdigen Hosts werden nicht authentifiziert. Der Client sendet möglicherweise Anmeldeinformationen an diese Computer.

Wenn eine IPv6-Adresse für einen vertrauenswürdigen Host angegeben ist, muss die Adresse in eckige Klammern gesetzt werden, wie der folgende Winrm-Hilfsbefehl zeigt:

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Geben Sie winrm help config ein, um weitere Informationen zum Hinzufügen von Computern zur TrustedHosts-Liste zu erhalten.

Standardkonfigurationseinstellungen des WinRM-Diensts

Die Dienstversion von WinRM verfügt über die folgenden Standardkonfigurationseinstellungen.

RootSDDL

Gibt den Sicherheitsdeskriptor an, der den Remotezugriff auf den Listener steuert. Der Standardwert ist O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

Die maximale Anzahl gleichzeitiger Vorgänge. Der Standard ist 100.

WinRM 2.0: Die MaxConcurrentOperations-Einstellung ist veraltet und ist schreibgeschützt. Diese Einstellung wurde durch MaxConcurrentOperationsPerUser ersetzt.

MaxConcurrentOperationsPerUser

Gibt die maximale Anzahl gleichzeitiger Vorgänge an, die jeder Benutzer remote im selben System öffnen kann. Der Standardwert ist 1500.

EnumerationTimeoutms

Gibt das Leerlauftimeout in Millisekunden zwischen Pull Nachrichten an. Der Standardwert ist 60.000.

MaxConnections

Gibt die maximale Anzahl aktiver Anforderungen an, die der Dienst gleichzeitig verarbeiten kann. Der Standardwert ist 300.

WinRM 2.0: Der Standardwert ist 25.

MaxPacketRetrievalTimeSeconds

Gibt die maximale Zeitdauer in Sekunden an, die der WinRM-Dienst zum Abrufen eines Pakets benötigt. Der Standardwert ist 120 Sekunden.

AllowUnencrypted

Ermöglicht es dem Clientcomputer, unverschlüsselten Verkehr anzufordern. Der Standardwert ist False.

Grundlegend

Lässt die Verwendung der Standardauthentifizierung durch den WinRM-Dienst zu. Der Standardwert ist False.

Zertifikat

Lässt die Verwendung der clientzertifikatbasierten Authentifizierung durch den WinRM-Dienst zu. Der Standardwert ist False.

Kerberos

Lässt die Verwendung der Kerberos-Authentifizierung durch den WinRM-Dienst zu. Der Standardwert ist True.

Aushandeln

Lässt die Verwendung der Negotiate-Authentifizierung durch den WinRM-Dienst zu. Der Standardwert ist True.

CredSSP

Lässt die Verwendung der CredSSP-Authentifizierung (Credential Security Support Provider) durch den WinRM-Dienst zu. Der Standardwert ist False.

CbtHardeningLevel

Legt die Richtlinie für Kanalbindungstoken-Anforderungen in Authentifizierungsanforderungen fest. Der Standardwert ist Gelockert.

DefaultPorts

Gibt die Ports an, die der WinRM-Dienst für HTTP oder HTTPS verwendet.

WinRM 2.0: Der standardmäßige HTTP-Port ist 5985. Der Standard-HTTPS-Port ist 5986.

IPv4Filter und IPv6Filter

Gibt die IPv4- oder IPv6-Adressen an, die Listener verwenden können. Die Standardwerte sind IPv4Filter = * und IPv6Filter = *.

  • IPv4: Eine IPv4-Literalzeichenfolge besteht aus vier gepunkteten Dezimalzahlen, die jeweils im Bereich von 0 bis 255 liegen. Beispiel: 192.168.0.0.
  • IPv6: Eine IPv6-Literalzeichenfolge ist in Klammern eingeschlossen und enthält hexadezimale Zahlen, die durch Doppelpunkte getrennt sind. Beispiel: [::1] oder [3ffe:ffff::6ECB:0101].

EnableCompatibilityHttpListener

Gibt an, ob der HTTP-Listener für Kompatibilität aktiviert ist. Wenn diese Einstellung True lautet, lauscht der Listener neben Port 5985 auch an Port 80. Der Standardwert ist False.

EnableCompatibilityHttpsListener

Gibt an, ob der HTTPS-Listener für Kompatibilität aktiviert ist. Wenn diese Einstellung True lautet, lauscht der Listener neben Port 5986 auch an Port 443. Der Standardwert ist False.

Winrs-Standardkonfigurationseinstellungen

Mit dem winrm quickconfig-Befehl werden auch Winrs-Standardeinstellungen konfiguriert.

AllowRemoteShellAccess

Ermöglicht den Zugriff auf Remoteshells. Wenn Sie diesen Parameter auf False festlegen, lehnt der Server neue Remoteshellverbindungen vom Server ab. Der Standardwert ist True.

IdleTimeout

Gibt die maximale Zeit in Millisekunden an, die die Remoteshell geöffnet bleibt, wenn keine Benutzeraktivität in der Remoteshell vorhanden ist. Die Remoteshell wird nach diesem Zeitpunkt gelöscht.

WinRM 2.0: Der Standardwert ist 180000. Der Mindestwert beträgt 60000. Das Festlegen dieses Werts unter 60000 hat keine Auswirkungen auf das Timeoutverhalten.

MaxConcurrentUsers

Gibt die maximale Anzahl von Benutzern an, die gleichzeitig Remotevorgänge auf demselben Computer über eine Remoteshell ausführen können. Wenn neue Remoteshellverbindungen den Grenzwert überschreiten, lehnt der Computer sie ab. Der Standard ist 5.

MaxShellRunTime

Gibt die maximale Zeit in Millisekunden an, die der Remotebefehl oder das Skript ausgeführt werden darf. Der Standardwert ist 28800000.

WinRM 2.0: Die MaxShellRunTime-Einstellung ist schreibgeschützt. Das Ändern des Werts für MaxShellRunTime hat keine Auswirkungen auf die Remoteshells.

MaxProcessesPerShell

Gibt die maximale Anzahl von Prozessen an, die jeder Shellvorgang starten darf. Der Wert 0 ermöglicht eine unbegrenzte Anzahl von Prozessen. Der Standardwert beträgt 15.

MaxMemoryPerShellMB

Gibt die maximale Menge des pro Shell zugeteilten Arbeitsspeichers an, einschließlich der untergeordneten Prozesse der Shell. Die Standardeinstellung ist 150 MB.

MaxShellsPerUser

Gibt die maximale Anzahl gleichzeitiger Shells an, die jeder Benutzer remote auf demselben Computer öffnen kann. Wenn diese Richtlinieneinstellung aktiviert ist, kann der Benutzer keine neuen Remoteshells öffnen, wenn die Anzahl den angegebenen Grenzwert überschreitet. Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, wird der Grenzwert standardmäßig auf fünf Remoteshells pro Benutzer festgelegt.

Konfigurieren von WinRM mit einer Gruppenrichtlinie

Verwenden Sie den Editor für Gruppenrichtlinien, um Windows-Remoteshell und WinRM für Computer in Ihrem Unternehmen zu konfigurieren.

Konfigurieren mit Gruppenrichtlinie:

  1. Öffnen Sie ein Eingabeaufforderungsfenster als ein Administrator.
  2. Geben Sie an der Eingabeaufforderung gpedit.msc ein: Das Fenster des Gruppenrichtlinienobjekt-Editors wird geöffnet.
  3. Suchen Sie unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten nach den Gruppenrichtlinienobjekten (GPO) der Windows-Remoteverwaltung und von Windows-Remoteshell.
  4. Wählen Sie auf der Registerkarte Erweitert eine Einstellung aus, um eine Beschreibung anzuzeigen. Doppelklicken Sie auf eine Einstellung, um sie zu bearbeiten.

Windows-Firewall- und WinRM 2.0-Ports

Ab WinRM 2.0 sind die von Winrm quickconfig standardmäßig konfigurierten Listenerports Port 5985 für HTTP-Transport und Port 5986 für HTTPS. WinRM-Listener können an jedem beliebigen Port konfiguriert werden.

Wenn Sie ein Upgrade eines Computers auf WinRM 2.0 durchführen, werden die zuvor konfigurierten Listener migriert und empfangen weiterhin Datenverkehr.

WinRM-Installations- und Konfigurationshinweise

WinRM ist nicht von anderen Diensten abhängig, außer WinHttp. Wenn der IIS-Administratordienst auf demselben Computer installiert ist, werden möglicherweise Meldungen angezeigt, die angeben, dass WinRM nicht vor Internetinformationsdienste (IIS) geladen werden kann. WinRM hängt jedoch nicht tatsächlich von IIS ab. Diese Meldungen treten auf, da durch die Ladereihenfolge sichergestellt wird, dass der IIS-Dienst vor dem HTTP-Dienst gestartet wird. Für WinRM ist die WinHTTP.dll-Registrierung erforderlich.

Wenn der ISA2004-Firewallclient auf dem Computer installiert ist, kann er dazu führen, dass ein Webdienst für den Verwaltungsclient (WS-Management) nicht mehr reagiert. Um dieses Problem zu vermeiden, installieren Sie ISA2004 Firewall SP1.

Wenn zwei Listenerdienste mit unterschiedlichen IP-Adressen mit der gleichen Portnummer und demselben Computernamen konfiguriert sind, lauscht WinRM oder empfängt Nachrichten nur an einer Adresse. Dieser Ansatz wird verwendet, da die vom WS-Management-Protokoll verwendeten URL-Präfixe identisch sind.

IPMI-Treiber- und Anbieterinstallationshinweise

Der Treiber erkennt möglicherweise nicht die Existenz von IPMI-Treibern, die nicht von Microsoft stammen. Wenn der Treiber nicht gestartet werden kann, müssen Sie ihn möglicherweise deaktivieren.

Wenn die BMC-Ressourcen (Baseboard Management Controller) im System-BIOS angezeigt werden, erkennt ACPI (Plug & Play) die BMC-Hardware und installiert automatisch den IPMI-Treiber. Plug & Play Unterstützung ist möglicherweise nicht in allen BMCs vorhanden. Wenn der BMC von Plug & Play erkannt wird, wird ein unbekanntes Gerät in Geräte-Manager angezeigt, bevor die Hardwareverwaltungskomponente installiert wird. Wenn der Treiber installiert ist, wird eine neue Komponente, das generische IPMI-kompatible Gerät von Microsoft ACPI, in Geräte-Manager angezeigt.

Wenn ihr System den BMC nicht automatisch erkennt und den Treiber installiert, während des Setupvorgangs jedoch ein BMC erkannt wurde, erstellen Sie das BMC-Gerät. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, um das Gerät zu erstellen:

Rundll32 ipmisetp.dll, AddTheDevice

Nachdem dieser Befehl ausgeführt wurde, wird das IPMI-Gerät erstellt und in Geräte-Manager angezeigt. Wenn Sie die Hardwareverwaltungskomponente deinstallieren, wird das Gerät entfernt.

Weitere Informationen finden Sie in der Einführung in die Hardwareverwaltung.

Der IPMI-Anbieter platziert die Hardwareklassen im Namespace root\hardware von WMI. Weitere Informationen zu den Hardwareklassen finden Sie unter IPMI-Anbieter. Weitere Informationen zu WMI-Namespaces finden Sie unter WMI-Architektur.

Hinweise zur WMI-Plug-In-Konfiguration

Ab Windows 8 und Windows Server 2012 verfügen WMI-Plug-Ins über eigene Sicherheitskonfigurationen. Damit ein Standard- oder Hauptbenutzer (kein Administrator), das WMI-Plug-In verwenden kann, aktivieren Sie den Zugriff für diesen Benutzer, nachdem der Listener konfiguriert wurde. Richten Sie den Benutzer für den Remotezugriff auf WMI mit einem der folgenden Schritte ein.

  • Führen Sie den lusrmgr.msc-Befehl aus um den Benutzer der Gruppe WinRMRemoteWMIUsers__ im Fenster Lokale Benutzer und Gruppen hinzuzufügen.

  • Verwenden Sie das Winrm-Befehlszeilentool, um den Sicherheitsdeskriptor für den Namespace des WMI-Plug-Ins zu konfigurieren:

    winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace

Wenn die Benutzeroberfläche angezeigt wird, fügen Sie den Benutzer hinzu.

Nachdem Sie den Benutzer für den Remotezugriff auf WMI eingerichtet haben, müssen Sie WMI einrichten, damit der Benutzer auf das Plug-In zugreifen kann. Um den Zugriff zuzulassen, führen Sie wmimgmt.msc aus, um die WMI-Sicherheit für den Namespace zu ändern, auf den im Fenster WMI-Steuerung zugegriffen werden soll.

Die meisten WMI-Klassen für die Verwaltung befinden sich im Namespace root\cimv2.