Monitorer avec WMI sans les droits administrateurs

L’utilisation d’un plugin comme « check_wmi_plus.pl » demande obligatoirement des crédentials pour pouvoir utiliser les ressources WMI d’un host Windows.

Malheureusement, soit il faut un compte windows Administrateur local, ou alors créer un utilisateur qui aura uniquement les droits d’utiliser WMI, sans même pouvoir se loguer sur la machine. Nous verrons ici comment créer un utilisateur « wmi » avec uniquement les droits nécessaires pour les check wmi.

– On va commencer par créer un utilisateur sur le host windows:

  • Clic droit sur le poste de travail, « Manage »
  • Dans « Local users and groups« , créez un un nouvel utilisateur.
  • Donnez lui le nom voulu, et cochez les cases « User cannot change password » et « Password never expires« 
  • « Create »

Screen-shot-2011-08-24-at-12.53.38-PM_81865c44cec82305e55b9adc0ee0c204

– Modifications des droits de cet utilisateur fraichement créé:

  • Double clic sur l’utilisateur, allez dans « Member of« 
  • Ajouter le groupe  » Distributed COM users« 
  • Validez

 

Screen-shot-2011-08-24-at-1.44.17-PM_440f4812485d7b9a882a373d0ca779ad

 

 

 

 

 

 

 

 

 

  • Ajoutez le groupe « Perfomance log users« 
  • Enlevez le groupe « Users« 

– Modification des droits WMI:

  • Lancez le MMC ( Démarrer, Executer, mmc)
  • « Files« , « Add/ Remove Snap-in« 
  • Ajouter « WMI Control« 

WMI-Control_80a86201ef2f7dfeb4d6d65fb5625664

  • Cliquez sur « Ok« 
  • Click droit sur « Control WMI (local)« , « Properties« 
  • Onglet « Security« 
  • Sélectionnez « root« , puis cliquez sur « Security« 
  • Ajouter l’utilisateur wmi
  • Puis activez les droits suivants: « Execute Methods« ,  » Enable Account« , « Remote Enable« 

Security-for-Root_dd65c428a14744484a68c3495ff304ec

  • Cliquez sur « Advanced« 
  • Sélectionnez l’utilisateur wmi et « Modify« 
  • Sélectionnez « Apply to « This namespace and subnamespaces »« 

Namespaces-and-Subnamespaces_a63e5fbf1133b89a7d394ecc69ecb95c

 

  • Validez le tout.

Maintenant votre utilisateur est créé! Avec les bons droits, et surtout sans les droits administrateurs sur la machine à monitorer.

Essayez votre plugin « Check_wmi_plus.pl » avec cet nouvel utilisateur et tenez moi au courant!

Vus : 1827
Publié par Matthieu ROBIN : 5