GPO für WMI Stealth¶

Info

Diese Dokumentation beschreibt die Einrichtung der notwendigen Rechte für eine Inventarisierung von Windows Geräten über einen nicht-administrativen Account per Group Policy (= GPO).

Die Gruppenrichtlinie setzt die nachfolgenden Einstellungen:

Aufnahme des nicht-administrativen Benutzers in die lokale Gruppe Distributed COM-Benutzer
Lesende Berechtigung des Benutzers auf die benötigten WMI Namensräume

Erstellung Gruppenrichtlinie¶

Starten Sie auf dem Domaincontroller unter Start -> Windows Verwaltungsprogramme -> Gruppenrichtlinienverwaltung den Assistenten zur Verwaltung von GPOs.

Gruppenrichtlinienverwaltung anzeigen

Innerhalb der gewünschten Domänenstruktur erstellen Sie unter Gruppenrichtlinienobjekte mittels Rechtsklick -> Neu eine neue Richtlinie.

Kontextmenü zur Anlage einer neuen GPO

Vergeben Sie für das neue Objekt einen aussagekräftigen Namen (hier: Inventory360_WMI)

Neues Gruppenrichtlinienobjekt erstellen

Sobald die das neue Objekt hinzugefügt wurde wählen Sie Rechtsklick -> Bearbeiten aus.

Gruppenrichtlinienobjekt bearbeiten

1. Gruppenzuweisung¶

Im ersten Schritt wird die Zuweisung zur lokalen Gruppe Distributed COM-Benutzer eingerichtet.

Im neu geöffneten Fenster navigieren Sie in der Baumstruktur zu Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen

Lokale Benutzer und Gruppen

Legen Sie nun im rechten Bereich per Rechtsklick -> Neu -> Lokale Gruppe einen neuen Eintrag an.

Neue Zuweisung anlegen

Aktion: Aktualisieren
Gruppenname: Distributed COM-Benutzer (integriert)

Anschließend im unteren Bereich auf Hinzufügen... klicken um im nächsten Schritt den freizuschaltenden Benutzer auszuwählen.

Benutzer hinzufügen / auswählen

Wählen Sie nun den Benutzer über den rot markierten Button aus. Als Aktion wird die Vorauswahl Dieser Gruppe hinzufügen belassen.

Der Gruppe hinzufügen

Abschließend per OK und Übernehmen bestätigen.

2. WMI Berechtigungen¶

GPO Einstellungen

Für diese Einstellungen existiert kein vorgefertigter Einstellungsbereich innerhalb der Gruppenrichtlinien. Für eine zentrale Verteilung per GPO muss daher der hier beschriebene Weg per PowerShell Startup Skript verwendet werden.

In der Baumstruktur der Richtlinieneinstellungen klicken Sie nun in den nachfolgenden Bereich:

Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Skripts (Start/Herunterfahren)

Skripts

Klicken Sie hier im rechten Bereich per Doppelklick auf den Eintrag Starten.

Skripts

Wechseln Sie im oberen Bereich auf den Tab PowerShell-Skripts. Im unteren Abschnitt bitte nun den Dateibrowser per Dateien anzeigen... öffnen.

Skripts

Laden Sie im nächsten Schritt aus Inventory360 das GPO Skript herunter. Sie finden dieses beim Anlegen oder Bearbeiten von Zugangsdaten im Discovery-Bereich:

Skripts

Entpacken Sie die heruntergeladene ZIP-Datei und kopieren die Datei Set-WMIPermissions.ps1 in den soeben geöffneten Ordner des GPO-Objektes.

Sobald die Datei erfolgreich in den Zielordner kopiert wurde, kann das Dateiexplorer-Fenster geschlossen werden.

Skripts

Zurück in den Richtlinieneigenschaften klicken Sie nun auf den Button Hinzufügen... und wählen dort das soeben kopierte Skript aus.

Skripts

Als Skriptparameter geben Sie nun den vollständigen Loginnamen des freizuschaltenden Benutzers ein (hier: "DOMAIN\inv360wmi"). Achten Sie hierbei auf die doppelten Anführungszeichen.

Skripts

Abschließend wieder mit OK und Übernehmen bestätigen.

Konfiguration

Die Grundkonfiguration der GPO ist damit abgeschlossen. Im nächsten Schritt muss diese noch aktiviert & verlinkt werden.

GPO aktivieren / verlinken¶

Um die neu angelegte GPO für die Computer innerhalb Ihrer Domäne zu aktivieren, ziehen Sie das Gruppenrichtlinienobjekt per Drag-and-Drop auf die gewünschte Organisationseinheit.

In dieser Organisationseinheit sollten sich die zu scannenden Systeme befinden. Alternativ kann das Gruppenrichtlinienobjekt auch auf die gesamte Domäne angewendet werden.

GPO aktivieren / verknüpfen

Fertig

Die Konfiguration der Gruppenrichtlinie ist damit abgeschlossen. Bitte beachten Sie hierbei, dass die Verteilung einige Zeit in Anspruch nehmen kann und ein Neustart der Endgeräte erforderlich ist.

Richtlinie prüfen¶

Auf einem Clientsystem kann die korrekte Ausführung der GPO wie folgt verifiziert werden. Als Administrator innerhalb der CMD:

gpupdate /force

Nach einem Neustart des Clientsystems sind die nachfolgenden Einstellungen zu prüfen.

Gruppenzuweisung¶

Um die Zuweisung zur Gruppe Distributed COM-Benutzer zu prüfen öffnen Sie zunächst die Computerverwaltung. Alternativ per Win+R -> compmgmt.msc öffnen

Computerverwaltung öffnen

Wechseln Sie hier in den Bereich Lokale Benutzer und Gruppen -> Gruppen:

Computerverwaltung öffnen

Dort die Gruppe Distributed COM-Benutzer per Doppelklick öffnen.

Computerverwaltung öffnen

Mitgliedschaft überprüfen

WMI Berechtigungen¶

Zunächst die WMI Managementkonsole öffnen oder per Win+R -> wmimgmt.msc aufrufen.

WMI Managementkonsole öffnen

Hier im Bereich WMI-Kontrolle (Lokal) per Rechtsklick die Option Eigenschaften anwählen.

WMI Eigenschaften

Wechseln Sie hier in den Tab Sicherheit, wählen den obersten Order aus klicken im unteren Bereich erneut auf Sicherheit.

WMI Sicherheitseinstellungen

Stellen Sie hier sicher, dass der Benutzer in der Liste aufgeführt ist

Berechtigungen gesetzt