WMI常見配置問題

1、授予WMI用戶權(quán)限和設(shè)置權(quán)限應(yīng)用到：Windows 7, Windows Server 2008 R2授予WMI用戶權(quán)限和設(shè)置權(quán)限的步驟1. 打開WMI控件控制臺：依次單擊開始”、運行”，鍵入wmimgmt.msc ，然后單擊確定”。2. 在控制臺樹中，右鍵單擊“ WMI控件”，然后單擊 屬性”。3. 單擊安全”選項卡。4. 選擇授予用戶和組訪問權(quán)限的命名空間，然后單擊安全”。5. 在 安全”對話框中，單擊 添加”。6. 在 選擇用戶、計算機(jī)或組”對話框中，輸入要添加的對象（用戶或組）名稱。單擊 檢查名稱”以驗證條目，然后單擊確定”?？赡苄枰奈恢没騿螕羯碳墶卑粹o以查詢對象。參閱對話框幫助”

2、獲取詳細(xì)信息。7. 在 安全”對話框中的 杈限”下，選擇允許或拒絕新用戶或組使用的權(quán)限：級別描述執(zhí)行方法允許用戶執(zhí)行 WMI類方法。完全寫入允許完全讀取、寫入以及刪除對所有WMI對象、類別和實例（動態(tài)和靜態(tài)）的訪問權(quán)限。部分寫入可以對靜態(tài) WMI對象進(jìn)行寫入訪問。提供程序 寫入可以對動態(tài) WMI類實例進(jìn)行寫入訪問。啟用帳戶允許對 WMI對象進(jìn)行讀取訪問。遠(yuǎn)程啟用允許對命名空間進(jìn)行遠(yuǎn)程訪問。讀取安全允許對安全信息進(jìn)仃只讀訪1可。編輯安全允許對安全信息進(jìn)行讀寫訪問。其他注意事項若要執(zhí)行本地計算機(jī)上的此任務(wù)，必須以本機(jī)管理員組成員身份登錄。若要執(zhí)行遠(yuǎn)程計算機(jī)上的此任務(wù)，必須以那臺計算機(jī)的管理員組成員

3、身份登錄。若要訪問遠(yuǎn)程計算機(jī)，請依次右鍵單擊“ WMI控件”、連接到另一臺計算機(jī)”、，另一臺計算機(jī)”，然后鍵入要連接的計算機(jī)的名稱。如果正從計算機(jī)管理控制臺使用WMI控件，請右鍵單擊計算機(jī)管理”連接到其他計算機(jī)。可以通過選擇該用戶或組， 然后單擊 刪除”的方式刪除用戶或組訪問 WMI服務(wù)的 授權(quán)。備份或還原 WMI儲存庫應(yīng)用到：Windows 7, Windows Server 2008 R2備份或還原 WMI儲存庫的步驟1. 打開 WMI控件控制臺：依次單擊肝始"、運行”，鍵入 wmimgmt.msc,然后單擊確定”。2. 在控制臺樹中，右鍵單擊“WMI控件”，然后單擊 屬性”。3

4、. 單擊 備份/還原”選項卡。4. 單擊立即備份”或立即還原”。其他注意事項,若要執(zhí)行該過程，您必須是本地計算機(jī)上管理員組的成員，或者您必須被委派了相 應(yīng)的權(quán)限。如果計算機(jī)已加入某個域，貝UDomain Admins組的成員可能會執(zhí)行該過程。作為安全性最佳操作，請考慮使用運行身份”來執(zhí)行此過程。必須以本地計算機(jī)管理員身份運行才能將備份文件保存在 Windir%System32WbemRepositor 文件夾中?；蛘?，可以將它保存在帳戶配 置文件的 Documents文件夾中。單擊立即備份”手動備份儲存庫時，可以備份到指定的文件名，以后可以從保存的 文件中還原。如果要保存類的特定配置，此方法非

5、常有用。也可以在命令提示符下 運行Winmgmt命令，并從保存的文件中還原。有關(guān)使用Winmgmt命令的詳細(xì)信息，請依次單擊 殲始"、運行"，然后鍵入 winmgmt /?修改權(quán)限或刪除授權(quán)的用戶應(yīng)用到：Windows 7, Windows Server 2008 R2修改權(quán)限或刪除授權(quán)的用戶的步驟1. 打開 WMI控件控制臺：依次單擊肝始"、運行”，鍵入 wmimgmt.msc,然后單擊確定”。2. 在控制臺樹中，右鍵單擊“WMI控件”，然后單擊 屬性”。3. 單擊安全”選項卡。4. 選擇要更改用戶或組權(quán)限或刪除用戶或組的命名空間，然后單擊安全”。5. 在 安全

6、”對話框中的 名稱”下，選擇要刪除或要修改其權(quán)限的用戶或組。6. 請執(zhí)行下列步驟之一：若要刪除用戶或組，請單擊刪除”。若要更改安全設(shè)置， 在 權(quán)限”下通過清除或選中相應(yīng)的復(fù)選框，即可修改允許或拒絕用戶或組使用的權(quán)限。其他注意事項若要執(zhí)行此任務(wù)，您必須是管理員或使用域帳戶，該域帳戶是所管理的計算機(jī)上管 理員組的成員。 WMI安全只在用戶登錄到Windows管理服務(wù)時才能驗證。因此，在連接用戶時，對用戶的權(quán)限所做的任何更改要到下一次用戶登錄到WMI時才會生效。例如，如果用戶的訪問權(quán)限被吊銷，所做的更改需要在用戶注銷Windows管理后，并嘗試再次登錄才會生效。,可以修改遠(yuǎn)程計算機(jī)或本地計算機(jī)上的用

7、戶或組權(quán)限。若要訪問遠(yuǎn)程計算機(jī)，請依 次右鍵單擊“WMI控件”、連接到另一臺計算機(jī)”、另一臺計算機(jī)”，然后鍵入要 連接的計算機(jī)的名稱。如果正從計算機(jī)管理控制臺使用WMI控件，請右鍵單擊 計算機(jī)管理”節(jié)點以連接其他計算機(jī)。無法遠(yuǎn)程連接到 WMI如果管理應(yīng)用程序無法獲得遠(yuǎn)程客戶機(jī)系統(tǒng)的公用信息模型（ CIM ）信息，或者使用分布式 組件對象模型（DCOM ）的遠(yuǎn)程 BIOS更新失敗，則會顯示以下錯誤消息： Access Denied （拒絕訪問） Win32:RPC server is unavailable （RPC 服務(wù)器不可用）如果顯示這些錯誤消息，請執(zhí)行以下操作：1. 要驗證客戶端系統(tǒng)是否

8、已連接到網(wǎng)絡(luò)，請在服務(wù)器的命令提示符處鍵入：ping <Host Name or IP Address>（主機(jī)名或 IP 地址）并按Enter。2. 如果服務(wù)器和客戶端系統(tǒng)都屬于某一域，請執(zhí)行以下步驟：a. 驗證域管理員帳戶同時具有這兩個系統(tǒng)的管理員權(quán)限。b. 如果用戶正在服務(wù)器系統(tǒng)上使用IT Assistant，運行IT AssistantConfigServices公用程序（位于 IT Assistant安裝目錄的 /bin目錄下的 configservices.exe。將IT Assistant配置為在域管理員帳戶下運行，并驗證 已啟用 DCOM 和CIM。有關(guān)信息，請參閱I

9、T Assistant用戶指南。c. 如果您使用的是IT Assistant，請使用域管理員帳戶為客戶端系統(tǒng)配置ITAssistant子網(wǎng)查找。如果已查找到該系統(tǒng)，請將其從已查找到系統(tǒng)的列表中 刪除，為其配置子網(wǎng)查找， 然后再重新查找。有關(guān)信息，請參閱IT Assistant 用戶指南。，請執(zhí)行以下步驟:3. 如果服務(wù)器和客戶端系統(tǒng)都屬于某一工作組（不屬于域）a. 如果客戶端系統(tǒng)正運行Microsoft Windows XP Professional 或 Windows XPProfessional x64版操作系統(tǒng)，且服務(wù)器運行Windows 2000，請驗證服務(wù)器上安裝有Service P

10、ack 2或更高版本。b. 如果客戶端系統(tǒng)運行Windows XP版本，且不是域的一部分，請編輯注冊表以管理員權(quán)限遠(yuǎn)程連接。警告：在更改注冊表前請備份系統(tǒng)數(shù)據(jù)文件。不正確地編輯注冊表可能會導(dǎo)致操作系 統(tǒng)無法使用。4. 要在客戶端系統(tǒng)上更改注冊表，請單擊 開始？運行，鍵入regedit,然后單擊確定。 在注冊表編輯器 窗口中，導(dǎo)航至：我的電腦 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa5. 將forceguest值設(shè)置為0 （默認(rèn)值為1）。如果不修改該值，即使提供的信息表明已具有管理員權(quán)限，遠(yuǎn)程連接至系統(tǒng)的用戶也只具有Guest權(quán)限。a

11、. 在客戶端系統(tǒng)上創(chuàng)建一個帳戶，該帳戶的用戶名和密碼與運行WMI管理應(yīng)用程序的系統(tǒng)上的管理員帳戶的用戶名和密碼相同。b. 如果用戶使用的是IT Assistant,請運行IT Assistant ConfigServices 公用程序（位于IT Assistant安裝目錄的 /bin目錄下的 configservices.exe。將IT Assistant配置為在本地管理員帳戶（現(xiàn)在也是遠(yuǎn)程客戶端的管理員）下運行。 另外，請驗證已啟用DCOM 和CIM。有關(guān)信息，請參閱IT Assistant用戶指南。c. 如果用戶使用的是IT Assistant，請使用管理員帳戶為客戶端系統(tǒng)配置子網(wǎng)查找。輸

12、入用戶名為<client machine name><account name> （客戶端計算機(jī)名稱><帳戶名稱 >）。如果已查找到該系統(tǒng)，請將其從已查找到系統(tǒng)的列表中刪除，為其配置子網(wǎng)查找，然后再重新查找。有關(guān)信息，請參閱 IT Assistant用戶指南。6. 執(zhí)行以下步驟以修改用于遠(yuǎn)程連接到系統(tǒng)WMI的用戶權(quán)限級別：a. 單擊開始？運行，鍵入 compmgmt.msc,然后單擊確定。b. 導(dǎo)航至服務(wù)和應(yīng)用程序下的WMI控件。c. 右鍵單擊 WMI控件，然后單擊屬性。d.單擊安全 選項卡，然后選擇Root樹下的DellOMCIe. 單擊安全。f.

13、選擇要控制訪問權(quán)限的特定組或用戶，然后使用允許或拒絕復(fù)選框配置權(quán)限。7. 執(zhí)行以下步驟以使用WMI CIM Studio 從遠(yuǎn)程系統(tǒng)連接到系統(tǒng)WMI(rootdellomci):a. 在本地系統(tǒng)上隨CIM Studio 一起安裝WMI工具，并在遠(yuǎn)程系統(tǒng)上安裝Dell OMCI。b. 為 WMI遠(yuǎn)程連接相應(yīng)配置系統(tǒng)的防火墻。例如，在 Windows防火墻中打開 TCP 端口 135 和 445。c. 對于本地安全策略中的網(wǎng)絡(luò)訪問：本地帳戶的共享和安全模式，將本地安全設(shè)置為典型-本地用戶以自己的身份驗證。d. 在 Windows Vista的情形中，禁用系統(tǒng)上的UAC。e. 使用 WMI CIM

14、Studio (例如，10.94.174.167rootdellomci)從遠(yuǎn)程系統(tǒng)連 接到系統(tǒng) WMI (rootdellomci)。f. 如有提示，輸入目標(biāo)遠(yuǎn)程系統(tǒng)的管理員憑據(jù)。不同的操作系統(tǒng)之間的 WMI連接你可以在不同的 Windows操作系統(tǒng)之間建立遠(yuǎn)程連接。 但是在一個常見的遠(yuǎn)程連接場景下， 如：計算機(jī)A連接到計算機(jī) B的一個 WMI命名空間，計算機(jī)B通常需要更高的安全級別。在不同的操作系統(tǒng)之間建立連接只有在管理員組中的域用戶才可以建立一個遠(yuǎn)程的WMI連接。目標(biāo)計算機(jī)也會對遠(yuǎn)程連接設(shè)置Impersonation級別和身份驗證級別來接受連接。例如：如果計算機(jī) A是Windows 20

15、00Server with SP2 ,計算機(jī)B是Windows XP ,那么連接字符串中的身份驗證級別必須設(shè)置成 Pkt，因為 Windows XP不接受更低級別身份驗證的連接。以下的VBScript代碼展示了如何將身份驗證級別設(shè)置為Pkt。Set objWMIService = GetObject("winmgmts:" _ & "authenticationLevel=Pkt!" _ & "ComputerB" _ & "rootcimv2")DCOM的Impersonation和身份驗

16、證設(shè)置WMI有一些缺省DCOM的Impersonation和身份驗證設(shè)置，目標(biāo)計算機(jī)B通常使用這些設(shè)置來判斷是否允許遠(yuǎn)程連接。當(dāng)然計算機(jī) A也可以設(shè)置一些為計算機(jī)B不接受的設(shè)置，而在之后的連接調(diào)用時更改這些設(shè)置。但是對于身份驗證服務(wù)，還是建議你指定 RPC_C_AUTHN_DEFAULT 值，并為目標(biāo)計算機(jī)設(shè)置一個合適的DCOM的配置。無法建立連接WMI不支持在以下操作系統(tǒng)之間建立遠(yuǎn)程連接： Windows XP Home Edition 。 Windows NT 不能連接到 Windows 2000 之后的版本如 Windows XP、Windows Server 2003 。 也不支持 Windows me/98/95 訪問 Windows Server 2003。對以下 Windows版本之間的連接有額外的要求： 對于目標(biāo)計算機(jī)是 Windows 2000 Server with SP4，要求將Impersona