User Account Control och WMI

UAC (User Account Control) påverkar de WMI-data som returneras från ett kommandoradsverktyg, fjärråtkomst och hur skript måste köras. Mer information om UAC finns i Komma igång med user account control.

I följande avsnitt beskrivs UAC-funktioner:

• Användarkontokontroll
• konto som krävs för att köra WMI Command-Line Tools
• hantera fjärranslutningar under UAC-
• UAC-effekt på WMI-data som returneras till skript eller program
• Relaterade ämnen

Kontroll av användarkonto

Under UAC har konton i den lokala gruppen Administratörer två åtkomsttoken, en med standardanvändarbehörighet och en med administratörsbehörighet. På grund av filtrering av UAC-åtkomsttoken körs ett skript normalt under standardanvändartoken, såvida det inte körs "som administratör" i förhöjt behörighetsläge. Alla skript kräver inte administratörsbehörighet.

Skript kan inte programmatiskt avgöra om de körs under en standardanvändarsäkerhetstoken eller en administratörstoken. Skriptet kan misslyckas med ett felmeddelande om nekad åtkomst. Om skriptet kräver administratörsbehörighet måste det köras i förhöjd läge. Åtkomsten till WMI-namnområden skiljer sig beroende på om skriptet körs i förhöjt läge. Vissa WMI-åtgärder, till exempel att hämta data eller köra de flesta metoder, kräver inte att kontot körs som administratör. Mer information om standardåtkomstbehörigheter finns i Åtkomst till WMI-namnområden och Köra privilegierade åtgärder.

På grund av User Account Control måste kontot som kör skriptet finnas i gruppen Administratörer på den lokala datorn för att kunna köras med utökade rättigheter.

Du kan köra ett skript eller ett program med utökade rättigheter genom att utföra någon av följande metoder:

för att köra ett skript i förhöjd läge

1. Öppna kommandotolken genom att högerklicka på Kommandotolken på Start-menyn och klicka sedan på Kör som administratör.
2. Schemalägg skriptet så att det körs förhöjt med schemaläggaren. Mer information finns i säkerhetskontexter för att köra uppgifter.
3. Kör skriptet med det inbyggda administratörskontot.

Konto som krävs för att köra WMI-Command-Line-verktyg

Om du vill köra följande WMI Command-Line Toolsmåste ditt konto finnas i gruppen Administratörer och verktyget måste köras från en upphöjd kommandotolk. Det inbyggda administratörskontot kan också köra dessa verktyg.

• mofcomp

• wmic

  Första gången du kör Wmic efter systeminstallationen måste den köras från en upphöjd kommandotolk. Det förhöjda läget kanske inte krävs för efterföljande körningar av Wmic om inte WMI-åtgärderna kräver administratörsbehörighet.

• winmgmt

• wmiadap

Om du vill köra WMI Control (Wmimgmt.msc) och göra ändringar i säkerhets- eller granskningsinställningarna för WMI-namnområdet måste ditt konto uttryckligen ha behörigheten Redigera säkerhet eller vara i den lokala gruppen Administratörer. Det inbyggda administratörskontot kan också ändra säkerheten eller granskningen för ett namnområde.

Wbemtest.exekan ett kommandoradsverktyg som inte stöds av Microsofts kundtjänsttjänster köras av konton som inte finns i den lokala gruppen Administratörer, såvida inte en specifik åtgärd kräver behörigheter som normalt beviljas administratörskonton.

Hantera fjärranslutningar under UAC

Om du ansluter till en fjärrdator i en domän eller i en arbetsgrupp avgör om UAC-filtrering sker.

Om datorn är en del av en domän ansluter du till måldatorn med ett domänkonto som finns i den lokala gruppen Administratörer på fjärrdatorn. Filtrering av UAC-åtkomsttoken påverkar inte domänkontona i den lokala gruppen Administratörer. Använd inte ett lokalt, icke-domänkonto på fjärrdatorn, även om kontot finns i gruppen Administratörer.

I en arbetsgrupp är kontot som ansluter till fjärrdatorn en lokal användare på den datorn. Även om kontot finns i gruppen Administratörer innebär UAC-filtrering att ett skript körs som en standardanvändare. Bästa praxis är att skapa en dedikerad lokal användargrupp eller ett användarkonto på måldatorn specifikt för fjärranslutningar.

Säkerheten måste justeras för att kunna använda det här kontot eftersom kontot aldrig har haft administratörsbehörighet. Ge den lokala användaren:

• Fjärrstart och aktiveringsbehörighet för åtkomst till DCOM. Mer information finns i Ansluta till WMI på en fjärrdator.
• Behörighet att fjärråtkomst till WMI-namnområdet (fjärraktivering). Mer information finns i Åtkomst till WMI-namnområden.
• Rätt att komma åt det specifika skyddsbara objektet, beroende på vilken säkerhet som krävs av objektet.

Om du använder ett lokalt konto, antingen för att du är i en arbetsgrupp eller för att det är ett lokalt datorkonto, kan du tvingas att ge specifika uppgifter till en lokal användare. Du kan till exempel ge användaren rätt att stoppa eller starta en specifik tjänst via kommandot SC.exe, GetSecurityDescriptor och SetSecurityDescriptor metoder för Win32_Serviceeller via grupprincip med gpedit.msc. Vissa skyddsbara objekt kanske inte tillåter att en standardanvändare utför uppgifter och erbjuder inga medel för att ändra standardsäkerheten. I det här fallet kan du behöva inaktivera UAC så att det lokala användarkontot inte filtreras och i stället blir en fullständig administratör. Tänk på att av säkerhetsskäl bör inaktivering av UAC vara en sista utväg.

Att inaktivera fjärr-UAC genom att ändra registerposten som styr fjärr-UAC rekommenderas inte, men kan vara nödvändigt i en arbetsgrupp. Registerposten är HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy. När värdet för den här posten är noll (0) aktiveras filtrering av UAC-fjärråtkomsttoken. När värdet är 1 inaktiveras fjärr-UAC.

UAC-effekt på WMI-data som returneras till skript eller program

Om ett skript eller program körs under ett konto i gruppen Administratörer, men inte körs med utökade privilegier, kanske du inte får alla data returnerade eftersom det här kontot körs som standardanvändare. WMI-providrar för vissa klasser returnerar inte alla instanser till ett standardanvändarkonto eller ett administratörskonto som inte körs som fullständig administratör på grund av UAC-filtrering.

Följande klasser returnerar inte vissa instanser när kontot filtreras av UAC:

• Win32_Bus
• Win32_Printer
• Win32_ComponentCategory
• Win32_LogicalProgramGroupItem
• Win32_LogicalProgramGroup
• Win32_NetworkConnection
• Win32_UserAccount
• Win32_PrinterDriver
• Win32_PortResource
• Win32_DeviceMemoryAddress

Följande klasser returnerar inte vissa egenskaper när kontot filtreras av UAC:

• Win32_NetworkAdapterConfiguration
• Win32_DCOMApplicationSetting
• Win32_DCOMApplication
• Win32_Baseboard
• Win32_ComputerSystem
• Win32_NetworkAdapter
• Win32_MotherboardDevice
• Win32_DiskDrive
• Win32_PnPEntity
• Win32_VideoController
• Win32_ParallelPort
• Win32_LogicalDisk
• Win32_SystemDriver
• Win32_IRQResource
• Win32_NetworkProtocol

Relaterade ämnen

Om WMI

åtkomst till WMI-skyddsbara objekt

Ändra åtkomstsäkerhet för skyddsbara objekt