過去一周我一直在互聯網上搜索我的問題的答案,但找不到任何確鑿的答案,所以我在這裡提問。
根據您的經驗和/或知識,可以/應該透過群組原則強制執行哪些策略,以確保網域中的所有電腦都可以使用三駕馬車進行遠端管理執行程式,遠端WMI, 和遠端註冊表?
我的問題背景:當我審核網域中的電腦時,我會遇到不可 psexec、不可遠端 WMI 查詢、無法遠端 regedit 或三者組合的電腦。這迫使我每次都想出變通辦法,這項工作佔據了太多寶貴的時間。因此,與其一次又一次地浪費時間,我寧願透過域範圍的 GPO 來強制執行一致性。
PS:運作目標為Windows XP SP3和Windows 7 Professional/Enterprise。
答案1
嗯...想法:
PSExec - 只需要可透過 RPC 和 SMB 聯繫遠端 PC。另外,您需要在另一端擁有適當的權限才能與服務控制管理器遠端互動(這可以透過群組原則首選項強制執行)。因此,假設 PC 可以運作...:如果 PC 在網域中,則 Windows 防火牆應該讓您進入,除非您調整了網域連接的防火牆設定。防毒產品可能會將 PSExec 視為「可能不需要的程式」。因此,這裡可能有一些註冊表設定以確保允許它執行。
WMI - 同樣,需要 RPC 才能正常運作。您可能希望強制 WMI 服務透過 GPO 運作。 WMI 的一個障礙是第三方產品破壞了 WMI 儲存庫。看過這個所以多次。唯一的修復方法是手動重新編譯。
遠端註冊表 - 再次,RPC 和特權。另外,您可以強制該服務透過 GPO 運作。