Delen via

Gebruikersaccountbeheer en WMI

  • Artikel

Gebruikersaccountbeheer (UAC) is van invloed op de WMI-gegevens die worden geretourneerd vanuit een opdrachtregelprogramma, externe toegang en hoe scripts moeten worden uitgevoerd. Zie Aan de slag met gebruikersaccountbeheervoor meer informatie over UAC.

In de volgende secties wordt de UAC-functionaliteit beschreven:

Gebruikersaccountbeheer

Onder UAC hebben accounts in de lokale groep Administrators twee toegangstokens, één met standaardgebruikersbevoegdheden en één met beheerdersbevoegdheden. Vanwege het filteren van UAC-toegangstokens wordt een script normaal gesproken uitgevoerd onder het standaardgebruikerstoken, tenzij het wordt uitgevoerd als beheerder in de modus met verhoogde bevoegdheden. Niet alle scripts hebben beheerdersbevoegdheden nodig.

Scripts kunnen niet programmatisch bepalen of ze worden uitgevoerd onder een standaardgebruikersbeveiligingstoken of een administratortoken. Het script kan mislukken met een fout met geweigerde toegang. Als voor het script beheerdersbevoegdheden zijn vereist, moet het worden uitgevoerd in de modus met verhoogde bevoegdheden. Toegang tot WMI-naamruimten verschilt, afhankelijk van of het script wordt uitgevoerd in verhoogde modus. Sommige WMI-bewerkingen, zoals het ophalen van gegevens of het uitvoeren van de meeste methoden, vereisen niet dat het account wordt uitgevoerd als beheerder. Zie Toegang tot WMI-naamruimten en Bevoegde bewerkingen uitvoerenvoor meer informatie over standaardtoegangsmachtigingen.

Vanwege gebruikersaccountbeheer moet het account waarop het script wordt uitgevoerd zich in de groep Administrators op de lokale computer bevinden om te kunnen worden uitgevoerd met verhoogde rechten.

U kunt een script of een toepassing met verhoogde rechten uitvoeren door een van de volgende methoden uit te voeren:

een script uitvoeren in verhoogde modus

  1. Open een opdrachtpromptvenster door met de rechtermuisknop op de opdrachtprompt in het menu Start te klikken en vervolgens te klikken op Als administrator uitvoeren.
  2. Plan het script om verhoogde bevoegdheden uit te voeren met behulp van Task Scheduler. Zie Beveiligingscontexten voor het uitvoeren van takenvoor meer informatie.
  3. Voer het script uit met behulp van het ingebouwde Administrator-account.

Account nodig om WMI-Command-Line-hulpprogramma's uit te voeren

Als u de volgende WMI Command-Line Toolswilt uitvoeren, moet uw account zich in de groep Administrators bevinden en moet het hulpprogramma worden uitgevoerd vanaf een opdrachtprompt met verhoogde bevoegdheid. Het ingebouwde beheerdersaccount kan deze hulpprogramma's ook uitvoeren.

  • De eerste keer dat u Wmic uitvoert na de installatie van het systeem, moet deze worden uitgevoerd vanaf een opdrachtprompt met verhoogde bevoegdheid. De verhoogde modus is mogelijk niet vereist voor volgende uitvoeringen van Wmic, tenzij voor de WMI-bewerkingen beheerdersbevoegdheden zijn vereist.

  • winmgmt-

  • wmiadap-

Als u de WMI Control (Wmimgmt.msc) wilt uitvoeren en wijzigingen wilt aanbrengen in de WMI-naamruimtebeveiliging of controle-instellingen, moet uw account expliciet het recht Beveiliging bewerken hebben verleend of zich in de lokale groep Administrators bevinden. Het ingebouwde Administrator-account kan ook de beveiliging of controle voor een naamruimte wijzigen.

Wbemtest.exe, een opdrachtregelprogramma dat niet wordt ondersteund door microsoft-klantenserviceservices, kan worden uitgevoerd door accounts die zich niet in de lokale groep Administrators bevinden, tenzij voor een specifieke bewerking bevoegdheden zijn vereist die normaal gesproken worden verleend aan beheerdersaccounts.

Externe verbindingen verwerken onder UAC

Of u nu verbinding maakt met een externe computer in een domein of in een werkgroep bepaalt of UAC-filtering plaatsvindt.

Als uw computer deel uitmaakt van een domein, maakt u verbinding met de doelcomputer met behulp van een domeinaccount dat zich in de lokale groep Administrators van de externe computer bevindt. Vervolgens heeft UAC-toegangstokenfilters geen invloed op de domeinaccounts in de lokale groep Administrators. Gebruik geen lokaal, niet-domeinaccount op de externe computer, zelfs niet als het account zich in de groep Administrators bevindt.

In een werkgroep is het account dat verbinding maakt met de externe computer een lokale gebruiker op die computer. Zelfs als het account zich in de groep Administrators bevindt, betekent UAC-filtering dat een script wordt uitgevoerd als een standaardgebruiker. Een best practice is het maken van een toegewezen lokale gebruikersgroep of gebruikersaccount op de doelcomputer specifiek voor externe verbindingen.

De beveiliging moet worden aangepast om dit account te kunnen gebruiken omdat het account nooit beheerdersbevoegdheden heeft. Geef de lokale gebruiker het volgende:

  • Externe start en activeer rechten voor toegang tot DCOM. Zie Verbinding maken met WMI op een externe computervoor meer informatie.
  • Rechten voor toegang tot de WMI-naamruimte op afstand (Extern inschakelen). Zie Toegang tot WMI-naamruimtenvoor meer informatie.
  • Het recht om toegang te krijgen tot het specifieke beveiligbare object, afhankelijk van de beveiliging die door het object is vereist.

Als u een lokaal account gebruikt, omdat u zich in een werkgroep bevindt of een lokaal computeraccount is, wordt u mogelijk gedwongen om specifieke taken aan een lokale gebruiker te geven. U kunt de gebruiker bijvoorbeeld het recht geven om een specifieke service te stoppen of te starten via de opdracht SC.exe, de GetSecurityDescriptor en SetSecurityDescriptor methoden van Win32_Serviceof via groepsbeleid met behulp van Gpedit.msc. Sommige beveiligbare objecten staan een standaardgebruiker mogelijk niet toe taken uit te voeren en bieden geen middelen om de standaardbeveiliging te wijzigen. In dit geval moet u mogelijk UAC uitschakelen, zodat het lokale gebruikersaccount niet wordt gefilterd en in plaats daarvan een volledige beheerder wordt. Houd er rekening mee dat het uitschakelen van UAC om veiligheidsredenen een laatste redmiddel moet zijn.

Het uitschakelen van extern UAC door de registervermelding te wijzigen waarmee externe UAC wordt beheerd, wordt niet aanbevolen, maar is mogelijk nodig in een werkgroep. De registervermelding is HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy. Wanneer de waarde van deze vermelding nul (0) is, wordt filteren van extern UAC-toegangstoken ingeschakeld. Wanneer de waarde 1 is, wordt externe UAC uitgeschakeld.

UAC-effect op WMI-gegevens die worden geretourneerd naar scripts of toepassingen

Als een script of toepassing wordt uitgevoerd onder een account in de groep Administrators, maar niet wordt uitgevoerd met een verhoogde bevoegdheid, worden mogelijk niet alle gegevens geretourneerd omdat dit account wordt uitgevoerd als een standaardgebruiker. De WMI-providers voor sommige klassen retourneren niet alle exemplaren naar een standaardgebruikersaccount of een administratoraccount dat niet wordt uitgevoerd als een volledige beheerder vanwege UAC-filtering.

De volgende klassen retourneren geen enkele exemplaren wanneer het account wordt gefilterd door UAC:

De volgende klassen retourneren geen enkele eigenschappen wanneer het account wordt gefilterd door UAC:

Over WMI-

Toegang tot WMI-beveiligbare objecten

toegangsbeveiliging voor beveiligbare objecten wijzigen