Einrichten einer WMI-Remoteverbindung

Wenn Sie eine Verbindung mit einem WMI-Namespace auf einem Remotecomputer herstellen, müssen Sie möglicherweise die Einstellungen für Windows Firewall, Benutzerkontensteuerung (User Account Control, UAC),DCOM oder Common Information Model Object Manager (CIMOM) ändern.

Die folgenden Abschnitte werden in diesem Thema erläutert:

Windows-Firewalleinstellungen

WMI-Einstellungen für Windows Firewalleinstellungen ermöglichen nur WMI-Verbindungen und nicht auch andere DCOM-Anwendungen.

Eine Ausnahme muss in der Firewall für WMI auf dem Remotezielcomputer festgelegt werden. Die Ausnahme für WMI ermöglicht es WMI, Remoteverbindungen und asynchrone Rückrufe an Unsecapp.exe zu empfangen. Weitere Informationen finden Sie unter Festlegen der Sicherheit für einen asynchronen Aufruf.

Wenn eine Clientanwendung eine eigene Senke erstellt, muss diese Senke explizit den Firewall-Ausnahmen hinzugefügt werden, damit Rückrufe erfolgreich ausgeführt werden können.

Die Ausnahme für WMI funktioniert auch, wenn WMI mit einem festen Port mit dem Befehl winmgmt /standalonehost gestartet wurde. Weitere Informationen finden Sie unter Einrichten eines festen Ports für WMI.

Sie können WMI-Datenverkehr über die Windows Firewallbenutzeroberfläche aktivieren oder deaktivieren.

So aktivieren oder deaktivieren Sie WMI-Datenverkehr über die Firewallbenutzeroberfläche

  1. Klicken Sie im Systemsteuerung auf Sicherheit und dann auf Windows Firewall.
  2. Klicken Sie auf Einstellungen ändern, und klicken Sie dann auf die Registerkarte Ausnahmen.
  3. Aktivieren Sie im Fenster Ausnahmen das Kontrollkästchen für Windows Management Instrumentation (WMI), um WMI-Datenverkehr über die Firewall zu aktivieren. Deaktivieren Sie das Kontrollkästchen, um WMI-Datenverkehr zu deaktivieren.

Sie können WMI-Datenverkehr über die Firewall an der Eingabeaufforderung aktivieren oder deaktivieren.

So aktivieren oder deaktivieren Sie WMI-Datenverkehr an der Eingabeaufforderung mithilfe der WMI-Regelgruppe

  • Verwenden Sie die folgenden Befehle an einer Eingabeaufforderung. Geben Sie Folgendes ein, um WMI-Datenverkehr über die Firewall zu aktivieren.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

    Geben Sie den folgenden Befehl ein, um WMI-Datenverkehr über die Firewall zu deaktivieren.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no

Anstatt den einzelnen WMI-Regelgruppenbefehl zu verwenden, können Sie auch einzelne Befehle für jeden DCOM-, WMI-Dienst und jede Senke verwenden.

So aktivieren Sie WMI-Datenverkehr mit separaten Regeln für DCOM, WMI, Rückrufsenke und ausgehende Verbindungen

  1. Verwenden Sie den folgenden Befehl, um eine Firewallausnahme für DCOM-Port 135 einzurichten.

    netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot% \ system32 \svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. Verwenden Sie den folgenden Befehl, um eine Firewallausnahme für den WMI-Dienst einzurichten.

    netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot% \ system32 \svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. Verwenden Sie den folgenden Befehl, um eine Firewallausnahme für die Senke einzurichten, die Rückrufe von einem Remotecomputer empfängt.

    netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot% \ system32 \ wbem \unsecapp.exe action=allow

  4. Verwenden Sie den folgenden Befehl, um eine Firewallausnahme für ausgehende Verbindungen mit einem Remotecomputer herzustellen, mit dem der lokale Computer asynchron kommuniziert.

    netsh advfirewall firewall add rule dir=out name ="WMI _ OUT" program=%systemroot% \ system32 \svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Verwenden Sie die folgenden Befehle, um die Firewall-Ausnahmen separat zu deaktivieren.

So deaktivieren Sie WMI-Datenverkehr mit separaten Regeln für DCOM, WMI, Rückrufsenke und ausgehende Verbindungen

  1. So deaktivieren Sie die DCOM-Ausnahme.

    netsh advfirewall firewall delete rule name="DCOM"

  2. So deaktivieren Sie die WMI-Dienstausnahme.

    netsh advfirewall firewall delete rule name="WMI"

  3. So deaktivieren Sie die Senkenausnahme.

    netsh advfirewall firewall delete rule name="UnsecApp"

  4. So deaktivieren Sie die ausgehende Ausnahme.

    netsh advfirewall firewall delete rule name="WMI _ OUT"

Einstellungen der Benutzerkontensteuerung

Die Filterung von Zugriffstoken der Benutzerkontensteuerung (User Account Control, UAC) kann sich darauf auswirken, welche Vorgänge in WMI-Namespaces zulässig sind oder welche Daten zurückgegeben werden. Unter UAC werden alle Konten in der lokalen Administratorengruppe mit einem Standardbenutzerzugriffstokenausgeführt, das auch als UAC-Zugriffstokenfilterung bezeichnet wird. Ein Administratorkonto kann ein Skript mit erhöhten Rechten ausführen– "Als Administrator ausführen".

Wenn Sie keine Verbindung mit dem integrierten Administratorkonto herstellen, wirkt sich die Benutzerkontensteuerung auf Verbindungen mit einem Remotecomputer unterschiedlich aus, je nachdem, ob sich die beiden Computer in einer Domäne oder einer Arbeitsgruppe befinden. Weitere Informationen zu Benutzerkontensteuerung und Remoteverbindungen finden Sie unter Benutzerkontensteuerung und WMI.

DCOM-Einstellungen

Weitere Informationen zu DCOM-Einstellungen finden Sie unter Schützen einer WMI-Remoteverbindung. UAC wirkt sich jedoch auf Verbindungen für Nichtdomänenbenutzerkonten aus. Wenn Sie eine Verbindung mit einem Remotecomputer mithilfe eines Nichtdomänenbenutzerkontos herstellen, das in der lokalen Administratorengruppe des Remotecomputers enthalten ist, müssen Sie dem Konto explizit DCOM-Remotezugriff, Aktivierung und Startrechte gewähren.

CIMOM Einstellungen

Die CIMOM-Einstellungen müssen aktualisiert werden, wenn die Remoteverbindung zwischen Computern besteht, die über keine Vertrauensstellung verfügen. Andernfalls schlägt eine asynchrone Verbindung fehl. Diese Einstellung sollte nicht für Computer in derselben Domäne oder in vertrauenswürdigen Domänen geändert werden.

Der folgende Registrierungseintrag muss geändert werden, um anonyme Rückrufe zu ermöglichen:

HKEY _ LOKALE _ COMPUTERSOFTWARE \ \ Microsoft \ WBEM \ CIMOM \ AllowAnonymousCallback

           Data type
REG \_ DWORD

Wenn der AllowAnonymousCallback-Wert auf 0 festgelegt ist, verhindert der WMI-Dienst anonyme Rückrufe an den Client. Wenn der Wert auf 1 festgelegt ist, lässt der WMI-Dienst anonyme Rückrufe an den Client zu.

Herstellen einer Verbindung mit WMI auf einem Remotecomputer