Udostępnij za pośrednictwem

Kontrola konta użytkownika i usługa WMI

  • Artykuł

Kontrola konta użytkownika (UAC) ma wpływ na dane usługi WMI zwracane z narzędzia wiersza polecenia, dostępu zdalnego i sposobu uruchamiania skryptów. Aby uzyskać więcej informacji na temat kontroli konta użytkownika, zobacz Wprowadzenie do kontroli konta użytkownika.

W poniższych sekcjach opisano funkcje kontroli dostępu użytkownika:

Kontrola konta użytkownika

W obszarze Kontrola konta użytkownika konta w lokalnej grupie Administratorzy mają dwa tokeny dostępu, jeden z uprawnieniami użytkownika standardowego i jeden z uprawnieniami administratora. Ze względu na filtrowanie tokenów dostępu kontroli konta użytkownika skrypt jest zwykle uruchamiany w ramach tokenu użytkownika standardowego, chyba że jest uruchamiany "jako administrator" w trybie podwyższonych uprawnień. Nie wszystkie skrypty wymagały uprawnień administracyjnych.

Skrypty nie mogą określić programowo, czy działają w ramach standardowego tokenu zabezpieczającego użytkownika, czy tokenu administratora. Skrypt może zakończyć się niepowodzeniem z powodu błędu odmowy dostępu. Jeśli skrypt wymaga uprawnień administratora, należy go uruchomić w trybie podwyższonego poziomu uprawnień. Dostęp do przestrzeni nazw usługi WMI różni się w zależności od tego, czy skrypt jest uruchamiany w trybie podwyższonego poziomu uprawnień. Niektóre operacje WMI, takie jak pobieranie danych lub wykonywanie większości metod, nie wymagają, aby konto było uruchamiane jako administrator. Aby uzyskać więcej informacji na temat domyślnych uprawnień dostępu, zobacz Access to WMI Namespaces and Executing Privileged Operations.

Ze względu na kontrolę konta użytkownika konto, na którym jest uruchamiany skrypt, musi znajdować się w grupie Administratorzy na komputerze lokalnym, aby można było uruchamiać z podwyższonym poziomem uprawnień.

Skrypt lub aplikację z podwyższonym poziomem uprawnień można uruchomić, wykonując jedną z następujących metod:

, aby uruchomić skrypt w trybie podwyższonym uprawnień

  1. Otwórz okno wiersza polecenia, klikając prawym przyciskiem myszy wiersz polecenia w menu Start, a następnie klikając polecenie Uruchom jako administrator.
  2. Zaplanuj uruchamianie skryptu z podwyższonym poziomem uprawnień przy użyciu harmonogramu zadań. Aby uzyskać więcej informacji, zobacz Konteksty zabezpieczeń dotyczące uruchamiania zadań.
  3. Uruchom skrypt przy użyciu wbudowanego konta administratora.

Konto wymagane do uruchomienia narzędzi usługi WMI Command-Line

Aby uruchomić następujące narzędzia WMI Command-Line Tools, twoje konto musi znajdować się w grupie Administratorzy, a narzędzie musi zostać uruchomione z poziomu wiersza polecenia z podwyższonym poziomem uprawnień. Wbudowane konto administratora może również uruchamiać te narzędzia.

  • mofcomp

  • wmic

    Przy pierwszym uruchomieniu narzędzia Wmic po instalacji systemu należy go uruchomić z wiersza polecenia z podwyższonym poziomem uprawnień. Tryb podwyższonego poziomu uprawnień może nie być wymagany w przypadku kolejnych wykonań usługi Wmic, chyba że operacje usługi WMI wymagają uprawnień administratora.

  • winmgmt

  • wmiadap

Aby uruchomić kontrolki usługi WMI (Wmimgmt.msc) i wprowadzić zmiany w ustawieniach zabezpieczeń lub inspekcji przestrzeni nazw usługi WMI, twoje konto musi mieć jawnie przyznane uprawnienie Edytuj zabezpieczenia lub być w lokalnej grupie Administratorzy. Wbudowane konto administratora może również zmienić zabezpieczenia lub inspekcję przestrzeni nazw.

Wbemtest.exe, narzędzie wiersza polecenia, które nie jest obsługiwane przez usługi obsługi klienta firmy Microsoft, może być uruchamiane przez konta, które nie znajdują się w lokalnej grupie Administratorzy, chyba że określona operacja wymaga uprawnień, które są zwykle przyznawane dla kont administratorów.

Obsługa połączeń zdalnych w ramach kontroli konta użytkownika

Niezależnie od tego, czy łączysz się z komputerem zdalnym w domenie, czy w grupie roboczej, określa, czy występuje filtrowanie kontroli dostępu użytkownika.

Jeśli komputer jest częścią domeny, połącz się z komputerem docelowym przy użyciu konta domeny, które znajduje się w lokalnej grupie Administratorzy komputera zdalnego. Następnie filtrowanie tokenów dostępu kontroli użytkownika nie będzie miało wpływu na konta domeny w lokalnej grupie Administratorzy. Nie używaj konta lokalnego, niedomennego na komputerze zdalnym, nawet jeśli konto znajduje się w grupie Administratorzy.

W grupie roboczej konto łączące się z komputerem zdalnym jest użytkownikiem lokalnym na tym komputerze. Nawet jeśli konto znajduje się w grupie Administratorzy, filtrowanie kontroli konta użytkownika oznacza, że skrypt jest uruchamiany jako użytkownik standardowy. Najlepszym rozwiązaniem jest utworzenie dedykowanej lokalnej grupy użytkowników lub konta użytkownika na komputerze docelowym specjalnie dla połączeń zdalnych.

Zabezpieczenia muszą być dostosowane, aby móc korzystać z tego konta, ponieważ konto nigdy nie miało uprawnień administracyjnych. Nadaj użytkownikowi lokalnemu:

Jeśli używasz konta lokalnego, ponieważ jesteś w grupie roboczej lub jest to konto komputera lokalnego, możesz być zmuszony do nadania określonych zadań użytkownikowi lokalnemu. Możesz na przykład przyznać użytkownikowi prawo do zatrzymania lub uruchomienia określonej usługi za pomocą polecenia SC.exe, GetSecurityDescriptor i SetSecurityDescriptor metod Win32_Servicelub za pomocą zasad grupy za pomocą gpedit.msc. Niektóre zabezpieczane obiekty mogą nie zezwalać użytkownikowi standardowemu na wykonywanie zadań i nie oferują żadnych środków na zmianę domyślnych zabezpieczeń. W takim przypadku może być konieczne wyłączenie kontroli dostępu użytkownika, aby konto użytkownika lokalnego nie było filtrowane, a zamiast tego staje się pełnym administratorem. Należy pamiętać, że ze względów bezpieczeństwa wyłączenie kontroli dostępu użytkownika powinno być ostatecznością.

Wyłączenie zdalnej kontroli dostępu użytkownika przez zmianę wpisu rejestru, który steruje zdalną kontrolą konta użytkownika, nie jest zalecane, ale może być konieczne w grupie roboczej. Wpis rejestru to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy. Jeśli wartość tego wpisu wynosi zero (0), włączono filtrowanie tokenu dostępu zdalnego kontroli dostępu za pomocą kontroli dostępu. Gdy wartość to 1, zdalna kontrola konta użytkownika jest wyłączona.

Wpływ kontroli dostępu użytkownika na dane usługi WMI zwrócone do skryptów lub aplikacji

Jeśli skrypt lub aplikacja jest uruchomiona na koncie w grupie Administratorzy, ale nie działa z podwyższonym poziomem uprawnień, może nie zostać zwrócone wszystkie dane, ponieważ to konto jest uruchomione jako użytkownik standardowy. Dostawcy usługi WMI dla niektórych klas nie zwracają wszystkich wystąpień do standardowego konta użytkownika lub konta administratora, które nie jest uruchomione jako pełny administrator z powodu filtrowania kontroli dostępu użytkownika.

Następujące klasy nie zwracają niektórych wystąpień, gdy konto jest filtrowane według kontroli dostępu użytkownika:

Następujące klasy nie zwracają niektórych właściwości, gdy konto jest filtrowane według kontroli użytkownika:

informacje o usłudze WMI

dostęp do zabezpieczanych obiektów usługi WMI

zmienianie zabezpieczeń dostępu w zabezpieczanych obiektach