設定遠端 WMI 連線

  • 發行項

連線到遠端電腦上的 WMI 命名空間可能需要您變更 Windows 防火牆使用者帳戶控制 (UAC) 、DCOM 或 Common Information Model Object Manager (CIMOM) 的設定。

本主題將討論下列各節:

Windows 防火牆設定

Windows 防火牆設定的 WMI 設定也只啟用 WMI 連線,而不是其他 DCOM 應用程式。

必須在遠端目的電腦上的 WMI 防火牆中設定例外狀況。 WMI 的例外狀況可讓 WMI 接收遠端連線和非同步回呼,以Unsecapp.exe。 如需詳細資訊,請參閱 在非同步呼叫上設定安全性

如果用戶端應用程式建立自己的接收,該接收必須明確新增至防火牆例外狀況,以允許回呼成功。

WMI 的例外狀況也適用于使用 winmgmt /standalonehost 命令以固定埠啟動 WMI。 如需詳細資訊,請參閱 設定 WMI 的固定埠

您可以透過 Windows 防火牆 UI 啟用或停用 WMI 流量。

使用防火牆 UI 啟用或停用 WMI 流量

  1. 主控台中,按一下 [安全性],然後按一下 [Windows 防火牆]。
  2. 按一下 [變更設定] ,然後按一下 [ 例外狀況] 索引標籤
  3. 在 [例外狀況] 視窗中,選取 Windows Management Instrumentation (WMI) 核取方塊,以透過防火牆啟用 WMI 流量。 若要停用 WMI 流量,請清除核取方塊。

您可以在命令提示字元中透過防火牆啟用或停用 WMI 流量。

使用 WMI 規則群組在命令提示字元啟用或停用 WMI 流量

  • 在命令提示字元中使用下列命令。 輸入下列命令以透過防火牆啟用 WMI 流量。

    netsh advfirewall firewall set rule group=「windows management instrumentation (wmi) 」 new enable=yes

    輸入下列命令以透過防火牆停用 WMI 流量。

    netsh advfirewall firewall set rule group=「windows management instrumentation (wmi) 」 new enable=no

您也可以針對每個 DCOM、WMI 服務和接收使用個別命令,而不是使用單一 WMI 規則群組命令。

使用 DCOM、WMI、回呼接收和傳出連線的個別規則來啟用 WMI 流量

  1. 若要建立 DCOM 埠 135 的防火牆例外狀況,請使用下列命令。

    netsh advfirewall firewall add rule dir=in name=「DCOM」 program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. 若要建立 WMI 服務的防火牆例外狀況,請使用下列命令。

    netsh advfirewall firewall add rule dir=in name =「WMI」 program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. 若要為接收遠端電腦的回呼的接收建立防火牆例外狀況,請使用下列命令。

    netsh advfirewall firewall add rule dir=in name =「UnsecApp」 program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. 若要為本機電腦以非同步方式通訊的遠端電腦建立連出連線的防火牆例外狀況,請使用下列命令。

    netsh advfirewall firewall add rule dir=out name =「WMI_OUT」 program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

若要個別停用防火牆例外狀況,請使用下列命令。

若要針對 DCOM、WMI、回呼接收和傳出連線使用個別規則來停用 WMI 流量

  1. 若要停用 DCOM 例外狀況。

    netsh advfirewall firewall delete rule name=「DCOM」

  2. 若要停用 WMI 服務例外狀況。

    netsh advfirewall firewall delete rule name=「WMI」

  3. 若要停用接收例外狀況。

    netsh advfirewall firewall delete rule name=「UnsecApp」

  4. 若要停用傳出例外狀況。

    netsh advfirewall firewall delete rule name=「WMI_OUT」

使用者帳戶控制設定

使用者帳戶控制 (UAC) 存取權杖篩選可能會影響 WMI 命名空間中允許的作業,或傳回哪些資料。 在 UAC 下,本機 Administrators 群組中的所有帳戶都會以標準使用者 存取權杖執行,也稱為 UAC 存取權杖篩選。 系統管理員帳戶可以執行具有提高許可權的腳本:「以系統管理員身分執行」。

當您未連線到內建的系統管理員帳戶時,UAC 會根據兩部電腦位於網域或工作組,以不同的方式影響遠端電腦的連線。 如需 UAC 和遠端連線的詳細資訊,請參閱 使用者帳戶控制和 WMI

DCOM 設定

如需 DCOM 設定的詳細資訊,請參閱 保護遠端 WMI 連線。 不過,UAC 會影響非網域使用者帳戶的連線。 如果您使用遠端電腦的本機 Administrators 群組中包含的非網域使用者帳戶連線到遠端電腦,則必須明確授與遠端 DCOM 存取權、啟用和啟動帳戶的許可權。

CIMOM 設定

如果遠端連線位於沒有信任關係的電腦之間,則必須更新 CIMOM 設定;否則,非同步連線將會失敗。 對於相同網域或受信任網域中的電腦,不應該修改此設定。

必須修改下列登錄專案,以允許匿名回呼:

\ HKEY_LOCAL_MACHINE軟體\微軟\WBEM\CIMOM\AllowAnonymousCallback

               資料類型

               REG\_DWORD

如果 AllowAnonymousCallback 值設定為 0,WMI 服務會防止對用戶端進行匿名回呼。 如果此值設定為 1,WMI 服務會允許對用戶端進行匿名回呼。

連線到遠端電腦上的 WMI