Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Para se conectar a um computador remoto usando WMI, verifique se as configurações DCOM corretas e as configurações de segurança do namespace WMI estão habilitadas para a conexão.
O WMI possui configurações padrão de representação, autenticação e serviço de autenticação (NTLM ou Kerberos) que são requeridas pelo computador de destino numa conexão remota. Sua máquina local pode usar diferentes padrões que o sistema de destino não aceita. Você pode alterar essas configurações na chamada de conexão.
As seguintes seções são discutidas neste tópico:
- configurações de representação e autenticação DCOM para WMI
- Configuração de segurança DCOM para permitir que um usuário acesse um computador remotamente
- Permitindo que os usuários acessem um namespace WMI específico
- Definindo a segurança de namespace para exigir criptografia de dados para conexões remotas
- Tópicos relacionados
Configurações de representação e autenticação DCOM para WMI
WMI tem configurações padrão de representação DCOM, autenticação e serviço de autenticação (NTLM ou Kerberos) que são necessárias para um sistema remoto. Seu sistema local pode usar diferentes padrões que o sistema remoto de destino não aceita. Você pode alterar essas configurações na chamada de conexão. Para obter mais informações, consulte Configuração da Segurança do Processo do Aplicativo Cliente. No entanto, para o serviço de autenticação, é recomendável especificar RPC_C_AUTHN_DEFAULT e permitir que o DCOM escolha o serviço apropriado para o computador de destino.
Você pode fornecer configurações em parâmetros para as chamadas para CoInitializeSecurity ou CoSetProxyBlanket em C++. Em scripts, você pode estabelecer configurações de segurança em chamadas para SWbemLocator.ConnectServer, em um objeto SWbemSecurity ou na string de moniker de script .
Para obter uma lista de todas as constantes de representação C++, consulte Definindo o nível de segurança de processo padrão usando C++. Para obter as constantes do Visual Basic e cadeias de caracteres de script para usar a conexão de moniker, consulte Definindo o nível de segurança de processo padrão usando VBScript.
A tabela a seguir lista as configurações padrão do serviço de representação, autenticação e autenticação DCOM exigidas pelo computador de destino (Computador B) em uma conexão remota. Para obter mais informações, consulte Protegendo uma conexão WMI remota.
| Sistema operacional do computador B | Cadeia de caracteres de script ao nível de representação | Cadeia de script do nível de autenticação | Serviço de autenticação |
|---|---|---|---|
| Windows Vista ou posterior | Fazer-se passar por | Pkt | Kerberos |
As conexões remotas WMI são afetadas pelo Controle de Conta de Usuário (UAC) e pelo Firewall do Windows . Para obter mais informações, consulte Ligar-se remotamente ao WMI a partir do Vista e Ligar-se através do Firewall do Windows.
Lembre-se de que a conexão ao WMI no computador local tem um nível de autenticação padrão de PktPrivacy.
Definindo a segurança DCOM para permitir que um usuário acesse um computador remotamente
A segurança no WMI está relacionada à conexão com um namespace WMI. O WMI usa DCOM para lidar com chamadas remotas. Uma razão para a falha na conexão a um computador remoto é devido a uma falha DCOM (erro "DCOM Access Denied" decimal -2147024891 ou hex 0x80070005). Para obter mais informações sobre a segurança DCOM no WMI para aplicativos C++, consulte Setting Client Application Process Security.
Você pode definir as configurações DCOM para WMI usando o utilitário de configuração DCOM (DCOMCnfg.exe) encontrado em Ferramentas Administrativas no Painel de Controle . Este utilitário expõe as configurações que permitem que determinados usuários se conectem ao computador remotamente através do DCOM. Os membros do grupo Administradores têm permissão para se conectar remotamente ao computador por padrão. Com este utilitário, você pode definir a segurança para iniciar, acessar e configurar o serviço WMI.
O procedimento a seguir descreve como conceder permissões de inicialização e ativação remotas DCOM para determinados usuários e grupos. Se o Computador A estiver se conectando remotamente ao Computador B, você poderá definir essas permissões no Computador B para permitir que um usuário ou grupo que não faça parte do grupo Administradores no Computador B execute chamadas de inicialização e ativação DCOM no Computador B.
Para conceder permissões de inicialização remota e ativação DCOM para um usuário ou grupo
Clique Iniciar, clique em Executar, digite DCOMCNFGe, em seguida, clique em OK.
Na caixa de diálogo Serviços de Componentes, expanda Serviços de Componentes, expanda Computadorese, em seguida, clique com o botão direito em My Computer e clique em Propriedades.
Na caixa de diálogo Propriedades do Meu Computador, clique no separador Segurança COM.
Em Permissões de Início e Ativação , clique em Editar Limites.
Na caixa de diálogo de Permissão de Inicialização, siga estas etapas se seu nome ou grupo não aparecer na lista Grupos ou nomes de usuário:
- Na caixa de diálogo de Permissão de Inicialização , clique em Adicionar .
- Na caixa de diálogo Selecionar Usuários, Computadores ou Grupos, adicione seu nome e o grupo na caixa Digite os nomes dos objetos a serem selecionados e clique em OK.
Na caixa de diálogo Permissão de Inicialização, selecione o seu utilizador e grupo na caixa Grupo ou nomes de utilizador. Na coluna Permitir em Permissões parade Utilizador , selecione de Início Remoto e selecione de Ativação Remota e, em seguida, clique em OK.
O procedimento a seguir descreve como conceder permissões de acesso remoto DCOM para determinados usuários e grupos. Se o Computador A estiver se conectando remotamente ao Computador B, você poderá definir essas permissões no Computador B para permitir que um usuário ou grupo que não faça parte do grupo Administradores no Computador B se conecte ao Computador B.
Para conceder permissões de acesso remoto DCOM
- Clique Iniciar, clique em Executar, digite DCOMCNFGe, em seguida, clique em OK.
- Na caixa de diálogo Serviços de Componentes, expanda Serviços de Componentes, expanda Computadorese, em seguida, clique com o botão direito do rato O Meu Computador e clique em Propriedades.
- Na caixa de diálogo Propriedades do Computador, clique no separador Segurança COM.
- Em Permissões de Acesso, clique em Editar Limites.
- Na caixa de diálogo Permissão de Acesso, selecione o nome LOGON ANÔNIMO na caixa Grupo ou nomes de utilizador. Na coluna Permitir em Permissões do Utilizador, selecione Acesso Remotoe, em seguida, clique em OK.
Permitindo que os usuários acessem um namespace WMI específico
Você pode permitir ou não que os usuários acessem um namespace WMI específico definindo a permissão "Remote Enable" no Controle WMI para um namespace. Se um usuário tentar se conectar a um namespace ao qual não tem permissão de acesso, ele receberá 0x80041003 de erro. Por padrão, essa permissão é habilitada apenas para administradores. Um administrador pode habilitar o acesso remoto a namespaces WMI específicos para um usuário não administrador.
O procedimento a seguir define permissões de habilitação remota para um usuário não administrador.
Para definir permissões de ativação remota
Conecte-se ao computador remoto usando o controle WMI.
Para mais informações sobre o Controlo WMI, consulte Configurar a Segurança do Namespace com o Controlo WMI.
Na guia Security, selecione o namespace e clique em Security.
Localize a conta apropriada e marque de Ativação Remota na lista Permissões.
Definindo a segurança de namespace para exigir criptografia de dados para conexões remotas
Um administrador ou um arquivo MOF pode configurar um namespace WMI para que nenhum dado seja retornado, a menos que você use a privacidade de pacotes (RPC_C_AUTHN_LEVEL_PKT_PRIVACY ou PktPrivacy como um moniker em um script) em uma conexão com esse namespace. Isso garante que os dados sejam criptografados à medida que atravessam a rede. Se você tentar definir um nível de autenticação mais baixo, receberá uma mensagem de acesso negado. Para obter mais informações, consulte Exigindo uma conexão criptografada com um namespace.
O exemplo de código VBScript a seguir mostra como se conectar a um namespace criptografado usando "pktPrivacy".
strComputer = "RemoteComputer"
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
& strComputer & "\root\EncryptedNamespace")
Tópicos relacionados