[WMI]Problème de droits Win32_Service

Version imprimable

23/03/2009, 15h07
Minority
Bonjour,

dans le cadre d'un stage de fin d'études, je suis confronté à un problème.

Je dois faire du monitoring Windows en passant par WMI. Je n'ai aucun problème tant que je me log avec un utilisateur admin (local ou domain). Pour des raisons de sécurité évidente, je voudrais créer un utilisateur non-admin qui pourrait uniquement lire les attributs des classes WMI. J'ai donc créé cette utilisateur, et je lui ai attribué les droits nécessaire via wmimgmt et dcomcfng sur le serveur Windows.

J'utilise l'outil wmic (utilitaire Linux) qui fonctionne très bien. Voilà la syntaxe que j'utilise :
Code:

1 2 wmic -U domain/useradmin%password //192.168.1.1 "select * from Win32_Service"
Aucun problèmes, tout fonctionne. L'idée serait de passer à ceci :

Code:

wmic -U domain/user-non-admin%password //192.168.1.1 "select * from Win32_Service"

Bien évidemment cela ne fonctionne pas :(

Je précise que j'arrive à récupérer certaines instances de classes en non-admin, par exemple :
Code:

1 2 wmic -U domain/user-non-admin%password //192.168.1.1 "select * from Win32_Process"
retourne bien les valeurs attendues.

En feuilletant sur msdn j'ai cru lire que pour certaines classes, l'user devait avoir le privilège "SC_MANAGER_CONNECT" d'activé. J'ai un peu de mal à comprendre, car il semblerait que tout user authentifié ai ce privilège (ou alors j'ai mal compris...).

Dans le cas ou j'aurais mal compris, comment attribuer à un utilisateur ce droit ?

Merci de votre aide :)

[EDIT] Pour préciser les choses, l'erreur retourné lorsque je fais une requête avec mon user non-admin est :

ERROR: Retrieve result data.
NTSTATUS: NT code 0xc0041001 - NT code 0xc0041001
24/03/2009, 01h01
Laurent Dardenne

Salut,

Citation:

Envoyé par Minority

Dans le cas ou j'aurais mal compris, comment attribuer à un utilisateur ce droit ?

Peut être une piste ici :
http://support.microsoft.com/kb/179249
http://msdn.microsoft.com/en-us/libr...81(VS.85).aspx
24/03/2009, 08h08
Minority

Bonjour,

merci pour ta réponse.

J'avais déjà regardé un peu ces deux liens, mais sans rien trouver, si ce n'est le fameux :

Citation:

User or Group | Access granted
-----------------------------------------------------------------
- Authenticated Users | SC_MANAGER_CONNECT -

(au passage la traduction automatique de microsoft est pas top :s)

Je l'ai également retrouver sur un autre site :

Citation:

le drapeau SC_MANAGER_CONNECT est placé par défaut

Je sais plus trop quoi faire là, je vois pas ou modifier ce flag (qui est censé être placé par défaut) pour un user... .
24/03/2009, 11h55
Laurent Dardenne

Il y a un truc que je ne comprend, es-tu sous Linux ou Windows ?
Ta solution est dédiée à la plateforme Windows ?
24/03/2009, 12h10
Minority

Alors en fait je suis sous Nagios (Linux donc) comme plateforme de monitoring.

Je fais des requêtes WQL depuis un client WMI qui tourne sous Linux (Ubuntu).

Ce client est wmic (la syntaxe est donnée dans le premier poste).

Je précise que le résultat est le même si j'utilise wbemtest.exe en remote avec mon user non admin :

Citation:

Number: 0x80041001
Facility: WMI
Description: Generic failure)

donc il s'agit bien d'un problème de droits. Si je passe mon user dans le groupe admin, la requête fonctionne bien (avec wbemtest et avec mon client wmic sous Linux).

Pour compléter un peu, pour accéder à la classe Win32_PerfRawData_NTDS_NTDS sans être admin, j'ai du ajouter mon utilisateur dans le groupe "Performance Monitor User". J'ai donc essayer de jouer un peu sur le groupe spécial "Authentificated Users" mais sans succès (manque de connaissances OS Windows ?).

Merci de t'intéresser à mon problème :)
24/03/2009, 13h24
Laurent Dardenne

As-tu essayé avec ce switch ?

Code:

/PRIVILEGES:ENABLE

Sinon je pense qu'il te faut creuser le sujet de la délégation:
http://msdn.microsoft.com/en-us/library/aa390870.aspx

http://msdn.microsoft.com/en-us/library/aa392291.aspx
[edit]
http://blogs.technet.com/askperf/arc...on-rights.aspx
24/03/2009, 14h09
Minority

Alors je viens de trouver ceci : http://www.eggheadcafe.com/conversat...eadid=29430291

Et la réponse : http://www.eggheadcafe.com/conversat...eadid=29430291

Pour ceux qui ne veulent pas tout lire :

Citation:

Envoyé par Jeffrey Tan, Microsoft Online Community Support

I have performed some search in internal database and found a reported
record similar as yours. This record has the problem of using Win32_Service
WMI to remote query with a non-admin user after installing
Windows 2003 Service Pack 1.

From the research result in that record, after installing the service pack,
the operating system limits the ability of non-administrators to remotely
access the Service Control Manager. So, the SP1
changed the SCM's (Service Control Manager) default security settings. The
underlying provider maps the Access Denied error to 0x80041001.

The recommended solution is obeying the security retriction added by SP1 by
using Administrator to query it remotely.

Patch nul ! L'intérêt de travailler avec WMI et Nagios était de se passer de l'agent Windows, il redevient obligatoire, à cause d'une seule classe :( Mettre un mot de passe admin du domain dans un script, je pense pas que ça passe en entreprise ce genre de chose :s

Juste par curiosité, que fait cette commande :

Code:

/PRIVILEGES:ENABLE

et comment l'utiliser dans mon cas ?

Merci bien pour ton aide en tout cas ;)
24/03/2009, 14h33
Laurent Dardenne

Citation:

Envoyé par Minority

Juste par curiosité, que fait cette commande :

Code:

/PRIVILEGES:ENABLE

et comment l'utiliser dans mon cas ?

A prioris, car il y a peu d'aide sur WMIC, cela donne tous les privilèges WMI.
Il faut l'ajouter sur la ligne de commande

Sinon une autre piste ? Forwarding WMI Events and Data
Seul les derniers OS le propose Vista,2003 et >

Citation:

Envoyé par Minority

Merci bien pour ton aide en tout cas

Je n'ai pas été d'un grand secours :aie:
24/03/2009, 16h14
Minority

Citation:

Envoyé par Laurent Dardenne

Je n'ai pas été d'un grand secours :aie:

Ca fait toujours plaisir de se sentir moins seul :D

Ca m'a quand même mis une sacré claque, j'ai passé un jour et demi complet a chercher une solution... En étant persuader que c'était possible :/

Enfin j'ai l'impression que très peu de monde fait du monitoring avec WMI alors que c'est quand même génial, c'est un agent intégré a Windows. Dommage qu'il faille des droits admin pour une classe très utile.
24/03/2009, 16h27
Laurent Dardenne

Citation:

Envoyé par Minority

Enfin j'ai l'impression que très peu de monde fait du monitoring avec WMI

C'est parfois redondant avec des solutions de type TNG, Patrol etc.
Mais c'est souvent utilisé notamment avec PowerShell.