Installation und Konfiguration für die Windows-Remoteverwaltung

Damit Windows-Remoteverwaltungsskripts (WinRM) ausgeführt werden können, und damit das Winrm-Befehlszeilentool Datenvorgänge ausführt, muss WinRM sowohl installiert als auch konfiguriert sein.

Diese Elemente hängen auch von der WinRM-Konfiguration ab.

• Das Windows Remote Shell-Befehlszeilentool Winrs.
• Ereignisweiterleitung.
• Windows PowerShell 2.0-Remoting.

Der Installationsspeicherort von WinRM

WinRM wird automatisch mit allen derzeit unterstützten Versionen des Windows-Betriebssystems installiert.

Konfiguration von WinRM und IPMI

Diese WinRM- und Intelligent Platform Management Interface (IPMI)WMI-Anbieterkomponenten werden mit dem Betriebssystem installiert.

• Der WinRM-Dienst wird unter Windows Server 2008 und höher automatisch gestartet. In früheren Versionen von Windows (Client oder Server) müssen Sie den Dienst manuell starten.
• Standardmäßig ist kein WinRM-Listener konfiguriert. Selbst wenn der WinRM-Dienst ausgeführt wird, können WS-Management Protokollnachrichten , die Daten anfordern, nicht empfangen oder gesendet werden.
• Internet Connection Firewall (ICF) blockiert den Zugriff auf Ports.

Verwenden Sie den winrm Befehl, um Listener und die Adressen zu suchen, indem Sie den folgenden Befehl an einer Eingabeaufforderung eingeben.

winrm enumerate winrm/config/listener

Geben Sie den folgenden Befehl ein, um den Status der Konfigurationseinstellungen zu überprüfen.

winrm get winrm/config

Schnelle Standardkonfiguration

Aktivieren Sie das protokoll WS-Management auf dem lokalen Computer, und richten Sie die Standardkonfiguration für die Remoteverwaltung mit dem Befehl winrm quickconfigein.

Der winrm quickconfig Befehl (der mit winrm qcabgekürzt werden kann) führt die folgenden Vorgänge aus:

• Startet den WinRM-Dienst und legt den Starttyp des Diensts auf Autostart fest.
• Konfiguriert einen Listener für die Ports, die WS-Management Protokollnachrichten über HTTP oder HTTPS für eine beliebige IP-Adresse senden und empfangen.
• Definiert ICF-Ausnahmen für den WinRM-Dienst und öffnet die Ports für HTTP und HTTPS.

Hinweis

Der winrm quickconfig Befehl erstellt eine Firewall-Ausnahme nur für das aktuelle Benutzerprofil. Wenn das Firewallprofil aus irgendeinem Grund geändert wird, führen Sie aus winrm quickconfig , um die Firewall-Ausnahme für das neue Profil zu aktivieren (andernfalls ist die Ausnahme möglicherweise nicht aktiviert).

Um Informationen zum Anpassen einer Konfiguration abzurufen, geben Sie den folgenden Befehl an einer Eingabeaufforderung ein.

winrm help config

So konfigurieren Sie WinRM mit Standardeinstellungen

1. Führen Sie an einer Eingabeaufforderung, die als Administratorkonto des lokalen Computers ausgeführt wird, den folgenden Befehl aus:

   winrm quickconfig
   

   Wenn Sie nicht als Administrator des lokalen Computers ausführen, wählen Sie entweder im Startmenüals Administrator ausführen aus, oder verwenden Sie den Runas Befehl an einer Eingabeaufforderung.

2. Wenn das Tool Diese Änderungen vornehmen [y/n]? anzeigt, geben Sie y ein.

   Wenn die Konfiguration erfolgreich war, wird die folgende Ausgabe angezeigt.

   WinRM has been updated for remote management.
   
   WinRM service type changed to delayed auto start.
   WinRM service started.
   Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
   

3. Behalten Sie die Standardeinstellungen für Client- und Serverkomponenten von WinRM bei, oder passen Sie sie an. Beispielsweise müssen Sie der Clientkonfigurationsliste TrustedHosts möglicherweise bestimmte Remotecomputer hinzufügen.

   Richten Sie eine Liste vertrauenswürdiger Hosts ein, wenn keine gegenseitige Authentifizierung eingerichtet werden kann. Kerberos ermöglicht die gegenseitige Authentifizierung, kann aber nicht in Arbeitsgruppen verwendet werden. nur Domänen. Eine bewährte Methode beim Einrichten vertrauenswürdiger Hosts für eine Arbeitsgruppe besteht darin, die Liste so eingeschränkt wie möglich zu gestalten.

4. Erstellen Sie einen HTTPS-Listener, indem Sie den folgenden Befehl eingeben:

   winrm quickconfig -transport:https
   

   Hinweis

   Öffnen Sie Port 5986, damit der HTTPS-Transport funktioniert.

Standardeinstellungen für Listener und WS-Management Protokoll

Um die Listenerkonfiguration abzurufen, geben Sie winrm enumerate winrm/config/listener an einer Eingabeaufforderung ein. Listener werden durch einen Transport (HTTP oder HTTPS) und eine IPv4- oder IPv6-Adresse definiert.

Der winrm quickconfig Befehl erstellt die folgenden Standardeinstellungen für einen Listener. Sie können mehrere Listener erstellen. Um weitere Informationen zu erfahren, geben Sie winrm help config an einer Eingabeaufforderung ein.

Adresse

Gibt die Adresse an, für die dieser Listener erstellt wird.

Transport

Legt den Transport zum Senden und Empfangen von WS-Management-Protokollanforderungen und -antworten fest. Der Wert muss entweder HTTP oder HTTPS sein. Die Standardeinstellung ist HTTP.

Port

Gibt den TCP-Port an, für den der Listener erstellt wird.

WinRM 2.0: Der HTTP-Standardport ist 5985.

Hostname

Gibt den Hostnamen des Computers an, auf dem der WinRM-Dienst ausgeführt wird. Der Wert muss sein: ein vollqualifizierter Domänenname; eine IPv4- oder IPv6-Literalzeichenfolge; oder ein Wildcardzeichen.

Aktiviert

Gibt an, ob der Listener aktiviert oder deaktiviert ist. Der Standardwert ist True.

URLPrefix

Gibt ein URL-Präfix an, für das HTTP- oder HTTPS-Anforderungen akzeptiert werden sollen. Diese Zeichenfolge enthält nur die Zeichen a-z, A-Z, 9-0, Unterstrich (_) und Schrägstrich (/). Die Zeichenfolge darf nicht mit einem Schrägstrich (/) beginnen oder mit diesem enden. Wenn der Computername beispielsweise SampleMachine lautet, wird der WinRM-Client in der Zieladresse angeben https://SampleMachine/<URLPrefix> . Das Standard-URL-Präfix ist wsman.

CertificateThumbprint

Gibt den Fingerabdruck des Dienstzertifikats an. Dieser Wert stellt eine Zeichenfolge mit zweistelligen Hexadezimalwerten dar , die im Fingerabdruckfeld des Zertifikats gefunden werden. Diese Zeichenfolge enthält den SHA-1-Hash des Zertifikats. Zertifikate werden bei der clientzertifikatbasierten Authentifizierung verwendet. Zertifikate können nur lokalen Benutzerkonten zugeordnet werden. Sie funktionieren nicht mit Domänenkonten.

ListeningOn

Gibt die IPv4- und IPv6-Adressen an, die der Listener verwendet. Beispiel: 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Standardeinstellungen des Protokolls

Viele der Konfigurationseinstellungen, z. B. MaxEnvelopeSizekb oder SoapTraceEnabled, bestimmen, wie der WinRM-Client und die Serverkomponenten mit dem WS-Management-Protokoll interagieren. In den folgenden Abschnitten werden die verfügbaren Konfigurationseinstellungen beschrieben.

MaxEnvelopeSizekb

Gibt die maximale Anzahl von SOAP-Daten (Simple Object Access Protocol) in Kilobyte an. Der Standardwert ist 150 KB.

Hinweis

Das Verhalten wird nicht unterstützt, wenn MaxEnvelopeSizekb auf einen Wert festgelegt ist, der größer als 1039440 ist.

MaxTimeoutms

Gibt das maximale Timeout in Millisekunden an, das für alle Anforderungen außer Pull Anforderungen verwendet werden kann. Der Standardwert ist 60000.

MaxBatchItems

Gibt die maximale Anzahl von Elementen an, die in einer Pull Antwort verwendet werden können. Der Standardwert ist 32000.

MaxProviderRequests

Gibt die maximale Anzahl gleichzeitiger Anforderungen vom Dienst an, die zulässig sind. Der Standard ist 25.

WinRM 2.0: Diese Einstellung ist veraltet und auf schreibgeschützt festgelegt.

Standardkonfigurationseinstellungen des WinRM-Clients

Die Clientversion von WinRM verfügt über die folgenden Standardkonfigurationseinstellungen.

NetworkDelayms

Gibt die Zeit in Millisekunden an, die der Clientcomputer wartet, um der Netzwerk-Verzögerungszeit gerecht zu werden. Der Standardwert ist 5000 Millisekunden.

URLPrefix

Gibt ein URL-Präfix an, für das HTTP- oder HTTPS-Anforderungen akzeptiert werden sollen. Das Standard-URL-Präfix ist wsman.

AllowUnencrypted

Ermöglicht es dem Clientcomputer, unverschlüsselten Verkehr anzufordern. Standardmäßig erfordert der Clientcomputer verschlüsselten Netzwerkdatenverkehr, und diese Einstellung ist False.

Basic

Ermöglicht es dem Clientcomputer, die Standardauthentifizierung zu verwenden. Standardauthentifizierung ist ein Schema, in dem der Benutzername und das Kennwort in Klartext an den Server oder Proxy gesendet werden. Diese Methode ist die am wenigsten sichere Authentifizierungsmethode. Der Standardwert ist True.

Digest

Ermöglicht dem Client, Digestauthentifizierung zu verwenden. Die Digestauthentifizierung ist ein Abfrage/Antwort-Schema, das eine serverspezifische Zeichenfolge für die Abfrage verwendet. Nur der Clientcomputer kann eine Anforderung der Digestauthentifizierung initiieren.

Der Clientcomputer sendet eine Anforderung an den Server zur Authentifizierung und empfängt eine Tokenzeichenfolge vom Server. Anschließend sendet der Clientcomputer die Ressourcenanforderung, einschließlich des Benutzernamens und eines kryptografischen Hashs des Kennworts in Kombination mit der Tokenzeichenfolge.

Digestauthentifizierung wird für HTTP und HTTPS unterstützt. WinRM-Shellclientskripts und -Anwendungen können die Digestauthentifizierung angeben, aber der WinRM-Dienst akzeptiert keine Digestauthentifizierung. Der Standardwert lautet True.

Hinweis

Die Digestauthentifizierung über HTTP gilt nicht als sicher.

Zertifikat

Ermöglicht dem Client die Verwendung der clientzertifikatbasierten Authentifizierung. Die zertifikatbasierte Authentifizierung ist ein Schema, bei dem der Server einen Client authentifiziert, der durch ein X509-Zertifikat identifiziert wird. Der Standardwert ist True.

Kerberos

Ermöglicht dem Client, Kerberos-Authentifizierung zu verwenden. Kerberos-Authentifizierung ist ein Schema, in dem sich der Client und Server gegenseitig mit Kerberos-Zertifikaten authentifizieren. Der Standardwert ist True.

Aushandeln

Ermöglicht dem Client die Verwendung der Negotiate-Authentifizierung. Negotiate-Authentifizierung ist ein Schema, in dem der Client eine Anforderung an den zu authentifizierenden Server sendet.

Der Server bestimmt, ob das Kerberos-Protokoll oder NT LAN Manager (NTLM) verwendet werden soll. Das Kerberos-Protokoll wird ausgewählt, um ein Domänenkonto zu authentifizieren. NTLM ist für lokale Computerkonten ausgewählt. Der Benutzername muss für einen Domänenbenutzer im Format domäne\user_name angegeben werden. Der Benutzername muss für einen lokalen Benutzer auf einem Servercomputer im Format server_name\user_name angegeben werden. Der Standardwert lautet True.

CredSSP

Ermöglicht dem Client die Verwendung der CredSSP-Authentifizierung (Credential Security Support Provider). Mit CredSSP kann eine Anwendung die Anmeldeinformationen des Benutzers vom Clientcomputer an den Zielserver delegieren. Der Standardwert lautet False.

DefaultPorts

Gibt die Ports an, die der Client entweder für HTTP oder HTTPS verwendet.

WinRM 2.0: Der HTTP-Standardport ist 5985, und der HTTPS-Standardport ist 5986.

TrustedHosts

Gibt die Liste der vertrauenswürdigen Remotecomputer an. Andere Computer in einer Arbeitsgruppe oder Computer in einer anderen Domäne sollten dieser Liste hinzugefügt werden.

Hinweis

Die Computer in der Liste der vertrauenswürdigen Hosts werden nicht authentifiziert. Der Client sendet möglicherweise Anmeldeinformationen an diese Computer.

Wenn eine IPv6-Adresse für einen vertrauenswürdigen Host angegeben wird, muss die Adresse wie im folgenden Winrm Hilfsprogrammbefehl in eckige Klammern eingeschlossen werden:

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Um weitere Informationen zum Hinzufügen von Computern zur Liste zu TrustedHosts finden, geben Sie ein winrm help config.

Standardkonfigurationseinstellungen des WinRM-Diensts

Die Dienstversion von WinRM verfügt über die folgenden Standardkonfigurationseinstellungen.

RootSDDL

Gibt den Sicherheitsdeskriptor an, der den Remotezugriff auf den Listener steuert. Der Standardwert lautet O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

Die maximale Anzahl gleichzeitiger Vorgänge. Der Standardwert ist 100.

WinRM 2.0: Die MaxConcurrentOperations Einstellung ist veraltet und auf schreibgeschützt festgelegt. Diese Einstellung wurde durch MaxConcurrentOperationsPerUserersetzt.

MaxConcurrentOperationsPerUser

Gibt die maximale Anzahl gleichzeitiger Vorgänge an, die jeder Benutzer remote auf demselben System öffnen kann. Standardmäßig sind 1500 eingestellt.

EnumerationTimeoutms

Gibt das Leerlauftimeout in Millisekunden zwischen Pull Nachrichten an. Der Standardwert ist 60000.

MaxConnections

Gibt die maximale Anzahl aktiver Anforderungen an, die der Dienst gleichzeitig verarbeiten kann. Der Standardwert ist 300.

WinRM 2.0: Der Standardwert ist 25.

MaxPacketRetrievalTimeSeconds

Gibt die maximale Zeitdauer in Sekunden an, die der WinRM-Dienst zum Abrufen eines Pakets benötigt. Der Standardwert ist 120 Sekunden.

AllowUnencrypted

Ermöglicht es dem Clientcomputer, unverschlüsselten Verkehr anzufordern. Der Standardwert lautet False.

Basic

Ermöglicht dem WinRM-Dienst die Verwendung der Standardauthentifizierung. Der Standardwert lautet False.

Zertifikat

Ermöglicht dem WinRM-Dienst die Verwendung der clientzertifikatbasierten Authentifizierung. Der Standardwert lautet False.

Kerberos

Ermöglicht dem WinRM-Dienst die Verwendung der Kerberos-Authentifizierung. Der Standardwert lautet True.

Aushandeln

Ermöglicht dem WinRM-Dienst die Verwendung der Negotiate-Authentifizierung. Der Standardwert lautet True.

CredSSP

Ermöglicht dem WinRM-Dienst die Verwendung der CredSSP-Authentifizierung (Credential Security Support Provider). Der Standardwert lautet False.

CbtHardeningLevel

Legt die Richtlinie für Kanalbindungstoken-Anforderungen in Authentifizierungsanforderungen fest. Der Standardwert ist Entspannt.

DefaultPorts

Gibt die Ports an, die der WinRM-Dienst entweder für HTTP oder HTTPS verwendet.

WinRM 2.0: Der HTTP-Standardport ist 5985. Der HTTPS-Standardport ist 5986.

IPv4Filter und IPv6Filter

Gibt die IPv4- oder IPv6-Adressen an, die Listener verwenden können. Die Standardwerte sind IPv4Filter = * und IPv6Filter = *.

• IPv4: Eine IPv4-Literalzeichenfolge besteht aus vier gepunkteten Dezimalzahlen, die jeweils im Bereich von 0 bis 255 liegen. Beispiel: 192.168.0.0.
• IPv6: Eine IPv6-Literalzeichenfolge ist in Klammern eingeschlossen und enthält hexadezimale Zahlen, die durch Doppelpunkte getrennt sind. Beispiel: [::1] oder [3ffe:ffff::6ECB:0101].

EnableCompatibilityHttpListener

Gibt an, ob der HTTP-Kompatibilitätslistener aktiviert ist. Wenn diese Einstellung lautet True, lauscht der Listener zusätzlich zu Port 5985 an Port 80. Der Standardwert lautet False.

EnableCompatibilityHttpsListener

Gibt an, ob der HTTPS-Kompatibilitätslistener aktiviert ist. Wenn diese Einstellung lautet True, lauscht der Listener zusätzlich zu Port 5986 an Port 443. Der Standardwert lautet False.

Standardkonfigurationseinstellungen für Winrs

Der winrm quickconfig Befehl konfiguriert auch Winrs-Standardeinstellungen.

AllowRemoteShellAccess

Ermöglicht den Zugriff auf Remoteshells. Wenn Sie diesen Parameter auf Falsefestlegen, lehnt der Server neue Remoteshellverbindungen durch den Server ab. Der Standardwert lautet True.

IdleTimeout

Gibt die maximale Zeit in Millisekunden an, die die Remoteshell geöffnet bleibt, wenn keine Benutzeraktivität in der Remoteshell vorhanden ist. Die Remoteshell wird nach diesem Zeitpunkt gelöscht.

WinRM 2.0: Der Standardwert ist 180000. Der Mindestwert ist 60000. Das Festlegen dieses Werts unter 60000 hat keine Auswirkung auf das Timeoutverhalten.

MaxConcurrentUsers

Gibt die maximale Anzahl von Benutzern an, die gleichzeitig Remotevorgänge auf demselben Computer über eine Remoteshell ausführen können. Wenn neue Remoteshellverbindungen den Grenzwert überschreiten, lehnt der Computer diese ab. Der Standardwert ist 5.

MaxShellRunTime

Gibt die maximale Zeit in Millisekunden an, die der Remotebefehl oder das Remoteskript ausführen darf. Der Standardwert ist 288000000.

WinRM 2.0: Die MaxShellRunTime Einstellung ist auf schreibgeschützt festgelegt. Das Ändern des Werts für MaxShellRunTime hat keine Auswirkungen auf die Remoteshells.

MaxProcessesPerShell

Gibt die maximale Anzahl von Prozessen an, die jeder Shellvorgang starten darf. Der Wert 0 ermöglicht eine unbegrenzte Anzahl von Prozessen. Der Standardwert ist 15.

MaxMemoryPerShellMB

Gibt die maximale Menge an Arbeitsspeicher an, die pro Shell zugewiesen wird, einschließlich der untergeordneten Prozesse der Shell. Der Standardwert ist 150 MB.

MaxShellsPerUser

Gibt die maximale Anzahl gleichzeitiger Shells an, die ein Benutzer im Remotebetrieb auf demselben Computer öffnen kann. Wenn diese Richtlinieneinstellung aktiviert ist, kann der Benutzer keine neuen Remoteshells öffnen, wenn die Anzahl den angegebenen Grenzwert überschreitet. Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, wird der Grenzwert standardmäßig auf fünf Remoteshells pro Benutzer festgelegt.

Konfigurieren von WinRM mit Gruppenrichtlinie

Verwenden Sie den Gruppenrichtlinie-Editor, um Windows Remote Shell und WinRM für Computer in Ihrem Unternehmen zu konfigurieren.

So konfigurieren Sie mit Gruppenrichtlinie:

1. Öffnen Sie ein Eingabeaufforderungsfenster als ein Administrator.
2. Geben Sie an der Eingabeaufforderung gpedit.msc ein: Das Fenster Gruppenrichtlinie Objekt-Editor wird geöffnet.
3. Suchen Sie unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten nach den Windows-Remoteverwaltungs- und Windows-Remoteshell-Gruppenrichtlinie-Objekten (GPO).
4. Wählen Sie auf der Registerkarte Erweitert eine Einstellung aus, um eine Beschreibung anzuzeigen. Doppelklicken Sie auf eine Einstellung, um sie zu bearbeiten.

Windows Firewall und WinRM 2.0-Ports

Ab WinRM 2.0 sind die von Winrm quickconfig konfigurierten Standardlistenerports Port 5985 für DEN HTTP-Transport und Port 5986 für HTTPS. WinRM-Listener können an jedem beliebigen Port konfiguriert werden.

Wenn Sie einen Computer auf WinRM 2.0 aktualisieren, werden die zuvor konfigurierten Listener migriert und empfangen weiterhin Datenverkehr.

WinRM-Installations- und Konfigurationshinweise

WinRM ist von keinem anderen Dienst mit Ausnahme WinHttpvon abhängig. Wenn der IIS-Admin-Dienst auf demselben Computer installiert ist, werden möglicherweise Meldungen angezeigt, die darauf hinweisen, dass WinRM vor Internetinformationsdienste (IIS) nicht geladen werden kann. WinRM ist jedoch nicht wirklich von IIS abhängig. Diese Nachrichten treten auf, weil die Ladereihenfolge sicherstellt, dass der IIS-Dienst vor dem HTTP-Dienst gestartet wird. WinRM erfordert, dass WinHTTP.dll registriert ist.

Wenn der ISA2004-Firewallclient auf dem Computer installiert ist, kann dies dazu führen, dass ein Webdienst für die Verwaltung (WS-Management)-Client nicht mehr reagiert. Um dieses Problem zu vermeiden, installieren Sie ISA2004 Firewall SP1.

Wenn zwei Listenerdienste mit unterschiedlichen IP-Adressen mit der gleichen Portnummer und demselben Computernamen konfiguriert sind, lauscht Oder empfängt WinRM Nachrichten nur für eine Adresse. Dieser Ansatz wird verwendet, weil die vom WS-Management-Protokoll verwendeten URL-Präfixe identisch sind.

Installationshinweise zu IPMI-Treibern und -Anbietern

Der Treiber erkennt möglicherweise nicht, dass IPMI-Treiber vorhanden sind, die nicht von Microsoft stammen. Wenn der Treiber nicht gestartet werden kann, müssen Sie ihn möglicherweise deaktivieren.

Wenn die BMC-Ressourcen (Baseboard Management Controller) im System-BIOS angezeigt werden, erkennt ACPI (Plug & Play) die BMC-Hardware und installiert automatisch den IPMI-Treiber. Plug & Play Unterstützung ist möglicherweise nicht in allen BMCs vorhanden. Wenn der BMC von Plug & Play erkannt wird, wird ein unbekanntes Gerät in Geräte-Manager angezeigt, bevor die Hardwareverwaltungskomponente installiert wird. Wenn der Treiber installiert ist, wird eine neue Komponente, das generische IPMI-kompatible Microsoft ACPI-Gerät, in Geräte-Manager angezeigt.

Wenn Ihr System den BMC nicht automatisch erkennt und den Treiber installiert, aber während des Setupvorgangs ein BMC erkannt wurde, erstellen Sie das BMC-Gerät. Geben Sie zum Erstellen des Geräts den folgenden Befehl an einer Eingabeaufforderung ein:

Rundll32 ipmisetp.dll, AddTheDevice

Nachdem dieser Befehl ausgeführt wurde, wird das IPMI-Gerät erstellt und in Geräte-Manager angezeigt. Wenn Sie die Hardwareverwaltungskomponente deinstallieren, wird das Gerät entfernt.

Weitere Informationen finden Sie unter Einführung in die Hardwareverwaltung.

Der IPMI-Anbieter platziert die Hardwareklassen im Namespace root\hardware von WMI. Weitere Informationen zu den Hardwareklassen finden Sie unter IPMI-Anbieter. Weitere Informationen zu WMI-Namespaces finden Sie unter WMI-Architektur.

Konfigurationshinweise zu WMI-Plug-Ins

Ab Windows 8 und Windows Server 2012 verfügen WMI-Plug-Ins über eigene Sicherheitskonfigurationen. Damit ein normaler Benutzer oder Power-Benutzer, kein Administrator, das WMI-Plug-In verwenden kann, aktivieren Sie den Zugriff für diesen Benutzer, nachdem der Listener konfiguriert wurde. Richten Sie den Benutzer mit einem dieser Schritte für den Remotezugriff auf WMI ein.

• Führen Sie aus lusrmgr.msc , um den Benutzer der gruppe WinRMRemoteWMIUsers__ im Fenster Lokale Benutzer und Gruppen hinzuzufügen.

• Verwenden Sie das Winrm-Befehlszeilentool, um die Sicherheitsbeschreibung für den Namespace des WMI-Plug-Ins zu konfigurieren:

  winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
  

Wenn die Benutzeroberfläche angezeigt wird, fügen Sie den Benutzer hinzu.

Nachdem Sie den Benutzer für den Remotezugriff auf WMI eingerichtet haben, müssen Sie WMI einrichten, damit der Benutzer auf das Plug-In zugreifen kann. Führen Sie zum Zulassen des Zugriffs wmimgmt.msc aus, um die WMI-Sicherheit für den Namespace zu ändern, auf den im WMI-Steuerelementfenster zugegriffen werden soll.

Die meisten WMI-Klassen für die Verwaltung befinden sich im Namespace root\cimv2 .