Настройка службы WinRM с помощью групповых политик

Вы можете централизованно настроить службу WinRM с помощью групповых политик домена Windows.

В руководстве приведен пример настройки групповых политик домена Windows. Настройки могут отличаться в зависимости от особенностей ИТ-инфраструктуры и положений внутренних нормативных документов организации.

Добавление исключений для брандмауэра

Чтобы добавить исключения для брандмауэера:

Перейдите в раздел Конфигурация Компьютера → Политики → Конфигурация Windows → Параметры безопасности → Монитор брандмауэра Защитника Windows в режиме повышенной безопасности → Правила для входящих подключений.
Создайте правило для нового входящего подключения. В мастере создания правила выберите тип правила Предопределенные → Удаленное управление Windows.
Нажмите на кнопку Далее.
В списке предопределенных правил выберите Удаленное управление Windows (HTTP - входящий трафик).
Нажмите на кнопку Далее.
На экране выбора действий выберите Разрешить подключение.
Нажмите на кнопку Готово. Настройка завершена.

Настройка автоматического запуска службы WinRM

При настройке используйте консоль Group Policy Management Console (GPMC.msc).

Чтобы настроить автоматический запуск службы WinRM:

Перейдите в раздел Конфигурация Компьютера → Настройка → Службы.
Выберите из списка службу WinRM. Если она отсутствует, добавьте новую службу со следующими параметрами:
1. Вкладка Общие:
  1. Имя службы: WinRM.
  2. Автозагрузка: Автоматически.
  3. Действие службы: Запуск службы.
  4. Время ожидания, если служба заблокирована: 30 с.
  5. Вход в систему: Нет изменений.
2. Вкладка Восстановление: Действие компьютера, выполняемое при сбое службы - Перезапуск службы (во всех вложенных меню — Первый сбой, Второй сбой, Последующие сбои).
Нажмите на кнопку ОК. Служба будет добавлена в систему.

Настройка адреса для удаленного управления

Чтобы настроить адрес для удаленного управления:

Перейдите в раздел Конфигурация Компьютера → Политики → Административные шаблоны → Компоненты Windows → Удаленное управление Windows → Служба удаленного управления Windows.
Выберите политику Разрешить удаленное администрирование сервера средствами WinRM.
Установите статус политики Включено.
В окне настроек политики добавьте перечень IP-адресов коллекторов R-Vision, которые осуществляют сканирование оборудования.
Нажмите на кнопку ОК. Настройка завершена.

Добавление прав на доступ к пространствам имен WMI (root/CIMV2, root/SECURITY) и на дескриптор безопасности WMI

Чтобы настроить права:

Перейдите в раздел Конфигурация Компьютера → Политики → Конфигурация Windows → Сценарии (запуск/завершение).
Откройте сценарий Автозагрузка.
Добавьте в сценарий автозагрузки два скрипта:
1. Скрипт, предоставляющий доступ пользователю к пространствам имен WMI root/CIMV2, root/SECURITY.
  
  Имя сценария: Set-WmiNamespaceSecurity.ps1. Чтобы получить файл скрипта, обратитесь в службу поддержки по адресу support@rvision.com.
  
  Параметры:
  <wmi-namespace> add <username> enable,remoteaccess,methodexecute
  Здесь:
  - <wmi-namespace> — пространство имен WMI;
  - <username> — пользователь, от имени которого осуществляется инвентаризация.
    
    Для корректной инвентаризации, пользователю требуется доступ к пространствам WMI: либо к root/CIMV2 и root/SECURITY, либо к root.
2. Скрипт, предоставляющий права доступа пользователю на дескриптор безопасности WMI.
  
  Имя сценария: Add-WinRMDaclRule.ps1. Чтобы получить файл скрипта, обратитесь в службу поддержки по адресу support@rvision.ru.
  
  Параметры:
  Account <username> -Right FullControl
  Здесь:
  - <username> — пользователь, от имени которого осуществляется инвентаризация.

Была ли полезна эта страница?