psexec、リモート WMI、リモート レジストリの動作を保証するグループ ポリシー

psexec、リモート WMI、リモート レジストリの動作を保証するグループ ポリシー

過去 1 週間、インターネットで質問の答えを探していましたが、決定的な答えが見つからなかったため、ここで質問します。

あなたの経験や知識に基づいて、ドメイン内のすべてのコンピュータが以下の3つを使用してリモートで管理可能であることを保証するために、グループポリシーを通じてどのようなポリシーを適用できるか、または適用すべきかを教えてください。psexecリモート WMI、 そしてリモートレジストリ?

私の質問の背景: ドメイン内のコンピューターを監査すると、psexec が不可能、リモート WMI クエリが不可能、リモート regedit が不可能、またはこれら 3 つの組み合わせが不可能なコンピューターに遭遇します。このため、毎回回避策を考案する必要があり、貴重な時間がかなり奪われます。そのため、何度も時間を無駄にするよりも、ドメイン全体の GPO を介して統一性を強化したいと考えます。

PS: 動作対象は Windows XP SP3 および Windows 7 Professional/Enterprise です。

答え1

うーん...感想:

PSExec - リモート PC が RPC および SMB 経由で接続可能であることが必要です。さらに、サービス コントロール マネージャーとリモートで対話するには、相手側に適切な権限が必要です (グループ ポリシーの基本設定で強制できます)。したがって、PC が動作していると仮定すると...: PC がドメイン内にある場合、ドメイン接続のファイアウォール設定を微調整していない限り、Windows ファイアウォールによって許可されるはずです。ウイルス対策製品は、PSExec を「望ましくない可能性のあるプログラム」と見なす可能性があります。したがって、実行が許可されるようにするには、ここでレジストリ設定を行う必要があります。

WMI - これも、RPC が機能している必要があります。GPO 経由で WMI サービスを強制的に実行したい場合があります。WMI の 1 つの問題は、サードパーティ製品が WMI リポジトリを台無しにすることです。それで何度も。唯一の修正方法は手動で再コンパイルすることです。

リモート レジストリ - ここでも、RPC と権限を使用します。さらに、GPO 経由でサービスを強制的に実行することもできます。

関連情報