Können Windows-Rechner agentenlos auch ohne Administrator-Rechte erfasst werden? : LOGINventory Helpdesk

Eigentlich benötigt das in LOGINventory für die agentenlose Erfassung von Windows-Geräten hinterlegte Konto Administrator-Rechte auf dem zu erfassenden Gerät. Es gibt jedoch für Windows Server 2012 und neuer die Möglichkeit, ohne Administrator-Rechte Remote zu erfassen.

Beachten Sie auch die Hinweise hier, welche anderen Methoden verwendet werden können, um ohne administrative Rechte eine Erfassung durchzuführen.

Fehlende Daten bei der Erfassung als unprivilegierter Benutzer

Wenn Sie einen Windows Rechner über diese Methoden erfassen, dann fehlen alle diejenigen Daten, für deren Auslesen administrative Privilegien notwendig sind - ähnlich wie bei der Erfassung über Logon-Script, also:

- Konfiguration / Geplante Tasks
- Konfiguration / Freigabe-Berechtigungen
- Konfiguration / Lauschende Ports

- Konfiguration / Netzwerkverbindungen
- Konfiguration / Routing-Tabelle
- Konfiguration / PnP-Treiber
- Konfiguration / System-Treiber

- Konfiguration / Lokale Gruppen

- Konfiguration / Dienste

- Konfiguration / Events

- Hardware / Partition Encyption

- Software / Programmbenutzung

- Software / SWID Tags

- VM-Gäste

Die übrigen Daten werden vollständig.

Da die Daten beim Eintragen in die Datenbank zu den vorhandenen "gemischt" werden, bleiben die bisher vorhandenen in diesen Kategorien (mit älterem Aktualisierungsdatum) erhalten.

Vorgehensweise

1. Gruppe oder User in der Gruppe "Performance Log Users" (Deutsch: Leistungsprotokollbenutzer) einfügen

2. Gruppe oder User im WmiMgmt.msc auf Root (inkl. Unterordner!) berechtigen für:
- Methoden ausführen,
- Konto aktivieren,
- Remoteaktivierung,
- Sicherheit lesen.

3. Auf "Erweitert" Klicken und "Anwenden auf:" ändern von "Nur dieser Namespace" auf
"Dieser und untergeordnete Namespaces".

4. Reboot des Rechners!

Bemerkungen

Wenn Sie dann beim agentenlosen Scan das Kommandozeilen-Argument //RPC 0 bei Version 9 und neuer (//RPC 2 bei einer Version 8 mit den neuesten Updates) hinzufügen, dann werden alle Befehle nur über Remote-WMI abgesetzt.
Nun muss keine Administrator mehr verwendet werden, sondern der WMI-Berechtigte User bzw. eine Mitglied der spezifizierten Gruppe (hier: WmiTester).
Falls Sie lediglich einen unprivilegierten Account in der Scan-Definition angeben, dann scheitert die administrative Remote Anmeldung und die Erfassung versucht als Fallback das Verfahren mit WMI-Leserechten.

Achtung: Bei Domain-Membern muss zwingend auch ein Domain-Konto mit den genannten Berechtigungen als Scan-User genutzt werden, die Nutzung eines lokal angelegten Benutzers ist nicht einfach möglich.

Das Setzen dieser Einstellungen kann auch mit dem im Anhang befindlichen Powershell-Skript ausgeführt werden, das z.B. per GPO als Rechner Startup-Script aufgerufen werden kann.

Sollen Domain-Controller mit WMI-Leserechten erfasst werden, so muss auf einem DC einmalig folgender Powershell-Befehl ausgeführt werden, da Gruppe 'Leistungsprotokollbenutzer' dort nicht lokal ist.

PS C:\> add-adgroupmember -identity 'Leistungsprotokollbenutzer' -members WmiTester

Auf englischen DCs heißt die Gruppe 'Performance Log Users'.

Können Windows-Rechner agentenlos auch ohne Administrator-Rechte erfasst werden? Drucken

Verwandte Artikel