Контроль учетных записей пользователей и инструментарий WMI

  • Статья

Контроль учетных записей (UAC) влияет на данные WMI, возвращаемые из программы командной строки, на удаленный доступ и на то, как должны выполняться скрипты. Дополнительные сведения о UAC см. в статье начало работы с контролем учетных записей пользователей.

В следующих разделах описаны функции контроля учетных записей.

контроль учетных записей

В разделе UAC учетные записи в локальной группе администраторов имеют два маркера доступа: один с привилегиями обычного пользователя, а второй с правами администратора. Из-за фильтрации маркеров доступа UAC скрипт обычно выполняется с маркером обычного пользователя, если он не выполняется "от имени администратора" в режиме повышенных привилегий. Не для всех сценариев требуются права администратора.

Скрипты не могут программно определить, выполняются ли они с помощью стандартного маркера безопасности пользователя или маркера администратора. Сценарий может завершиться ошибкой отказа в доступе. Если для скрипта требуются права администратора, он должен выполняться в режиме с повышенными привилегиями. Доступ к пространствам имен WMI зависит от того, выполняется ли скрипт в режиме с повышенными привилегиями. Для некоторых операций WMI, таких как получение данных или выполнение большинства методов, не требуется запуск учетной записи от имени администратора. Дополнительные сведения о разрешениях доступа по умолчанию см. в разделах Доступ к пространствам имен WMI и Выполнение привилегированных операций.

Из-за контроля учетных записей учетная запись, выполняющая скрипт, должна находиться в группе Администраторы на локальном компьютере, чтобы иметь возможность запуска с повышенными правами.

Вы можете запустить скрипт или приложение с повышенными правами, выполнив один из следующих методов:

Выполнение скрипта в режиме с повышенными привилегиями

  1. Откройте окно командной строки, щелкнув правой кнопкой мыши Командную строку в меню Пуск и выбрав запуск от имени администратора.
  2. Запланируйте выполнение скрипта с повышенными привилегиями с помощью планировщика задач. Дополнительные сведения см. в разделе Контексты безопасности для выполнения задач.
  3. Запустите скрипт с помощью встроенной учетной записи администратора.

Учетная запись, необходимая для запуска средств Command-Line WMI

Чтобы запустить следующие средства WMI Command-Line, ваша учетная запись должна находиться в группе Администраторы, а средство должно запускаться из командной строки с повышенными привилегиями. Встроенная учетная запись администратора также может запускать эти средства.

  • mofcomp

  • wmic

    При первом запуске Wmic после установки системы он должен выполняться из командной строки с повышенными привилегиями. Режим с повышенными привилегиями может не требоваться для последующих выполнений Wmic, если для операций WMI не требуются права администратора.

  • Winmgmt

  • wmiadap

Чтобы запустить элемент управления WMI (Wmimgmt.msc) и внести изменения в параметры безопасности или аудита пространства имен WMI, ваша учетная запись должна иметь явно предоставленное право "Изменить безопасность" или быть в локальной группе администраторов. Встроенная учетная запись администратора также может изменить безопасность или аудит для пространства имен.

Wbemtest.exe, программа командной строки, которая не поддерживается службами поддержки пользователей Майкрософт, может запускаться учетными записями, которые не входят в локальную группу администраторов, если для выполнения определенной операции не требуются привилегии, которые обычно предоставляются учетным записям администраторов.

Обработка удаленных подключений в UAC

Независимо от того, подключаетесь ли вы к удаленному компьютеру в домене или в рабочей группе, определяет, выполняется ли фильтрация UAC.

Если компьютер входит в домен, подключитесь к целевому компьютеру с помощью учетной записи домена, которая находится в локальной группе администраторов удаленного компьютера. Затем фильтрация маркеров доступа UAC не повлияет на учетные записи домена в локальной группе администраторов. Не используйте локальную недоменовую учетную запись на удаленном компьютере, даже если учетная запись входит в группу Администраторы.

В рабочей группе учетная запись, подключающаяся к удаленному компьютеру, является локальным пользователем на этом компьютере. Даже если учетная запись находится в группе Администраторы, фильтрация UAC означает, что скрипт выполняется от имени обычного пользователя. Рекомендуется создать выделенную локальную группу пользователей или учетную запись пользователя на целевом компьютере специально для удаленных подключений.

Необходимо настроить безопасность, чтобы иметь возможность использовать эту учетную запись, так как учетная запись никогда не имела прав администратора. Предоставьте локальному пользователю:

  • Права удаленного запуска и активации для доступа к DCOM. Дополнительные сведения см. в разделе Подключение к WMI на удаленном компьютере.
  • Права на удаленный доступ к пространству имен WMI (удаленное включение). Дополнительные сведения см. в разделе Доступ к пространствам имен WMI.
  • Право на доступ к определенному защищаемому объекту в зависимости от безопасности, требуемой для объекта.

Если вы используете локальную учетную запись из-за того, что вы находитесь в рабочей группе или является учетной записью локального компьютера, вы можете быть вынуждены предоставить определенные задачи локальному пользователю. Например, вы можете предоставить пользователю право остановить или запустить определенную службу с помощью команды SC.exe, методов GetSecurityDescriptor и SetSecurityDescriptorWin32_Service или групповая политика с помощью Gpedit.msc. Некоторые защищаемые объекты могут не позволять стандартному пользователю выполнять задачи и не предлагают никаких средств для изменения безопасности по умолчанию. В этом случае может потребоваться отключить UAC, чтобы учетная запись локального пользователя не фильтрулась и вместо этого стала полноправным администратором. Имейте в виду, что по соображениям безопасности отключение контроля учетных записей должно быть крайней меры.

Отключение удаленного контроля учетных записей путем изменения записи реестра, которая управляет удаленным контролем учетных записей, не рекомендуется, но может потребоваться в рабочей группе. Запись реестра HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy. Если значение этой записи равно нулю (0), то фильтрация маркеров доступа для удаленного контроля учетных записей включена. Если ее значение равно 1, то удаленный контроль учетных записей отключен.

Влияние UAC на данные WMI, возвращаемые скриптам или приложениям

Если сценарий или приложение выполняется под учетной записью в группе Администраторы, но не выполняется с повышенными привилегиями, вы можете получить не все данные, так как эта учетная запись работает от имени обычного пользователя. Поставщики WMI для некоторых классов не возвращают все экземпляры в стандартную учетную запись пользователя или учетную запись администратора, которая не работает от имени полного администратора из-за фильтрации UAC.

Следующие классы не возвращают некоторые экземпляры, если учетная запись фильтруется по UAC:

Следующие классы не возвращают некоторые свойства, если учетная запись фильтруется по UAC:

Сведения о WMI

Доступ к защищаемым объектам WMI

Изменение безопасности доступа к защищаемым объектам