过去一周我一直在寻找互联网来回答我的问题,但找不到任何确凿的答案,所以我在这里问。
根据您的经验和/或知识,可以/应该通过组策略强制实施哪些策略,以确保域中的所有计算机都可以使用psexec , 远程WMI和远程registry三者进行远程pipe理 ?
我的问题的背景:当我审计域中的计算机时,我会遇到不能查看的计算机,或远程WMI查询,或远程registry,或三者的组合。 这迫使我每次都想出解决办法,这是一个耗费了太多宝贵时间的工作。 所以,我宁愿不断地浪费时间,而是通过一个全域性的GPO来实现统一性。
PS:操作对象是Windows XP SP3和Windows 7 Professional / Enterprise。
嗯…想法:
PSExec – 只需要远程PC可以通过RPC和SMB联系。 另外,您需要在另一端有适当的权限才能与服务控制pipe理器进行远程交互(这可以通过组策略首选项强制)。 所以,假设电脑运行…:如果电脑在域上,那么Windows防火墙应该让你进入,除非你已经调整了域连接的防火墙设置。 反病毒产品可能会将PSExec视为“可能不需要的程序”。 所以,在这里可能有一些registry设置,以确保它被允许执行。
WMI – 再次,需要RPCfunction。 您可能希望强制WMI服务通过GPO运行。 与WMI的一个障碍是第三方产品欺骗WMI存储库。 看过这么多次 只有修复是手动重新编译。
远程registry – 同样,RPC和privs。 另外,您可以强制服务通过GPO运行。