サポートセンターホーム


WindowsServerの監視と最小特権の原則

リモートWMI機能を確保するために、管理者グループのメンバーシップをお勧めします。 ただし、いくつかの追加設定を使用すると、管理者権限なしでリモートWMI機能を実行できます。 この方法はほとんどの場合に機能しますが、すべての場合に機能するとは限りません。 したがって、LogicMonitorサポートチームが提供する支援は限定的であり、ベストエフォートベースである可能性があります。

注:この情報は、ActiveDirectoryドメインコントローラーにも適用されます。 また、「ローカルユーザーとグループ」ではなく、「ActiveDirectoryユーザーとコンピューター」を介してドメインコントローラーのグループメンバーシップ調整を実行できます。 Windowsホストがドメインコントローラーに昇格すると、ローカルグループのメンバーシップがADUC内のBUILTINグループに移行されます。

次の手順を実行して、管理者権限なしでサービスを実行できます。

  1. 新しいユーザー(通常はActive Directoryサービスアカウントまたは監視対象ホストごとのWindowsローカルユーザー)を作成します。
  2. ユーザーにリモートWMI権限を付与する.
  3. ユーザーにリモートDCOM権限を付与する、 該当する場合。
  4. Windowsサービスのアクセス許可を付与する.

リモートWMI権限の付与

ユーザーにリモートWMI権限を付与するには、監視対象の各システムにログオンして、次の手順を実行します。

  1. コントロールパネルで、ダブルクリックします [管理ツール].
  2. [管理ツール]ウィンドウで、ダブルクリックします コンピューター管理.
  3. [コンピューターの管理]ウィンドウで、[サービスとアプリケーション]ツリーを展開し、[ WMI制御.
  4. を右クリックします。 WMIコントロール アイコンをクリックして[プロパティ]を選択し、[ セキュリティ タブでを確認できます。
  5. 現在地に最も近い ルート オブジェクトをクリックし、 セキュリティ.
  6. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 追加 サービスを実行するユーザーをリストに追加します。
  7. チェック メソッドの実行 影響により リモートイネーブル.
  8. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 高度な.
  9. 現在地に最も近い 新しいユーザー、 をクリックし 編集.
  10. 変更 適用するには ドロップダウンメニューから この名前空間とサブ名前空間.
  11. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 OK ダイアログボックスを閉じるためにXNUMX回。

リモートDCOM権限の付与

次のいずれかがLogicMonitorCollectorサービスに当てはまる場合は、DCOM権限を付与する必要がある場合があります。

  • 非ドメインアカウントとして実行されているコレクターサービス
  • コレクターは、監視対象のホストによって信頼されていない別のドメインに存在します
  • Collectorは、ローカル管理者としてではなく、リモートコンピューターに接続します

ユーザーにDCOM権限を付与するには、監視対象の各システムにログオンして、次の手順を実行します。

  1. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 開始、クリック ラン、タイプ DCOMCNFG、[OK]をクリックします OK.
  2. [コンポーネントサービス]ダイアログボックスで、[ コンポーネントサービス>コンピューターし、右クリックします [マイコンピュータ] をクリックし プロパティ.
  3. メディア 私のコンピュータのプロパティ ダイアログボックスで COMセキュリティ タブでを確認できます。
  4. [起動とアクティブ化のアクセス許可]で、[ 編集制限.
  5. [起動許可]ダイアログボックスで、自分の名前またはグループが[グループまたはユーザー名]リストに表示されない場合は、次の手順を実行します。

    a。 クリック 追加.

    NS。 [ユーザー、コンピューター、またはグループの選択]ダイアログボックスで、アカウント名を[ オブジェクトを入力してください
    選択するフィールドの名前 [OK]をクリックします OK.
  6. [起動許可]ダイアログボックスで、でユーザーを選択します。 グループ名またはユーザー名 ボックス。
  7. 案内する ユーザーの権限>許可選択 リモート起動 影響により リモートアクティベーション、クリック OK.

特定のユーザーおよびグループにDCOMリモートアクセスを許可する

次の手順では、特定のユーザーとグループにDCOMリモートアクセス許可を付与する方法について説明します。 コンピューターAをコンピューターBにリモート接続している場合。 コンピューターBのアクセス許可を設定して、コンピューターBの管理者グループの一部ではないユーザーグループがコンピューターBに接続できるようにすることができます。

  1. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 開始、クリック ラン、タイプ DCOMCNFG、[OK]をクリックします OK.
  2. [コンポーネントサービス]ダイアログボックスで、[ コンポーネントサービス>コンピューターし、右クリックします My
    パソコン をクリックし プロパティ.
  3. [マイコンピュータのプロパティ]ダイアログボックスで、 COMセキュリティ タブでを確認できます。
  4. [アクセス許可]で、[ 編集制限.
  5. [アクセス許可]ダイアログボックスで、[ 匿名ログオン [グループ名またはユーザー名]ボックスに入力します。
  6. [ユーザーのアクセス許可]の下の[許可]列で、[ リモートアクセス、[OK]をクリックします OK.

詳細については、を参照してください。 リモートWMI接続の保護.

Windowsサービスのアクセス許可を付与する

上記の方法を採用した後でも、Windowsサービスのアクセス許可を確認および調整する必要がある場合があります。

次のいずれかのツールを使用して、ホストの監視に使用しているアカウントへの読み取り専用アクセスを許可するWindowsサービスのアクセス許可を調整できます。

プロセスエクスプローラ

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

subinacl.exe

https://social.technet.microsoft.com/wiki/contents/articles/51625.subinacl-a-complete-solution-to-configure-security-permission.aspx

sc.exe

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc754599(v=ws.11)