Configurare WMI nel controller di dominio di Windows per CEM
Sommario
Introduzione Prerequisiti Requisiti
Componenti usati Configurazione
Crea un nuovo oggetto Criteri di gruppo WMI: Configurare la protezione COM Assegnazione diritti utente
Configurazione firewall
Sicurezza spazio dei nomi WMI Verifica
Risoluzione dei problemi
Introduzione
In questo documento viene descritta la procedura per configurare Strumentazione gestione
Windows (WMI) sul controller di dominio di Windows per Cisco Energy Wise Management (CEM).
WMI viene utilizzato per accedere in remoto ai computer Windows per raccogliere dati ed eseguire comandi. Sebbene sia disponibile uno script che esegue tutti i passaggi necessari
contemporaneamente, se il controller di dominio viene utilizzato per applicare i criteri ai dispositivi del dominio, è consigliabile modificare le impostazioni nei criteri del dominio, in quanto i dispositivi ignorerebbero le modifiche locali. In questo documento vengono illustrati i passaggi per
configurare i criteri di gruppo nel controller di dominio di Windows per preparare i dispositivi del dominio per l'interrogazione WMI.
Nota: Sebbene WMI sia disponibile in Windows 2000 con SP2, l'applicazione CEM non supporta Windows 2000. Per utilizzare WMI, l'applicazione CEM richiede Microsoft Windows XP Professional SP2 o versione successiva.
Prerequisiti
Requisiti
Cisco consiglia di accedere a controller di dominio Windows, Cisco Energy Management Suite e computer remoti (risorse).
Componenti usati
Le informazioni fornite in questo documento si basano sull'ambiente CEMS 5.2 in cui il connettore
degli asset di Active Directory (AD) viene utilizzato per estrarre le informazioni WMI dai dispositivi remoti.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali
conseguenze derivanti dall'uso dei comandi.
Configurazione
Crea un nuovo oggetto Criteri di gruppo
Il primo passaggio consiste nella creazione di un nuovo oggetto Criteri di gruppo. È possibile creare l'oggetto Criteri di gruppo nel controller di dominio in Gestione Criteri di gruppo come illustrato di seguito:
Oggetto Criteri di gruppo
WMI: Configurare la protezione COM
Per eseguire query WMI in remoto, sono necessarie autorizzazioni COM specifiche. Selezionare l'oggetto Criteri di gruppo creato nel passaggio precedente, fare clic con il pulsante destro del mouse e scegliere Modifica, quindi selezionare il percorso:
Console Gestione Criteri di gruppo > Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Opzioni di protezione
Trova gli screenshot per la configurazione delle autorizzazioni di accesso remoto per l'utente Administrators per le autorizzazioni COM per:
DCOM: Restrizioni accesso computer nella sintassi SDDL (Security Descriptor Definition Language)
DCOM: Restrizioni avvio computer in SDDL (Security Descriptor Definition Language)
Autorizzazioni DCOM
Selezionare Definisci questa impostazione e fare clic su Modifica protezione. Specificare le autorizzazioni di accesso locale e remoto per l'account che si desidera utilizzare per WMI.
Autorizzazioni di accesso DCOM
Assegnazione diritti utente
L'applicazione CEM richiede sia i file e le directory di backup che i file e le directory di ripristino per
caricare il profilo utente quando tenta di richiamare un processo. È inoltre necessario disporre del privilegio Force shutdown from a remote shutdown per consentire il funzionamento dell'azione POWER_OFF.
Queste modifiche devono essere apportate nelle impostazioni di assegnazione dei diritti utente in questo oggetto Criteri di gruppo. È necessario fornire questi diritti all'account utilizzato per WMI.
SeRemoteShutdownPrivilege - Arresto forzato da un sistema remoto SeBackupPrivilege - Backup di file e directory
SeRestorePrivilege - Ripristina file e directory
SeNetworkLogonRight - Accedi al computer dalla rete
SeSecurityPrivilege - Scegliere Gestisci registro di controllo e di protezione Èpossibile configurare queste impostazioni nel percorso seguente:
Console Gestione Criteri di gruppo > Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Assegnazione diritti utente
Assegnazione diritti utente
Configurazione firewall
Per eseguire chiamate WMI a un computer, è necessario che la porta RPC (TCP 135) sia
accessibile esternamente. A tale scopo, è possibile utilizzare Editor Gestione Criteri di gruppo e nella struttura dei menu passare a Configurazione computer > Criteri > Modelli amministrativi:
Definizioni criteri > Rete > Connessioni di rete > Windows Firewall
Selezionare Profilo dominio, quindi fare doppio clic su Windows Firewall: Consenti eccezione di amministrazione remota in ingresso. Windows Firewall: Viene visualizzata la finestra Consenti eccezioni di amministrazione remota in entrata.
Fare clic su Attivato.
Assicurarsi di specificare l'indirizzo IP nel campo Consenti messaggi in arrivo non richiesti da questi indirizzi IP.
Èpossibile immettere * per consentire l'invio di messaggi da qualsiasi rete oppure digitare un elenco separato da virgole contenente indirizzi IP o subnet specifiche.
Con figurazione firewall
Sicurezza spazio dei nomi WMI
Per abilitare l'accesso WMI a un computer, è necessario abilitare le autorizzazioni WMI specifiche per l'account utilizzato. Impossibile eseguire la configurazione tramite Criteri di gruppo nel
controller di dominio di Windows. È necessario eseguirla nei computer remoti con lo strumento WmiSetNsSecurity.
Impostare la protezione WMI ed eseguire il comando (sostituire %account% con l'account utente per il quale si desidera impostare la protezione) nello strumento da riga di comando di Windows.
WmiSetNsSecurity Root\CIMV2 -r %account%
WmiSetNsSecurity Root\CIMV2\power -r %account%
WmiSetNsSecurity Root\Default -r %account%
WmiSetNsSecurity Root\WMI -r %account%
Ènecessario eseguire il push di questa configurazione in tutti i computer remoti rimasti. Questa operazione può essere eseguita anche quando si crea uno script batch e lo si esegue tramite uno script di accesso amministrativo o uno script di avvio del computer in un criterio di gruppo.
Configurare le autorizzazioni del file system.
L'applicazione CEM richiede autorizzazioni complete per accedere alla sottocartella Cisco all'interno della cartella Windows (ad esempio C:\Windows\Cisco) per archiviare ed eseguire script. Questa operazione deve essere eseguita su risorse remote e i dettagli della configurazione sono disponibili in questo articolo nella sezione autorizzazioni file system remoto.
https://cem-update.cisco.com/download/files/5.0/docs/CEM_Online_Help/aa1808350.html
Configura autorizzazioni del Registro di sistema
L'applicazione CEM deve accedere al registro del dispositivo per memorizzare vari dati. Fare riferimento alla sezione relativa alla configurazione delle autorizzazioni del Registro di sistema in questo articolo.
https://cem-update.cisco.com/download/files/5.0/docs/CEM_Online_Help/aa1808350.html
Verifica
Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.
Verificare il funzionamento di WMI eseguendo la diagnostica su uno dei dispositivi di dominio dall'interfaccia utente di CEMS. Una configurazione corretta non deve visualizzare errori correlati a WMI.
Risoluzione dei problemi
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.
