Discussion :

[Minority]

Bonjour,

j'aurais une petite question en rapport avec WMI.

J'explique rapidement le contexte.

Je suis actuellement en stage de fin d'étude. Mon sujet porte sur le monitoring. Je dois mettre en place une plateforme pour un environnement hétérogène (Novell, Linux, Windows, ESX et un collègue se charge de la partie réseau). La soluion retenue est Nagios. J'ai écrit la majorité des plugins nécessaire pour superviser l'état des process, les statistiques des serveurs Exchange, SQL, Active Directory... depuis Nagios.

J'arrive bientôt à une phase de déploiement, sur un nombre assez important de serveurs. Je voudrais savoir s'il existe un moyen de déployer rapidement sur tous les serveurs via GPO la configuration pour accepter les requête WMI pour un utilisteur.

J'ai déjà eu à écrire un fichier .adm pour déployer rapidement une configuration SNMP (création de communautés et d'un host autoriser a faire des requêtes), mais je n'ai pas trouvé de clé de registre lié à la configuration WMI.

Pour rappel les actions à effectuer pour autoriser un utilisateur à effetuer des requêtes WMI sont :

-depuis wmimgmt.msc -> properties sur root puis ajout de l'utilisateur avec les droits en remote sur le namespace et le subnamespace
-depuis Component Services -> clique droit properties sur "My Computer" puis "edit limits" et ajout de l'utilisateur en remote

Ma question est : existe-t-il un moyen par GPO pour faire cela, ou bien vais-je devoir executer la procédure ci-dessus sur prêt de 200 serveurs ? :s

Merci de votre lecture

[blackfiever]

Bonjour,
Je fais une petite relance

Personne ne sais comment peut on faire pour ajouter un utilisateur sous une machine X qui aura juste les droits pour faire des requetes WMI en UTILISANT une GPO???
Merci de vos réponses

[suchiwa]

Bonjour,
Je fais une petite relance

Personne ne sais comment peut on faire pour ajouter un utilisateur sous une machine X qui aura juste les droits pour faire des requetes WMI en UTILISANT une GPO???
Merci de vos réponses

Bonjour,

Etrange question que de demander par une phrase interro-négative si l'on ne peut pas t'aider...

A la question je réponds "non" : cela dépend de ta version de Windows Server, peux tu nous en dire plus ?

Vincent

[blackfiever]

Désolé, j'ai du mal m'exprimer.
Je voudrais avoir un utilisateur (par exemple: toto) qui puisse faire des requetes WMI sur tous les pcs d'un domaine. Une des possibilités et de créer l'utilisateur dans le domaine et apres on crée une GPO pour le mettre dans le groupe local de la machine. Moi ce que je voudrais c'est que cette utilisateur ne soit pas dans le groupe local de la machine. Juste qu'il est les droits dans WMI. Nous pouvons le rajouter a la main avec winmgmt mais le problème c'est que nous avons 100 pc a monitorer. Donc avoir un truc automatique , qu'on puisse pusher.
Tu vois mon pb?

[suchiwa]

Bonjour,

Juste qu'il est les droits dans WMI.

Sinon le compte administrateur ne peut pas être utilisé ?

on crée une GPO pour le mettre dans le groupe local de la machine

Les GPO appliquent des stratégies, tel que accepter ou refuser l'accès d'un utilisateur à se logger en local.

Moi ce que je voudrais c'est que cette utilisateur ne soit pas dans le groupe local de la machine.

Ne le met pas alors !

Juste qu'il est les droits dans WMI

"Dans WMI" est un peu vague mais c'est le compte administrateur, cf question 1.

nous avons 100 pc a monitorer

Vous travaillez donc tous les 2 en binome si j'ai bien compris...

Lis aussi le post que j'ai donné à ton binome, .Net FrameWork, powershell, gwmi, root/CIMv2 sont les mots clés que tu dois rechercher pour faire votre projet. Votre curiosité sera récompensée.


Vincent

[suchiwa]

Ma question est : existe-t-il un moyen par GPO pour faire cela, ou bien vais-je devoir executer la procédure ci-dessus sur prêt de 200 serveurs ? :s

Merci de votre lecture

Bonjour Minority,

Tu devras tout faire à la main...

Pas de chance ? Ce serait le cas s'il n'existait pas le .Net FrameWork et son ami powershell.

Es tu sous Windows 2003 ou 2008 ?

Car je ne parle que d'un contexte Microsoft si tu me parles de GPO.

On peut contacter l'AD avec un protocole, LDAP:

##script powershell sous Windows 2008 Server ##
$dName = "OU=OU1,OU=OU2,DC=FABRIKAM,DC=COM"
$connexion = [ADSI] "LDAP://$dName

Des requêtes sont possibles en powershell avec la commande gwmi :

PS C:\ > gwmi Win32_LogicalDisk
## ou ##
PS C:\ > gwmi Win32_Account

Par defaut, wmi utilise root/CIMv2 pour les requêtes.

En quoi est-ce utile pour toi de donner les droits sur wmimgmt.msc et en remote sachant que le groupe administrateurq a déjà ces droits là ?

Vincent