Управление учетными записями пользователей и WMI

Контроль учетных записей (UAC) влияет на данные WMI, возвращаемые из программы командной строки, удаленный доступ и то, как должны выполняться сценарии. Дополнительные сведения об UAC см. в разделе Начало работы с контролем учетных записей.

В следующих разделах описываются функции UAC:

контроль учетных записей

В разделе UAC учетные записи в локальной группе администраторов имеют два маркера доступа: один имеет права обычного пользователя и один с правами администратора. Из-за фильтрации маркера доступа UAC сценарий обычно выполняется под маркером обычного пользователя, если он не запускается как администратор в режиме повышенных привилегий. Не все сценарии требуют прав администратора.

Скрипты не могут программно определять, выполняются ли они с помощью маркера безопасности обычного пользователя или маркера администратора. Скрипт может завершиться ошибкой с ошибкой "доступ запрещен". Если скрипту требуются права администратора, он должен быть запущен в режиме с повышенными правами. Доступ к пространствам имен WMI зависит от того, выполняется ли сценарий в режиме с повышенными правами. Некоторые операции WMI, например получение данных или выполнение большинства методов, не предполагают, что учетная запись запускается от имени администратора. Дополнительные сведения о разрешениях на доступ по умолчанию см. в разделе доступ к пространствам имен WMI и выполнение привилегированных операций.

В связи с контролем учетных записей учетная запись, в которой выполняется сценарий, должна входить в группу администраторов на локальном компьютере, чтобы иметь возможность запуска с повышенными правами.

Вы можете запустить сценарий или приложение с повышенными правами, выполнив один из следующих методов:

Запуск скрипта в режиме с повышенными правами

  1. Откройте окно командной строки, щелкнув правой кнопкой мыши пункт Командная строка в меню Пуск и выбрав команду Запуск от имени администратора.
  2. Запланируйте выполнение скрипта с повышенными правами с помощью планировщик задач. Дополнительные сведения см. в разделе контексты безопасности для выполняющихся задач.
  3. Запустите скрипт, используя встроенную учетную запись администратора.

Учетная запись, необходимая для запуска средств Command-Line инструментария WMI

Чтобы запустить следующие средства Command-Line WMI, ваша учетная запись должна входить в группу администраторов, и средство должно быть запущено из командной строки с повышенными привилегиями. Встроенная учетная запись администратора также может запускать эти средства.

  • mofcomp

  • wmic

    При первом запуске WMIC после установки системы его необходимо запустить из командной строки с повышенными привилегиями. Режим с повышенными правами может не требоваться для последующего выполнения WMIC, если только операции WMI не требуют прав администратора.

  • инициирует

  • wmiadap

Чтобы запустить элемент управления WMI (wmimgmt. msc) и внести изменения в параметры безопасности или аудита пространства имен WMI, ваша учетная запись должна иметь явно предоставленное право на изменение безопасности или входить в группу локальных администраторов. Встроенная учетная запись администратора также может изменить безопасность или аудит пространства имен.

Wbemtest.exe, средство командной строки, не поддерживаемое службой поддержки пользователей Майкрософт, может запускаться учетными записями, которые не входят в группу локальных администраторов, если для конкретной операции требуются привилегии, которые обычно предоставляются учетным записям администратора.

Обработка удаленных подключений в UAC

При подключении к удаленному компьютеру в домене или рабочей группе определяет, выполняется ли фильтрация UAC.

Если компьютер входит в состав домена, подключитесь к целевому компьютеру, используя учетную запись домена, которая находится в локальной группе администраторов удаленного компьютера. После этого фильтрация маркеров доступа UAC не повлияет на учетные записи домена в локальной группе администраторов. Не используйте локальную, недоменную учетную запись на удаленном компьютере, даже если эта учетная запись входит в группу администраторов.

В Рабочей группе Учетная запись, подключенная к удаленному компьютеру, является локальным пользователем на этом компьютере. Даже если учетная запись входит в группу администраторов, фильтрация UAC означает, что сценарий выполняется как обычный пользователь. Рекомендуется создать выделенную локальную группу пользователей или учетную запись пользователя на целевом компьютере специально для удаленных подключений.

Для использования этой учетной записи необходимо настроить безопасность, поскольку учетная запись никогда не имела прав администратора. Укажите локального пользователя:

Если вы используете локальную учетную запись, так как она находится в Рабочей группе или является учетной записью локального компьютера, может быть принудительно предоставлять определенные задачи локальному пользователю. Например, можно предоставить пользователю право на отключение или запуск определенной службы с помощью команды SC.exe, методов жетсекуритидескриптор и сетсекуритидескриптор _ службы Win32или с помощью групповая политика с помощью gpedit. msc. Некоторые защищаемые объекты могут не позволить обычным пользователям выполнять задачи и не предоставлять никаких средств для изменения параметров безопасности по умолчанию. В этом случае может потребоваться отключить контроль учетных записей, чтобы локальная учетная запись пользователя не была отфильтрована и вместо нее стала полным администратором. Имейте в виду, что в целях безопасности следует отключать контроль учетных записей в крайнем случае.

Отключение удаленного контроля учетных записей путем изменения записи реестра, управляющей удаленным контролем учетных записей, не рекомендуется, но может потребоваться в Рабочей группе. Запись реестра — hKey _ Local _ Machine \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ LocalAccountTokenFilterPolicy. Если значение этой записи равно нулю (0), то включена фильтрация маркеров доступа для удаленного контроля учетных записей. Если значение равно 1, то удаленное управление учетными записями отключено.

Воздействие UAC на данные WMI, возвращаемые в скрипты или приложения

Если сценарий или приложение выполняется под учетной записью в группе "Администраторы", но не запущена с повышенными привилегиями, вы можете не получить все возвращенные данные, так как эта учетная запись выполняется от имени обычного пользователя. Поставщики WMI для некоторых классов не возвращают все экземпляры в учетную запись обычного пользователя или учетную запись администратора, которая не работает как полный администратор из-за фильтрации UAC.

Следующие классы не возвращают некоторые экземпляры, если учетная запись фильтруется по контролю учетных записей:

Следующие классы не возвращают некоторые свойства, если учетная запись фильтруется по контролю учетных записей:

Сведения об инструментарии WMI

Доступ к защищаемым объектам WMI

Изменение параметров безопасности доступа для защищаемых объектов