GPO für WMI Stealth¶
Info
Diese Dokumentation beschreibt die Einrichtung der notwendigen Rechte für eine Inventarisierung von Windows Geräten über einen nicht-administrativen Account per Group Policy (= GPO).
Die Gruppenrichtlinie setzt die nachfolgenden Einstellungen:
- Aufnahme des nicht-administrativen Benutzers in die lokale Gruppe Distributed COM-Benutzer
- Lesende Berechtigung des Benutzers auf die benötigten WMI Namensräume
Erstellung Gruppenrichtlinie¶
Starten Sie auf dem Domaincontroller unter Start -> Windows Verwaltungsprogramme -> Gruppenrichtlinienverwaltung den Assistenten zur Verwaltung von GPOs.
Innerhalb der gewünschten Domänenstruktur erstellen Sie unter Gruppenrichtlinienobjekte mittels Rechtsklick -> Neu eine neue Richtlinie.
Vergeben Sie für das neue Objekt einen aussagekräftigen Namen (hier: Inventory360_WMI
)
Sobald die das neue Objekt hinzugefügt wurde wählen Sie Rechtsklick -> Bearbeiten aus.
1. Gruppenzuweisung¶
Im ersten Schritt wird die Zuweisung zur lokalen Gruppe Distributed COM-Benutzer
eingerichtet.
Im neu geöffneten Fenster navigieren Sie in der Baumstruktur zu Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen
Legen Sie nun im rechten Bereich per Rechtsklick -> Neu -> Lokale Gruppe einen neuen Eintrag an.
- Aktion: Aktualisieren
- Gruppenname: Distributed COM-Benutzer (integriert)
Anschließend im unteren Bereich auf Hinzufügen... klicken um im nächsten Schritt den freizuschaltenden Benutzer auszuwählen.
Wählen Sie nun den Benutzer über den rot markierten Button aus. Als Aktion wird die Vorauswahl Dieser Gruppe hinzufügen
belassen.
Abschließend per OK und Übernehmen bestätigen.
2. WMI Berechtigungen¶
GPO Einstellungen
Für diese Einstellungen existiert kein vorgefertigter Einstellungsbereich innerhalb der Gruppenrichtlinien. Für eine zentrale Verteilung per GPO muss daher der hier beschriebene Weg per PowerShell Startup Skript verwendet werden.
In der Baumstruktur der Richtlinieneinstellungen klicken Sie nun in den nachfolgenden Bereich:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Skripts (Start/Herunterfahren)
Klicken Sie hier im rechten Bereich per Doppelklick auf den Eintrag Starten.
Wechseln Sie im oberen Bereich auf den Tab PowerShell-Skripts. Im unteren Abschnitt bitte nun den Dateibrowser per Dateien anzeigen... öffnen.
Laden Sie im nächsten Schritt aus Inventory360 das GPO Skript herunter. Sie finden dieses beim Anlegen oder Bearbeiten von Zugangsdaten im Discovery-Bereich:
Entpacken Sie die heruntergeladene ZIP-Datei und kopieren die Datei Set-WMIPermissions.ps1
in den soeben geöffneten Ordner des GPO-Objektes.
Sobald die Datei erfolgreich in den Zielordner kopiert wurde, kann das Dateiexplorer-Fenster geschlossen werden.
Zurück in den Richtlinieneigenschaften klicken Sie nun auf den Button Hinzufügen... und wählen dort das soeben kopierte Skript aus.
Als Skriptparameter geben Sie nun den vollständigen Loginnamen des freizuschaltenden Benutzers ein (hier: "DOMAIN\inv360wmi"
).
Achten Sie hierbei auf die doppelten Anführungszeichen.
Abschließend wieder mit OK und Übernehmen bestätigen.
Konfiguration
Die Grundkonfiguration der GPO ist damit abgeschlossen. Im nächsten Schritt muss diese noch aktiviert & verlinkt werden.
GPO aktivieren / verlinken¶
Um die neu angelegte GPO für die Computer innerhalb Ihrer Domäne zu aktivieren, ziehen Sie das Gruppenrichtlinienobjekt per Drag-and-Drop auf die gewünschte Organisationseinheit.
In dieser Organisationseinheit sollten sich die zu scannenden Systeme befinden. Alternativ kann das Gruppenrichtlinienobjekt auch auf die gesamte Domäne angewendet werden.
Fertig
Die Konfiguration der Gruppenrichtlinie ist damit abgeschlossen. Bitte beachten Sie hierbei, dass die Verteilung einige Zeit in Anspruch nehmen kann und ein Neustart der Endgeräte erforderlich ist.
Richtlinie prüfen¶
Auf einem Clientsystem kann die korrekte Ausführung der GPO wie folgt verifiziert werden. Als Administrator innerhalb der CMD:
gpupdate /force
Nach einem Neustart des Clientsystems sind die nachfolgenden Einstellungen zu prüfen.
Gruppenzuweisung¶
Um die Zuweisung zur Gruppe Distributed COM-Benutzer
zu prüfen öffnen Sie zunächst die Computerverwaltung.
Alternativ per Win+R -> compmgmt.msc
öffnen
Wechseln Sie hier in den Bereich Lokale Benutzer und Gruppen -> Gruppen:
Dort die Gruppe Distributed COM-Benutzer per Doppelklick öffnen.
WMI Berechtigungen¶
Zunächst die WMI Managementkonsole öffnen oder per Win+R -> wmimgmt.msc
aufrufen.
Hier im Bereich WMI-Kontrolle (Lokal) per Rechtsklick die Option Eigenschaften anwählen.
Wechseln Sie hier in den Tab Sicherheit, wählen den obersten Order aus klicken im unteren Bereich erneut auf Sicherheit.
Stellen Sie hier sicher, dass der Benutzer in der Liste aufgeführt ist