Ich habe in der letzten Woche im Internet nach einer Antwort auf meine Frage gesucht, konnte jedoch keine schlüssige Antwort finden, daher frage ich hier.
Welche Richtlinien könnten/sollten Ihrer Erfahrung und/oder Ihrem Wissen nach durch Gruppenrichtlinien durchgesetzt werden, um sicherzustellen, dass alle Computer in der Domäne über das Triumvirat vonpsexec,Remote-WMI, UndFernregistrierung?
Hintergrund meiner Frage: Als ich die Computer in der Domäne überprüfte, stieß ich auf Computer, die nicht psexec-fähig, per Remote-WMI abfragbar, per Remote-Regedit bearbeitbar oder eine Kombination dieser drei sind. Dies zwang mich jedes Mal dazu, Workarounds zu entwickeln, eine Arbeit, die zu viel wertvolle Zeit in Anspruch nahm. Anstatt also immer wieder Zeit zu verschwenden, würde ich lieber Einheitlichkeit über ein domänenweites GPO erzwingen.
PS: Einsatzziele sind Windows XP SP3 und Windows 7 Professional/Enterprise.
Antwort1
Mmmm... Gedanken:
PSExec – erfordert lediglich, dass der Remote-PC über RPC und SMB erreichbar ist. Außerdem benötigen Sie am anderen Ende die entsprechenden Rechte, um remote mit dem Service Control Manager zu interagieren (dies kann über die Gruppenrichtlinieneinstellungen erzwungen werden). Vorausgesetzt, der PC ist betriebsbereit …: Wenn sich der PC in der Domäne befindet, sollte die Windows-Firewall Sie hereinlassen, es sei denn, Sie haben die mit der Domäne verbundenen Firewall-Einstellungen angepasst. Antivirenprodukte könnten PSExec als „potenziell unerwünschtes Programm“ betrachten. Daher müssen hier möglicherweise einige Registrierungseinstellungen vorgenommen werden, um sicherzustellen, dass die Ausführung zulässig ist.
WMI - Auch hier ist RPC erforderlich, um zu funktionieren. Möglicherweise möchten Sie die Ausführung der WMI-Dienste über GPOs erzwingen. Ein Problem mit WMI ist, wenn ein Produkt eines Drittanbieters das WMI-Repository durcheinander bringt. Dies habe ich gesehenAlsoviele Male. Die einzige Lösung ist eine manuelle Neukompilierung.
Remote Registry – Auch hier RPC und Privilegien. Außerdem könnten Sie die Ausführung des Dienstes über GPOs erzwingen.