用戶帳戶控制和 WMI
用戶帳戶控制 (UAC) 會影響從命令行工具、遠端訪問以及腳本執行方式所傳回的 WMI 數據。 如需 UAC 的詳細資訊,請參閱 使用者帳戶控制使用者入門。
下列各節說明 UAC 功能:
- 用戶帳戶控制
- 執行 WMI Command-Line Tools 所需的 帳戶
- 處理UAC 下的遠端連線
- UAC 對傳回至腳本或應用程式之 WMI 資料的影響
- 相關主題
用戶帳戶控制
在 UAC 下,本機 Administrators 群組中的帳戶有兩個 存取令牌,一個具有標準用戶許可權,另一個具有系統管理員許可權。 由於UAC存取令牌篩選,腳本通常會在標準使用者令牌下執行,除非腳本是以「系統管理員身分」在提升許可權模式中執行。 並非所有腳本都需要系統管理許可權。
腳本無法以程式設計方式判斷它們是在標準使用者安全性令牌或系統管理員令牌下執行。 腳本可能會失敗,並出現拒絕存取錯誤。 如果腳本需要系統管理員許可權,則必須在提升許可權的模式中執行。 WMI 命名空間的存取權會根據腳本是否以提升許可權模式執行而有所不同。 某些 WMI 作業,例如取得數據或執行大部分的方法,不需要帳戶以系統管理員身分執行。 如需預設存取權限的詳細資訊,請參閱 WMI 命名空間的存取 和 執行特殊權限作業。
由於用戶帳戶控制,執行腳本的帳戶必須位於本機計算機上的 Administrators 群組中,才能使用提高的許可權執行。
您可以執行下列其中一種方法,以執行具有更高權限的文稿或應用程式:
以提升許可權模式執行腳本
- 以滑鼠右鍵按兩下 [開始] 選單中的 [命令提示字元],然後按下 [以系統管理員身分執行],以開啟 [命令提示字元] 視窗。
- 使用工作排程器排程腳本來執行提升許可權。 如需詳細資訊,請參閱 執行工作的安全性內容。
- 使用內建的系統管理員帳戶執行腳本。
執行 WMI Command-Line 工具所需的帳戶
若要執行下列 WMI Command-Line Tools,您的帳戶必須位於 Administrators 群組中,而且必須從提升許可權的命令提示字元執行此工具。 內建的系統管理員帳戶也可以執行這些工具。
-
第一次在系統安裝之後執行 Wmic 時,它必須從提升許可權的命令提示字元執行。 除非 WMI 作業需要系統管理員許可權,否則後續的 Wmic 執行可能不需要提升許可權的模式。
若要執行 WMI 控件 (Wmimgmt.msc) 並變更 WMI 命名空間安全性或稽核設定,您的帳戶必須明確授與編輯安全性許可權,或位於本機 Administrators 群組中。 內建的系統管理員帳戶也可以變更命名空間的安全性或稽核。
Wbemtest.exe,Microsoft客戶支援服務不支援的命令行工具,可以由不在本機 Administrators 群組中的帳戶執行,除非特定作業需要通常授與系統管理員帳戶的許可權。
處理UAC下的遠端連線
無論您是連線到網域或工作組中的遠端電腦,都會決定是否要進行 UAC 篩選。
如果您的電腦是網域的一部分,請使用遠端電腦的本機 Administrators 群組中的網域帳戶連線到目標電腦。 然後 UAC 存取令牌篩選不會影響本機 Administrators 群組中的網域帳戶。 請勿在遠端計算機上使用本機非網域帳戶,即使帳戶位於 Administrators 群組中也一樣。
在工作組中,連線到遠端電腦的帳戶是該電腦上的本機使用者。 即使帳戶位於 Administrators 群組中,UAC 篩選也表示腳本會以標準使用者身分執行。 最佳做法是在目標計算機上特別針對遠端連線建立專用的本機使用者群組或用戶帳戶。
安全性必須調整為能夠使用此帳戶,因為帳戶從未擁有系統管理許可權。 提供本機使用者:
- 遠端啟動並啟用存取DCOM的許可權。 如需詳細資訊,請參閱 在遠端電腦上連線到 WMI。
- 遠端存取 WMI 命名空間的許可權(遠端啟用)。 如需詳細資訊,請參閱 存取 WMI 命名空間。
- 根據物件所需的安全性,存取特定安全性實體對象的權利。
如果您使用本機帳戶,可能是因為您位於工作組中,或是它是本機計算機帳戶,您可能會被迫將特定工作提供給本機使用者。 例如,您可以透過 SC.exe 命令、GetSecurityDescriptor 和 SetSecurityDescriptorWin32_Service方法,或使用 Gpedit.msc 透過組策略,將停止或啟動特定服務的許可權授與使用者。 某些安全性實體物件可能不允許標準使用者執行工作,而且無法提供任何改變預設安全性的方法。 在此情況下,您可能需要停用UAC,以便不會篩選本機用戶帳戶,而改為成為完整系統管理員。 請注意,基於安全性考慮,停用UAC應該是最後的手段。
不建議變更控制遠端 UAC 的登錄專案,但可能需要在工作組中停用遠端 UAC。 登錄專案 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy。 當這個專案的值是零 (0),則會啟用遠端 UAC 存取令牌篩選。 當值為 1 時,會停用遠端 UAC。
傳回至腳本或應用程式的 WMI 數據 UAC 效果
如果腳本或應用程式是在 Administrators 群組中的帳戶下執行,但未以提升的許可權執行,則您可能不會取得傳回的所有數據,因為此帳戶是以標準使用者身分執行。 某些類別的 WMI 提供者 不會將所有實例傳回標準使用者帳戶或因為 UAC 篩選而未以完整系統管理員身分執行的系統管理員帳戶。
下列類別不會在 UAC 篩選帳戶時傳回某些實例:
- Win32_Bus
- Win32_Printer
- Win32_ComponentCategory
- Win32_LogicalProgramGroupItem
- Win32_LogicalProgramGroup
- Win32_NetworkConnection
- Win32_UserAccount
- Win32_PrinterDriver
- Win32_PortResource
- Win32_DeviceMemoryAddress
下列類別不會在 UAC 篩選帳戶時傳回某些屬性:
- Win32_NetworkAdapterConfiguration
- Win32_DCOMApplicationSetting
- Win32_DCOMApplication
- Win32_Baseboard
- Win32_ComputerSystem
- Win32_NetworkAdapter
- Win32_MotherboardDevice
- Win32_DiskDrive
- Win32_PnPEntity
- Win32_VideoController
- Win32_ParallelPort
- Win32_LogicalDisk
- Win32_SystemDriver
- Win32_IRQResource
- Win32_NetworkProtocol
相關主題
-
關於 WMI 的