Kontrol Akun Pengguna dan WMI
Kontrol Akun Pengguna (UAC) memengaruhi data WMI yang dikembalikan dari alat baris perintah, akses jarak jauh, dan bagaimana skrip harus berjalan. Untuk informasi selengkapnya tentang UAC, lihat Memulai Kontrol Akun Pengguna.
Bagian berikut ini menjelaskan fungsionalitas UAC:
- Kontrol Akun Pengguna
- Akun Yang Diperlukan untuk Menjalankan Alat Command-Line WMI
- Menangani Koneksi Jarak Jauh Di bawah UAC
- Efek UAC pada Data WMI Dikembalikan ke Skrip atau Aplikasi
- Topik terkait
Kontrol Akun Pengguna
Di bawah UAC, akun di grup Administrator lokal memiliki dua token akses, satu dengan hak istimewa pengguna standar dan satu dengan hak istimewa administrator. Karena pemfilteran token akses UAC, skrip biasanya dijalankan di bawah token pengguna standar, kecuali jika dijalankan "sebagai Administrator" dalam mode hak istimewa yang ditinggikan. Tidak semua skrip memerlukan hak istimewa administratif.
Skrip tidak dapat menentukan secara terprogram apakah skrip berjalan di bawah token keamanan pengguna standar atau token Administrator. Skrip mungkin gagal dengan kesalahan akses ditolak. Jika skrip memerlukan hak istimewa administrator, maka skrip harus dijalankan dalam mode yang ditinggikan. Akses ke namespace layanan WMI berbeda tergantung pada apakah skrip dijalankan dalam mode yang ditingkatkan. Beberapa operasi WMI, seperti mendapatkan data atau menjalankan sebagian besar metode, tidak mengharuskan akun berjalan sebagai administrator. Untuk informasi selengkapnya tentang izin akses default, lihat Akses ke Namespace Layanan WMI dan Menjalankan Operasi Istimewa.
Karena Kontrol Akun Pengguna, akun yang menjalankan skrip harus berada di grup Administrator di komputer lokal agar memiliki kemampuan untuk menjalankan dengan hak yang ditinggikan.
Anda dapat menjalankan skrip atau aplikasi dengan hak yang ditinggikan dengan melakukan salah satu metode berikut:
Untuk Menjalankan Skrip Dalam Mode Yang Ditingkatkan
- Buka jendela Prompt Perintah dengan mengklik kanan Prompt Perintah di menu Mulai lalu klik Jalankan sebagai administrator.
- Jadwalkan skrip untuk berjalan ditingkatkan menggunakan Penjadwal Tugas. Untuk informasi selengkapnya, lihat Konteks Keamanan untuk Menjalankan Tugas.
- Jalankan skrip menggunakan akun Administrator bawaan.
Akun Yang Diperlukan untuk Menjalankan Alat Command-Line WMI
Untuk menjalankan WMI Command-Line Tools berikut, akun Anda harus berada di grup Administrator dan alat harus dijalankan dari prompt perintah yang ditinggikan. Akun administrator bawaan juga dapat menjalankan alat-alat ini.
-
Pertama kali Anda menjalankan Wmic setelah penginstalan sistem, itu harus dijalankan dari prompt perintah yang ditingkatkan. Mode yang ditinggikan mungkin tidak diperlukan untuk eksekusi Wmic berikutnya kecuali operasi WMI memerlukan hak istimewa administrator.
Untuk menjalankan Kontrol WMI (Wmimgmt.msc) dan membuat perubahan pada pengaturan keamanan namespace layanan WMI atau audit, akun Anda harus memiliki hak Edit Keamanan yang diberikan secara eksplisit atau berada di grup Administrator lokal. Akun Administrator bawaan juga dapat mengubah keamanan atau audit untuk namespace layanan.
Wbemtest.exe, alat baris perintah yang tidak didukung oleh layanan Dukungan Pelanggan Microsoft, dapat dijalankan oleh akun yang tidak berada dalam grup Administrator lokal, kecuali operasi tertentu memerlukan hak istimewa yang biasanya diberikan ke akun Administrator.
Menangani Koneksi Jarak Jauh Di bawah UAC
Apakah Anda menyambungkan ke komputer jarak jauh di domain atau dalam grup kerja menentukan apakah pemfilteran UAC terjadi.
Jika komputer Anda adalah bagian dari domain, sambungkan ke komputer target menggunakan akun domain yang ada di grup Administrator lokal komputer jarak jauh. Kemudian pemfilteran token akses UAC tidak akan memengaruhi akun domain di grup Administrator lokal. Jangan gunakan akun lokal nondomain di komputer jarak jauh, meskipun akun berada di grup Administrator.
Dalam grup kerja, akun yang tersambung ke komputer jarak jauh adalah pengguna lokal di komputer tersebut. Bahkan jika akun berada di grup Administrator, pemfilteran UAC berarti bahwa skrip berjalan sebagai pengguna standar. Praktik terbaik adalah membuat grup pengguna lokal atau akun pengguna khusus di komputer target khusus untuk koneksi jarak jauh.
Keamanan harus disesuaikan agar dapat menggunakan akun ini karena akun tidak pernah memiliki hak administratif. Berikan pengguna lokal:
- Peluncuran jarak jauh dan mengaktifkan hak untuk mengakses DCOM. Untuk informasi selengkapnya, lihat Menyambungkan ke WMI di Komputer Jarak Jauh.
- Hak untuk mengakses namespace layanan WMI dari jarak jauh (Aktifkan Jarak Jauh). Untuk informasi selengkapnya, lihat Akses ke Namespace Layanan WMI.
- Hak untuk mengakses objek tertentu yang dapat diamankan, tergantung pada keamanan yang diperlukan oleh objek .
Jika Anda menggunakan akun lokal, baik karena Anda berada dalam grup kerja atau akun komputer lokal, Anda mungkin dipaksa untuk memberikan tugas tertentu kepada pengguna lokal. Misalnya, Anda dapat memberi pengguna hak untuk menghentikan atau memulai layanan tertentu melalui perintah SC.exe, metode GetSecurityDescriptor dan SetSecurityDescriptorWin32_Service, atau melalui Kebijakan Grup menggunakan Gpedit.msc. Beberapa objek yang dapat diamankan mungkin tidak memungkinkan pengguna standar untuk melakukan tugas dan tidak menawarkan cara untuk mengubah keamanan default. Dalam hal ini, Anda mungkin perlu menonaktifkan UAC sehingga akun pengguna lokal tidak difilter dan sebaliknya menjadi administrator penuh. Ketahuilah bahwa untuk alasan keamanan, menonaktifkan UAC harus menjadi upaya terakhir.
Menonaktifkan UAC Jarak Jauh dengan mengubah entri registri yang mengontrol UAC Jarak Jauh tidak disarankan, tetapi mungkin diperlukan dalam grup kerja. Entri registri HKEY_LOCAL_MACHINE\PERANGKAT LUNAK\Sistem\Kebijakan\Microsoft\Windows\CurrentVersion\LocalAccountTokenFilterPolicy. Ketika nilai entri ini adalah nol (0), penyaringan token akses UAC Jarak Jauh diaktifkan. Ketika nilainya adalah 1, UAC jarak jauh akan dinonaktifkan.
Efek UAC pada Data WMI Dikembalikan ke Skrip atau Aplikasi
Jika skrip atau aplikasi berjalan di bawah akun di grup Administrator, tetapi tidak berjalan dengan hak istimewa yang ditinggikan, maka Anda mungkin tidak mendapatkan semua data yang dikembalikan karena akun ini berjalan sebagai pengguna standar. Penyedia WMI untuk beberapa kelas tidak mengembalikan semua instans ke akun pengguna standar atau akun Administrator yang tidak berjalan sebagai administrator penuh karena pemfilteran UAC.
Kelas berikut tidak mengembalikan beberapa instans saat akun difilter oleh UAC:
- Win32_Bus
- Win32_Printer
- Win32_ComponentCategory
- Win32_LogicalProgramGroupItem
- Win32_LogicalProgramGroup
- Win32_NetworkConnection
- Win32_UserAccount
- Win32_PrinterDriver
- Win32_PortResource
- Win32_DeviceMemoryAddress
Kelas berikut tidak mengembalikan beberapa properti saat akun difilter oleh UAC:
- Win32_NetworkAdapterConfiguration
- Win32_DCOMApplicationSetting
- Win32_DCOMApplication
- Win32_Baseboard
- Win32_ComputerSystem
- Win32_NetworkAdapter
- Win32_MotherboardDevice
- Win32_DiskDrive
- Win32_PnPEntity
- Win32_VideoController
- Win32_ParallelPort
- Win32_LogicalDisk
- Win32_SystemDriver
- Win32_IRQResource
- Win32_NetworkProtocol
Topik terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk