Eigentlich benötigt das in LOGINventory für die agentenlose Erfassung von Windows-Geräten hinterlegte Konto Administrator-Rechte auf dem zu erfassenden Gerät. Es gibt jedoch für Windows Server 2012 und neuer die Möglichkeit, dem Konto nur WMI-Rechte, aber keine Administrator-Rechte zu geben. Wie das genau geht, ist hier beschrieben:

Auf dem zu erfassenden Gerät:

 

1. Gruppe oder User in der Gruppe "Performance Log Users" einfügen

2. Gruppe oder User im WmiMgmt.msc auf Root (inkl. Unterordner!) berechtigen für:
- Methoden ausführen,
- Konto aktivieren,
- Remoteaktivierung,
- Sicherheit lesen.



3. Auf "Erweitert" Klicken und "Anwenden auf:" ändern von "Nur dieser Namespace" auf
"Dieser und untergeordnete Namespaces".


4. Reboot des Rechners!

 

Wenn Sie dann beim agentenlosen Scan das Kommandozeilen-Argument //RPC 0 bei Version 9 und neuer (//RPC 2 bei einer Version 8 mit den neuesten Updates) hinzufügen, dann wird versucht alle Befehle rein über WMI abzusetzen.
Nun muss keine Administrator mehr verwendet werden, sondern der WMI-Berechtigte User bzw. eine Mitglied der spezifizierten Gruppe (hier: WmiTester).


Achtung: Bei Domain-Membern muss zwingend auch ein Domain-Konto mit den genannten Berechtigungen als Scan-User genutzt werden, die Nutzung eines lokal angelegten Benutzers ist nicht einfach möglich.


Das Setzen dieser Einstellungen kann auch mit dem im Anhang eingefügten Powershell-Skript ausgeführt werden.