Configurar WMI no controlador de domínio do Windows para CEM
Contents
Introduction
Este documento descreve as etapas para configurar a Instrumentação de Gerenciamento do Windows (WMI) no Controlador de Domínio do Windows para o Cisco Energywise Management (CEM). O WMI é usado para acessar remotamente as máquinas do Windows para coletar dados e executar comandos. Embora o script esteja disponível que executa todas as etapas necessárias de uma só vez, se o controlador de domínio estiver sendo usado para aplicar políticas nos dispositivos de domínio, é recomendável alterar as configurações na política de domínio, pois os dispositivos substituiriam as alterações locais. Este documento apresenta as etapas para configurar a política de grupo no Controlador de Domínio do Windows para preparar os dispositivos de domínio para interrogação WMI.
Prerequisites
Requirements
A Cisco recomenda que você tenha acesso ao Controlador de Domínio do Windows, Cisco Energywise Management Suite e máquinas remotas (ativos).
Componentes Utilizados
As informações neste documento são baseadas no ambiente CEMS 5.2 no qual o conector do ativo do Ative Diretory (AD) é usado para extrair informações de WMI dos dispositivos remotos.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configurar
Criar um novo Objeto de Política de Grupo
A primeira etapa é criar um novo objeto de política de grupo. O objeto de política de grupo pode ser criado no controlador de domínio em Gerenciamento de política de grupo, como mostrado:
Objeto de Política de Grupo
WMI: Configurar segurança COM
Para executar consultas WMI remotamente, são necessárias permissões COM específicas. Selecione o objeto de política de grupo criado na etapa anterior, clique com o botão direito do mouse e selecione editar e navegue até este local:
GPMC (Group Policy Management Console, Console de gerenciamento de política de grupo) > Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança
Localize as capturas de tela para configurar permissões de acesso remoto para o usuário Administradores para as permissões COM para:
DCOM: Restrições de Acesso à Máquina na sintaxe SDDL (Security Descriptor Definition Language)
DCOM: Restrições de Lançamento de Máquinas na SDDL (Security Descriptor Definition Language)
Permissões DCOM
Selecione Definir esta definição de política e clique em Editar segurança. Forneça permissões de acesso local e remoto à conta que deseja usar para WMI.
Permissões de acesso DCOM
Atribuição de direitos de usuário
O aplicativo CEM requer tanto os arquivos de backup e os diretórios como os arquivos e diretórios de restauração para carregar o perfil do usuário quando ele tenta invocar um processo. Também exige o desligamento Forçado de um privilégio de desligamento remoto para permitir que a ação POWER_OFF funcione.
Essas alterações precisam ser feitas nas configurações de atribuição de direitos de usuário neste Objeto de política de grupo. Estes direitos devem ser fornecidos à conta utilizada para a WMI.
SeRemoteShutdownPrivilege - Forçar o desligamento de um sistema remoto
SeBackupPrivilege - Fazer backup de arquivos e diretórios
SeRestorePrivilege - Restaura arquivos e diretórios
SeNetworkLogonRight - Acesse este computador a partir da rede
SeSecurityPrivilege - Escolha Gerenciar auditoria e log de segurança
Essas configurações podem ser configuradas neste caminho:
GPMC (Group Policy Management Console, Console de gerenciamento de política de grupo) > Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Atribuição de direitos de usuário
Atribuição de direitos de usuário
Configuração do firewall
Para efetuar chamadas WMI para um computador, a porta RPC (TCP 135) deve estar acessível externamente. Isso pode ser feito com o uso do Editor de Gerenciamento de Políticas de Grupo, na árvore de menus, navegue até Configuração do Computador > Políticas > Modelos Administrativos: Definições de política > Rede > Conexões de rede > Firewall do Windows
Selecione Perfil de domínio e clique duas vezes em Firewall do Windows: Permitir exceção de administração remota de entrada. O Firewall do Windows: A janela Permitir exceção de administração remota de entrada é exibida.
Clique em Enabled (Habilitado).
Certifique-se de especificar o endereço IP no campo Permitir mensagens de entrada não solicitadas desses endereços IP.
Você pode inserir * para permitir mensagens de qualquer rede ou, caso contrário, digitar uma lista separada por vírgulas que contenha endereços IP ou sub-redes específicos.
Configuração do firewall
Segurança de namespace WMI
Para habilitar o acesso WMI a uma máquina, permissões WMI específicas devem ser habilitadas para a conta usada. Esta configuração não pode ser feita através da Política de Grupo no Controlador de Domínio do Windows; ela precisa ser feita nas máquinas remotas com a ferramenta WmiSetNsSecurity.
Defina a segurança WMI e execute o comando (substitua %account% pela conta de usuário para a qual deseja definir a segurança) na ferramenta de linha de comando do Windows.
WmiSetNsSecurity Root\CIMV2 -r %account%
WmiSetNsSecurity Root\CIMV2\power -r %account%
WmiSetNsSecurity Root\Default -r %account%
WmiSetNsSecurity Root\WMI -r %account%
Essa configuração precisa ser enviada para todas as máquinas remotas que permanecem. Esta etapa também pode ser executada quando você cria um script de lote e o envia por meio de um script de logon de administrador ou de um script de inicialização de máquina em uma política de grupo.
Configurar permissões do sistema de arquivos.
O aplicativo CEM requer permissões completas para acessar a subpasta Cisco dentro da pasta Windows (por exemplo, C:\Windows\Cisco) para armazenar e executar scripts. Esta etapa precisa ser feita em ativos remotos e detalhes da configuração podem ser encontrados neste artigo na seção de permissão do sistema de arquivos remoto.
https://cem-update.cisco.com/download/files/5.0/docs/CEM_Online_Help/aa1808350.html
Configurar permissões do registro
O aplicativo CEM precisa de acesso ao registro do dispositivo para armazenar vários dados. Consulte a seção configurando permissões de registro neste artigo.
https://cem-update.cisco.com/download/files/5.0/docs/CEM_Online_Help/aa1808350.html
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
Verifique o funcionamento da WMI executando diagnósticos em um dos dispositivos de domínio da GUI do CEMS. Uma configuração bem-sucedida não deve mostrar nenhum erro relacionado à WMI.
Troubleshoot
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)