Introducción
Este documento describe los pasos para configurar Windows Management Instrumentation (WMI) en Windows Domain Controller para Cisco EnergyWise Management (CEM). WMI se utiliza para acceder de forma remota a los equipos de windows para recopilar datos y ejecutar comandos. Aunque está disponible el script que realiza todos los pasos necesarios a la vez, si el controlador de dominio se utiliza para aplicar políticas en los dispositivos de dominio, se recomienda cambiar la configuración en la política de dominio, ya que los dispositivos anularían los cambios locales. Este documento presenta los pasos para configurar la política de grupo en el controlador de dominio de Windows para preparar los dispositivos de dominio para el interrogatorio de WMI.
Nota: Aunque WMI está disponible en Windows 2000 con SP2, la aplicación CEM no admite Windows 2000. Para utilizar WMI, la aplicación CEM requiere Microsoft Windows XP Professional SP2 o posterior.
Prerequisites
Requirements
Cisco recomienda que tenga acceso a Windows Domain Controller, Cisco EnergyWise Management Suite y equipos remotos (recursos).
Componentes Utilizados
La información de este documento se basa en el entorno CEMS 5.2 en el que se utiliza el conector de recursos de Active Directory (AD) para extraer información WMI de los dispositivos remotos.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configurar
Crear un nuevo objeto de directiva de grupo
El primer paso es crear un nuevo objeto de directiva de grupo. El objeto de directiva de grupo se puede crear en el controlador de dominio bajo Administración de directivas de grupo como se muestra a continuación:
Objeto de directiva de grupo
WMI: Configuración de la seguridad COM
Para ejecutar consultas WMI de forma remota, se necesitan permisos COM específicos. Seleccione el objeto de directiva de grupo creado en el paso anterior, haga clic con el botón derecho y seleccione editar y, a continuación, busque esta ubicación:
Consola de administración de directivas de grupo (GPMC) > Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas locales\Opciones de seguridad
Busque las capturas de pantalla para configurar los permisos de acceso remoto para el usuario Administradores de los permisos COM para:
DCOM: Restricciones de acceso a máquinas en la sintaxis del lenguaje de definición del descriptor de seguridad (SDDL)
DCOM: Restricciones de inicio del equipo en el Lenguaje de definición del descriptor de seguridad (SDDL)
Permisos DCOM
Seleccione Definir esta configuración de directiva y haga clic en Editar seguridad. Proporcione permisos de acceso local y remoto a la cuenta que desea utilizar para WMI.
Permisos de acceso DCOM
Asignación de derechos de usuario
La aplicación CEM requiere tanto los archivos y directorios de copia de seguridad como los archivos y directorios de restauración para cargar el perfil de usuario cuando intenta invocar un proceso. También requiere el cierre de Force desde un privilegio de cierre remoto para permitir que la acción POWER_OFF funcione.
Estos cambios deben realizarse en la configuración de asignación de derechos de usuario de este objeto de directiva de grupo. Estos derechos deben proporcionarse a la cuenta utilizada para WMI.
SeRemoteShutdownPrivilege - Forzar el cierre desde un sistema remoto
SeBackupPrivilege - Copia de seguridad de archivos y directorios
SeRestorePrivilege - Restaurar archivos y directorios
SeNetworkLogonRight: Acceda a este ordenador desde la red
SeSecurityPrivilege: elija Administrar la auditoría y el registro de seguridad
Estos parámetros se pueden configurar en esta ruta:
Group PolicyManagement Console (GPMC) > Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Asignación de derechos de usuario
Configuración de Firewall
Para realizar llamadas WMI en un equipo, el puerto RPC (TCP 135) debe tener acceso externo. Esto se puede hacer con el uso del Editor de administración de directivas de grupo, en el árbol de menús, navegue hasta Configuración del equipo > Políticas > Plantillas administrativas: Definiciones de política > Red > Conexiones de red > Firewall de Windows
Seleccione Perfil de Dominio y haga doble clic en Firewall de Windows: Permitir excepción de administración remota entrante. Firewall de Windows: Aparece la ventana de excepción Allow inbound remote management .
Haga clic en Enabled.
Asegúrese de especificar la dirección IP en el campo Permitir mensajes entrantes no solicitados desde estas direcciones IP.
Puede introducir * para permitir mensajes de cualquier red, o bien escribir una lista separada por comas que contenga direcciones IP o subredes específicas.
Configuración de Firewall
Seguridad del espacio de nombres WMI
Para habilitar el acceso WMI a un equipo, se deben habilitar permisos WMI específicos para la cuenta utilizada. Esta configuración no se puede realizar a través de la directiva de grupo en el controlador de dominio de Windows; debe realizarse en los equipos remotos con la herramienta WmiSetNsSecurity.
Establezca la seguridad WMI y ejecute el comando (reemplace %account% por la cuenta de usuario para la que desea establecer la seguridad) en la herramienta de línea de comandos de Windows.
WmiSetNsSecurity Root\CIMV2 -r %account%
WmiSetNsSecurity Root\CIMV2\power -r %account%
WmiSetNsSecurity Root\Default -r %account%
WmiSetNsSecurity Root\WMI -r %account%
Esta configuración debe enviarse a todas las máquinas remotas que quedan. Este paso también se puede realizar cuando se crea una secuencia de comandos por lotes y se envía a través de una secuencia de comandos de inicio de sesión de administrador o de un script de inicio de equipo bajo una política de grupo.
Configure los permisos del sistema de archivos.
La aplicación CEM requiere permisos completos para acceder a la subcarpeta Cisco dentro de la carpeta Windows (por ejemplo, C:\Windows\Cisco) para almacenar y ejecutar scripts. Este paso debe hacerse en los recursos remotos y los detalles de la configuración se pueden encontrar en este artículo en la sección de permisos del sistema de archivos remoto.
https://cem-update.cisco.com/download/files/5.0/docs/CEM_Online_Help/aa1808350.html
Configurar permisos de registro
La aplicación CEM necesita acceso al registro de dispositivos para almacenar varios datos. Consulte la sección Configuración de permisos de registro en este artículo.
https://cem-update.cisco.com/download/files/5.0/docs/CEM_Online_Help/aa1808350.html
Verificación
Utilize esta sección para confirmar que su configuración funcione correctamente.
Verifique el funcionamiento de WMI ejecutando diagnósticos en uno de los dispositivos de dominio desde la GUI de CEMS. Una configuración correcta no debe mostrar ningún error relacionado con WMI.
Troubleshoot
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.