Controllo account utente e WMI

  • Articolo

Controllo account utente influisce sui dati WMI restituiti da uno strumento da riga di comando, accesso remoto e modalità di esecuzione degli script. Per altre informazioni sull'interfaccia utente, vedere Introduzione con controllo account utente.

Le sezioni seguenti descrivono la funzionalità dell'interfaccia utente:

Controllo dell'account utente

In UAC gli account nel gruppo Administrators locale dispongono di due token di accesso, uno con privilegi utente standard e uno con privilegi di amministratore. A causa del filtro dei token di accesso utente, uno script viene normalmente eseguito con il token utente standard, a meno che non venga eseguito "come amministratore" in modalità privilegi elevati. Non tutti gli script necessari privilegi amministrativi.

Gli script non possono determinare a livello di codice se sono in esecuzione con un token di sicurezza utente standard o un token di amministratore. Lo script potrebbe non riuscire con un errore di accesso negato. Se lo script richiede privilegi di amministratore, deve essere eseguito in modalità con privilegi elevati. L'accesso agli spazi dei nomi WMI varia a seconda che lo script venga eseguito in modalità con privilegi elevati. Alcune operazioni WMI, ad esempio l'acquisizione di dati o l'esecuzione della maggior parte dei metodi, non richiedono che l'account venga eseguito come amministratore. Per altre informazioni sulle autorizzazioni di accesso predefinite, vedere Accesso agli spazi dei nomi WMI ed Esecuzione di operazioni con privilegi.

A causa del controllo account utente, l'account che esegue lo script deve trovarsi nel gruppo Administrators nel computer locale per avere la possibilità di eseguire con diritti elevati.

È possibile eseguire uno script o un'applicazione con diritti elevati eseguendo uno dei metodi seguenti:

Per eseguire uno script in modalità con privilegi elevati

  1. Aprire una finestra del prompt dei comandi facendo clic con il pulsante destro del mouse sul prompt dei comandi nel menu Start e quindi facendo clic su Esegui come amministratore.
  2. Pianificare lo script per l'esecuzione con privilegi elevati tramite Utilità di pianificazione. Per altre informazioni, vedere Contesti di sicurezza per l'esecuzione di attività.
  3. Eseguire lo script usando l'account amministratore predefinito.

Account necessario per eseguire strumenti di Command-Line WMI

Per eseguire il comando WMI Command-Line Tools seguente, l'account deve trovarsi nel gruppo Administrators e lo strumento deve essere eseguito da un prompt dei comandi con privilegi elevati. L'account amministratore predefinito può anche eseguire questi strumenti.

  • mofcomp

  • wmic

    La prima volta che si esegue Wmic dopo l'installazione del sistema, deve essere eseguita da un prompt dei comandi con privilegi elevati. La modalità con privilegi elevati potrebbe non essere necessaria per le esecuzioni successive di Wmic a meno che le operazioni WMI non richiedano privilegi di amministratore.

  • Winmgmt

  • wmiadap

Per eseguire il controllo WMI (Wmimgmt.msc) e apportare modifiche alle impostazioni di sicurezza o controllo dello spazio dei nomi WMI, l'account deve avere il diritto modifica sicurezza concesso in modo esplicito o essere nel gruppo Administrators locale. L'account amministratore predefinito può anche modificare la sicurezza o il controllo per uno spazio dei nomi.

Wbemtest.exe, uno strumento da riga di comando che non è supportato dai servizi del supporto tecnico Microsoft, può essere eseguito da account che non si trovano nel gruppo Administrators locale, a meno che un'operazione specifica non richieda privilegi che normalmente vengono concessi agli account amministratore.

Gestione delle connessioni remote in UAC

Se ci si connette a un computer remoto in un dominio o in un gruppo di lavoro determina se si verifica il filtro dell'interfaccia utente.

Se il computer fa parte di un dominio, connettersi al computer di destinazione usando un account di dominio che si trova nel gruppo Administrators locale del computer remoto. Il filtro dei token di accesso dell'interfaccia utente non influisce sugli account di dominio nel gruppo Administrators locale. Non usare un account locale e nondominio nel computer remoto, anche se l'account si trova nel gruppo Administrators.

In un gruppo di lavoro l'account che si connette al computer remoto è un utente locale nel computer. Anche se l'account si trova nel gruppo Administrators, il filtro dell'interfaccia utente significa che uno script viene eseguito come utente standard. Una procedura consigliata consiste nel creare un gruppo di utenti locale o un account utente dedicato nel computer di destinazione in modo specifico per le connessioni remote.

La sicurezza deve essere modificata per poter usare questo account perché l'account non ha mai avuto privilegi amministrativi. Assegnare all'utente locale:

  • Avvio remoto e attivazione dei diritti per accedere a DCOM. Per altre informazioni, vedere Connessione a WMI in un computer remoto.
  • Diritti per accedere allo spazio dei nomi WMI in remoto (Abilita remota). Per altre informazioni, vedere Accesso agli spazi dei nomi WMI.
  • Diritto di accedere all'oggetto a protezione diretta specifica, a seconda della sicurezza richiesta dall'oggetto.

Se si usa un account locale, perché si è in un gruppo di lavoro o si tratta di un account computer locale, potrebbe essere necessario assegnare attività specifiche a un utente locale. Ad esempio, è possibile concedere all'utente il diritto di arrestare o avviare un servizio specifico tramite il comando SC.exe, il metodo GetSecurityDescriptor e SetSecurityDescriptor di Win32_Service o tramite Criteri di gruppo usando Gpedit.msc. Alcuni oggetti a protezione diretta potrebbero non consentire a un utente standard di eseguire attività e non offrire alcun mezzo per modificare la sicurezza predefinita. In questo caso, potrebbe essere necessario disabilitare l'interfaccia utente in modo che l'account utente locale non sia filtrato e diventi invece un amministratore completo. Tenere presente che per motivi di sicurezza, la disabilitazione dell'interfaccia utente deve essere un'ultima soluzione.

La disabilitazione dell'interfaccia utente remota modificando la voce del Registro di sistema che controlla l'interfaccia utente remota non è consigliata, ma potrebbe essere necessaria in un gruppo di lavoro. La voce del Registro di sistema è HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy. Quando il valore di questa voce è zero (0), il filtro dei token di accesso dell'interfaccia utente remota è abilitato. Quando il valore è 1, l'interfaccia utente remota è disabilitata.

Effetto dell'interfaccia utente sui dati WMI restituiti agli script o alle applicazioni

Se uno script o un'applicazione è in esecuzione in un account nel gruppo Administrators, ma non è in esecuzione con privilegi elevati, potrebbe non essere possibile ottenere tutti i dati restituiti perché questo account è in esecuzione come utente standard. I provider WMI per alcune classi non restituiscono tutte le istanze a un account utente standard o a un account amministratore che non è in esecuzione come amministratore completo a causa del filtro dell'interfaccia utente.

Le classi seguenti non restituiscono alcune istanze quando l'account viene filtrato dall'interfaccia utente:

Le classi seguenti non restituiscono alcune proprietà quando l'account viene filtrato dall'interfaccia utente:

Informazioni su WMI

Accesso a oggetti a protezione diretta WMI

Modifica della sicurezza di accesso in oggetti a protezione diretta