IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Windows Discussion :

[WMI]Problème de droits Win32_Service


Sujet :

Windows

  1. #1
    Membre à l'essai
    Profil pro
    Étudiant
    Inscrit en
    Juillet 2007
    Messages
    21
    Détails du profil
    Informations personnelles :
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2007
    Messages : 21
    Points : 17
    Points
    17
    Par défaut
    Bonjour,

    dans le cadre d'un stage de fin d'études, je suis confronté à un problème.

    Je dois faire du monitoring Windows en passant par WMI. Je n'ai aucun problème tant que je me log avec un utilisateur admin (local ou domain). Pour des raisons de sécurité évidente, je voudrais créer un utilisateur non-admin qui pourrait uniquement lire les attributs des classes WMI. J'ai donc créé cette utilisateur, et je lui ai attribué les droits nécessaire via wmimgmt et dcomcfng sur le serveur Windows.

    J'utilise l'outil wmic (utilitaire Linux) qui fonctionne très bien. Voilà la syntaxe que j'utilise :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    wmic -U domain/useradmin%password //192.168.1.1 "select * from Win32_Service"
    Aucun problèmes, tout fonctionne. L'idée serait de passer à ceci :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    wmic -U domain/user-non-admin%password //192.168.1.1 "select * from Win32_Service"
    Bien évidemment cela ne fonctionne pas

    Je précise que j'arrive à récupérer certaines instances de classes en non-admin, par exemple :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    wmic -U domain/user-non-admin%password //192.168.1.1 "select * from Win32_Process"
    retourne bien les valeurs attendues.

    En feuilletant sur msdn j'ai cru lire que pour certaines classes, l'user devait avoir le privilège "SC_MANAGER_CONNECT" d'activé. J'ai un peu de mal à comprendre, car il semblerait que tout user authentifié ai ce privilège (ou alors j'ai mal compris...).

    Dans le cas ou j'aurais mal compris, comment attribuer à un utilisateur ce droit ?

    Merci de votre aide

    [EDIT] Pour préciser les choses, l'erreur retourné lorsque je fais une requête avec mon user non-admin est :

    ERROR: Retrieve result data.
    NTSTATUS: NT code 0xc0041001 - NT code 0xc0041001

  2. #2
    Rédacteur


    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    7 171
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 7 171
    Points : 15 060
    Points
    15 060
    Billets dans le blog
    1
    Par défaut
    Salut,
    Citation Envoyé par Minority
    Dans le cas ou j'aurais mal compris, comment attribuer à un utilisateur ce droit ?
    Peut être une piste ici :
    http://support.microsoft.com/kb/179249
    http://msdn.microsoft.com/en-us/libr...81(VS.85).aspx

  3. #3
    Membre à l'essai
    Profil pro
    Étudiant
    Inscrit en
    Juillet 2007
    Messages
    21
    Détails du profil
    Informations personnelles :
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2007
    Messages : 21
    Points : 17
    Points
    17
    Par défaut
    Bonjour,

    merci pour ta réponse.

    J'avais déjà regardé un peu ces deux liens, mais sans rien trouver, si ce n'est le fameux :
    User or Group | Access granted
    -----------------------------------------------------------------
    - Authenticated Users | SC_MANAGER_CONNECT -
    (au passage la traduction automatique de microsoft est pas top :s)

    Je l'ai également retrouver sur un autre site :

    le drapeau SC_MANAGER_CONNECT est placé par défaut
    Je sais plus trop quoi faire là, je vois pas ou modifier ce flag (qui est censé être placé par défaut) pour un user... .

  4. #4
    Rédacteur


    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    7 171
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 7 171
    Points : 15 060
    Points
    15 060
    Billets dans le blog
    1
    Par défaut
    Il y a un truc que je ne comprend, es-tu sous Linux ou Windows ?
    Ta solution est dédiée à la plateforme Windows ?

  5. #5
    Membre à l'essai
    Profil pro
    Étudiant
    Inscrit en
    Juillet 2007
    Messages
    21
    Détails du profil
    Informations personnelles :
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2007
    Messages : 21
    Points : 17
    Points
    17
    Par défaut
    Alors en fait je suis sous Nagios (Linux donc) comme plateforme de monitoring.

    Je fais des requêtes WQL depuis un client WMI qui tourne sous Linux (Ubuntu).

    Ce client est wmic (la syntaxe est donnée dans le premier poste).

    Je précise que le résultat est le même si j'utilise wbemtest.exe en remote avec mon user non admin :

    Number: 0x80041001
    Facility: WMI
    Description: Generic failure)
    donc il s'agit bien d'un problème de droits. Si je passe mon user dans le groupe admin, la requête fonctionne bien (avec wbemtest et avec mon client wmic sous Linux).

    Pour compléter un peu, pour accéder à la classe Win32_PerfRawData_NTDS_NTDS sans être admin, j'ai du ajouter mon utilisateur dans le groupe "Performance Monitor User". J'ai donc essayer de jouer un peu sur le groupe spécial "Authentificated Users" mais sans succès (manque de connaissances OS Windows ?).

    Merci de t'intéresser à mon problème

  6. #6
    Rédacteur


    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    7 171
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 7 171
    Points : 15 060
    Points
    15 060
    Billets dans le blog
    1

  7. #7
    Membre à l'essai
    Profil pro
    Étudiant
    Inscrit en
    Juillet 2007
    Messages
    21
    Détails du profil
    Informations personnelles :
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2007
    Messages : 21
    Points : 17
    Points
    17
    Par défaut
    Alors je viens de trouver ceci : http://www.eggheadcafe.com/conversat...eadid=29430291

    Et la réponse : http://www.eggheadcafe.com/conversat...eadid=29430291

    Pour ceux qui ne veulent pas tout lire :

    Citation Envoyé par Jeffrey Tan, Microsoft Online Community Support
    I have performed some search in internal database and found a reported
    record similar as yours. This record has the problem of using Win32_Service
    WMI to remote query with a non-admin user after installing
    Windows 2003 Service Pack 1.

    From the research result in that record, after installing the service pack,
    the operating system limits the ability of non-administrators to remotely
    access the Service Control Manager
    . So, the SP1
    changed the SCM's (Service Control Manager) default security settings. The
    underlying provider maps the Access Denied error to 0x80041001.

    The recommended solution is obeying the security retriction added by SP1 by
    using Administrator to query it remotely.
    Patch nul ! L'intérêt de travailler avec WMI et Nagios était de se passer de l'agent Windows, il redevient obligatoire, à cause d'une seule classe Mettre un mot de passe admin du domain dans un script, je pense pas que ça passe en entreprise ce genre de chose :s

    Juste par curiosité, que fait cette commande :

    et comment l'utiliser dans mon cas ?

    Merci bien pour ton aide en tout cas

  8. #8
    Rédacteur


    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    7 171
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 7 171
    Points : 15 060
    Points
    15 060
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par Minority
    Juste par curiosité, que fait cette commande :
    et comment l'utiliser dans mon cas ?
    A prioris, car il y a peu d'aide sur WMIC, cela donne tous les privilèges WMI.
    Il faut l'ajouter sur la ligne de commande

    Sinon une autre piste ? Forwarding WMI Events and Data
    Seul les derniers OS le propose Vista,2003 et >

    Citation Envoyé par Minority
    Merci bien pour ton aide en tout cas
    Je n'ai pas été d'un grand secours

  9. #9
    Membre à l'essai
    Profil pro
    Étudiant
    Inscrit en
    Juillet 2007
    Messages
    21
    Détails du profil
    Informations personnelles :
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2007
    Messages : 21
    Points : 17
    Points
    17
    Par défaut
    Citation Envoyé par Laurent Dardenne Voir le message
    Je n'ai pas été d'un grand secours
    Ca fait toujours plaisir de se sentir moins seul

    Ca m'a quand même mis une sacré claque, j'ai passé un jour et demi complet a chercher une solution... En étant persuader que c'était possible :/

    Enfin j'ai l'impression que très peu de monde fait du monitoring avec WMI alors que c'est quand même génial, c'est un agent intégré a Windows. Dommage qu'il faille des droits admin pour une classe très utile.

  10. #10
    Rédacteur


    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    7 171
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 7 171
    Points : 15 060
    Points
    15 060
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par Minority
    Enfin j'ai l'impression que très peu de monde fait du monitoring avec WMI
    C'est parfois redondant avec des solutions de type TNG, Patrol etc.
    Mais c'est souvent utilisé notamment avec PowerShell.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [SCRIPT WMI]Problèmes de permissions...
    Par zell45 dans le forum Windows
    Réponses: 6
    Dernier message: 09/05/2006, 14h21
  2. [Plug-in Mozilla] Problème de droits
    Par syrio dans le forum Général JavaScript
    Réponses: 2
    Dernier message: 06/04/2006, 23h15
  3. problème affichage à droite du "separator"
    Par boudou dans le forum AWT/Swing
    Réponses: 6
    Dernier message: 21/02/2006, 12h35
  4. Problème de droits sur un fichier
    Par BenoitDenis dans le forum Langage
    Réponses: 8
    Dernier message: 14/02/2006, 17h44
  5. problème de droits
    Par cyrill.gremaud dans le forum ASP
    Réponses: 8
    Dernier message: 12/12/2005, 09h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo