Всю прошлую неделю я искал в Интернете ответ на свой вопрос, но не смог найти вразумительного ответа, поэтому задаю вопрос здесь.
Исходя из вашего опыта и/или знаний, какие политики можно/нужно реализовать с помощью групповой политики, чтобы гарантировать, что все компьютеры в домене управляются удаленно с помощью триумвиратаpsexec,удаленный WMI, иудаленный реестр?
Предыстория моего вопроса: когда я проводил аудит компьютеров в домене, я сталкивался с компьютерами, которые не были psexec-able, или удаленными запросами WMI, или удаленным regedit-able, или комбинацией этих трех. Это заставляло меня каждый раз придумывать обходные пути, работа, которая отнимала слишком много драгоценного времени. Поэтому, вместо того, чтобы тратить время снова и снова, я бы предпочел обеспечить единообразие с помощью доменного GPO.
PS: Целями операции являются Windows XP SP3 и Windows 7 Professional/Enterprise.
решение1
Мммм... мысли:
PSExec — просто требует, чтобы удаленный ПК был доступен для связи через RPC и SMB. Плюс, вам нужны соответствующие права на другом конце для удаленного взаимодействия с диспетчером управления службами (это можно принудительно сделать через настройки групповой политики). Итак, предположим, что ПК работает...: Если ПК находится в домене, то брандмауэр Windows должен вас пропустить, если вы не изменили настройки брандмауэра, подключенного к домену. Антивирусные продукты могут рассматривать PSExec как «потенциально нежелательную программу». Так что, возможно, здесь есть некоторые настройки реестра, чтобы гарантировать, что ему разрешено выполняться.
WMI — опять же, для работы требуется RPC. Возможно, вам захочется принудительно запустить службы WMI через GPO. Одна из проблем с WMI — когда сторонний продукт портит репозиторий WMI. Видел этотакмного раз. Единственное исправление — ручная перекомпиляция.
Удаленный реестр - Опять же, RPC и privs. Плюс, можно принудительно запустить службу через GPO.