Kullanıcı Hesabı Denetimi ve WMI

Kullanıcı Hesabı Denetimi (UAC), bir komut satırı aracından döndürülen WMI verilerini, uzaktan erişimi ve betiklerin nasıl çalışması gerektiğini etkiler. UAC hakkında daha fazla bilgi için bkz. Kullanıcı Hesabı Denetimi ile Çalışmaya Başlama.

Aşağıdaki bölümlerde UAC işlevselliği açıklanmaktadır:

• Kullanıcı Hesabı Denetimi
• WMI Command-Line Araçları Çalıştırmak için Gereken Hesabı
• UAC Altında Uzak Bağlantıları İşlemeyi
• Betiklere veya Uygulamalara Döndürülen WMI Verileri üzerinde UAC Etkisi
• İlgili konular

Kullanıcı Hesabı Denetimi

UAC altında, yerel Yöneticiler grubundaki hesaplarbiri standart kullanıcı ayrıcalıklarına ve diğeri yönetici ayrıcalıklarına sahip olmak üzere ikierişim belirtecine sahiptir. UAC erişim belirteci filtrelemesi nedeniyle, yükseltilmiş ayrıcalık modunda "Yönetici olarak" çalıştırılmadığı sürece normalde standart kullanıcı belirteci altında bir betik çalıştırılır. Tüm betikler için yönetici ayrıcalıkları gerekli değildir.

Betikler, standart bir kullanıcı güvenlik belirteci veya Yönetici belirteci altında çalışıp çalışmadıklarını program aracılığıyla belirleyemez. Betik, erişim reddedildi hatasıyla başarısız olabilir. Betik yönetici ayrıcalıkları gerektiriyorsa yükseltilmiş modda çalıştırılmalıdır. WMI ad alanlarına erişim, betiğin yükseltilmiş modda çalıştırılıp çalıştırılmadığına bağlı olarak değişir. Veri alma veya çoğu yöntemi yürütme gibi bazı WMI işlemleri, hesabın yönetici olarak çalıştırılmasını gerektirmez. Varsayılan erişim izinleri hakkında daha fazla bilgi için bkz. WMI Ad Alanlarına Erişim ve Privileged OperationsYürütme.

Kullanıcı Hesabı Denetimi nedeniyle, betiği çalıştıran hesabın yükseltilmiş haklarla çalıştırılabilmesi için yerel bilgisayardaki Yöneticiler grubunda olması gerekir.

Aşağıdaki yöntemlerden birini gerçekleştirerek yükseltilmiş haklara sahip bir betik veya uygulama çalıştırabilirsiniz:

Yükseltilmiş Modda Betik Çalıştırma

1. Başlat menüsünde Komut İstemi'ne sağ tıklayıp Yönetici olarak çalıştır'a tıklayarak bir Komut İstemi penceresi açın.
2. Görev Zamanlayıcı'yı kullanarak betiği yükseltilmiş olarak çalışacak şekilde zamanlayın. Daha fazla bilgi için bkz. Çalışan Görevler için Güvenlik Bağlamları.
3. Yerleşik Yönetici hesabını kullanarak betiği çalıştırın.

WMI Command-Line Araçlarını Çalıştırmak için Gereken Hesap

WMI Command-Line Araçları aşağıdakiçalıştırmak için hesabınızın Yöneticiler grubunda olması ve aracın yükseltilmiş bir komut isteminden çalıştırılması gerekir. Yerleşik yönetici hesabı bu araçları da çalıştırabilir.

• mofcomp

• wmic

  Sistem yüklemesinden sonra Wmic'yi ilk kez çalıştırdığınızda, yükseltilmiş bir komut isteminden çalıştırılmalıdır. WMI işlemleri yönetici ayrıcalığı gerektirmediği sürece, wmic'nin sonraki yürütmeleri için yükseltilmiş mod gerekli olmayabilir.

• winmgmt

• wmiadap

WMI Denetimi (Wmimgmt.msc) çalıştırmak ve WMI ad alanı güvenliği veya denetim ayarlarında değişiklik yapmak için hesabınızın Güvenliği Düzenle hakkı açıkça verilmiş veya yerel Yöneticiler grubunda olmalıdır. Yerleşik Yönetici hesabı, bir ad alanının güvenliğini veya denetimini de değiştirebilir.

Wbemtest.exe, Microsoft Müşteri Desteği hizmetleri tarafından desteklenmeyen bir komut satırı aracı, belirli bir işlem normalde Yönetici hesaplarına verilmiş ayrıcalıklar gerektirmediği sürece yerel Yöneticiler grubunda olmayan hesaplar tarafından çalıştırılabilir.

UAC Altında Uzak Bağlantıları İşleme

Etki alanındaki veya çalışma grubundaki uzak bir bilgisayara bağlanıp bağlanmadığınız, UAC filtrelemesinin gerçekleşip gerçekleşmediğini belirler.

Bilgisayarınız bir etki alanının parçasıysa, uzak bilgisayarın yerel Yöneticiler grubunda yer alan bir etki alanı hesabı kullanarak hedef bilgisayara bağlanın. Ardından UAC erişim belirteci filtrelemesi, yerel Administrators grubundaki etki alanı hesaplarını etkilemez. Hesap Yöneticiler grubunda olsa bile uzak bilgisayarda yerel, etki alanı olmayan bir hesap kullanmayın.

Bir çalışma grubunda, uzak bilgisayara bağlanan hesap bu bilgisayardaki yerel bir kullanıcıdır. Hesap Yöneticiler grubunda olsa bile UAC filtrelemesi, bir betiğin standart kullanıcı olarak çalıştığı anlamına gelir. En iyi yöntem, hedef bilgisayarda özel olarak uzak bağlantılar için ayrılmış bir yerel kullanıcı grubu veya kullanıcı hesabı oluşturmaktır.

Hesabın hiçbir zaman yönetici ayrıcalıkları olmadığından, güvenlik bu hesabı kullanabilecek şekilde ayarlanmalıdır. Yerel kullanıcıya verin:

• DCOM'a erişim için uzaktan başlatma ve etkinleştirme hakları. Daha fazla bilgi için bkz. Uzak Bilgisayarda WMI'ye Bağlanma.
• WMI ad alanına uzaktan erişim hakları (Uzaktan Etkinleştirme). Daha fazla bilgi için bkz. WMI Ad Alanlarına Erişim.
• Nesnenin gerektirdiği güvenliğe bağlı olarak, belirli güvenli hale getirilebilir nesneye erişme hakkı.

Bir çalışma grubunda olduğunuz veya yerel bir bilgisayar hesabı olduğu için yerel bir hesap kullanıyorsanız, yerel kullanıcıya belirli görevleri vermek zorunda kalabilirsiniz. Örneğin, kullanıcıya SC.exe komutu, getSecurityDescriptorve SetSecurityDescriptorWin32_Serviceyöntemlerini kullanarak veya Gpedit.msc kullanarak Grup İlkesi aracılığıyla belirli bir hizmeti durdurma veya başlatma hakkı vekleyebilirsiniz. Bazı güvenliği sağlanabilir nesneler, standart bir kullanıcının görevleri gerçekleştirmesine izin vermeyebilir ve varsayılan güvenliği değiştirmek için hiçbir araç sunmayabilir. Bu durumda, yerel kullanıcı hesabının filtrelenmemesi ve bunun yerine tam yönetici olması için UAC'yi devre dışı bırakmanız gerekebilir. Güvenlik nedeniyle UAC'yi devre dışı bırakmanın son çare olması gerektiğini unutmayın.

Uzak UAC'yi denetleyen kayıt defteri girdisini değiştirerek Uzak UAC'nin devre dışı bırakılması önerilmez, ancak bir çalışma grubunda gerekli olabilir. Kayıt defteri girdisi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\İlkeleri\sistem\LocalAccountTokenFilterPolicy. Bu girdinin değeri sıfır (0) olduğunda, Uzak UAC erişim belirteci filtreleme etkinleştirilir. Değer 1 olduğunda uzak UAC devre dışı bırakılır.

Betiklere veya Uygulamalara Döndürülen WMI Verileri üzerinde UAC Etkisi

Bir betik veya uygulama Yöneticiler grubundaki bir hesap altında çalışıyorsa ancak yükseltilmiş ayrıcalıkla çalışmıyorsa, bu hesap standart kullanıcı olarak çalıştığından döndürülen tüm verileri alamayabilirsiniz. Bazı sınıflar içinWMIsağlayıcıları tüm örnekleri standart bir kullanıcı hesabına veya UAC filtrelemesi nedeniyle tam yönetici olarak çalışmayan bir Yönetici hesabına döndürmez.

Hesap UAC tarafından filtrelendiğinde aşağıdaki sınıflar bazı örnekleri döndürmez:

• Win32_Bus
• Win32_Printer
• Win32_ComponentCategory
• Win32_LogicalProgramGroupItem
• Win32_LogicalProgramGroup
• Win32_NetworkConnection
• Win32_UserAccount
• Win32_PrinterDriver
• Win32_PortResource
• Win32_DeviceMemoryAddress

Hesap UAC tarafından filtrelendiğinde aşağıdaki sınıflar bazı özellikler döndürmez:

• Win32_NetworkAdapterConfiguration
• Win32_DCOMApplicationSetting
• Win32_DCOMApplication
• Win32_Baseboard
• Win32_ComputerSystem
• Win32_NetworkAdapter
• Win32_MotherboardDevice
• Win32_DiskDrive
• Win32_PnPEntity
• Win32_VideoController
• Win32_ParallelPort
• Win32_LogicalDisk
• Win32_SystemDriver
• Win32_IRQResource
• Win32_NetworkProtocol

İlgili konular

WMI Hakkında

WMI Güvenli Hale Getirilebilir Nesnelere erişimi

Güvenli Hale Getirilebilir Nesneler Erişim Güvenliğini Değiştirme