Delega con WMI

Quando si esegue uno script in un sistema locale che ottiene i dati da un sistema remoto, WMI fornisce le credenziali al provider dei dati nel sistema remoto. Questo richiede solo un livello di rappresentazione di Impersonate, perché è necessario un solo hop di rete. Tuttavia, se lo script si connette a WMI nel sistema remoto e tenta di aprire un file di log in un sistema remoto aggiuntivo, lo script non riesce a meno che il livello di rappresentazione non sia Delegato. Il livello di rappresentazione delegato è richiesto da qualsiasi operazione che coinvolge più hop di rete. Per altre informazioni sulla sicurezza DCOM in WMI, vedere Impostazione della sicurezza del processo dell'applicazione client. Per altre informazioni su una connessione hop uno-rete tra due computer, vedere Connessione a WMI in un computer remoto.

Per usare la delega per connettersi a un computer tramite un altro computer

  1. Abilitare la delega in Active Directory (Utenti e computer di Active Directory in Pannello di controllo Attività amministrative) nel controller di dominio. L'account nel sistema remoto deve essere contrassegnato come Attendibile per la delega e l'account nel sistema locale non deve essere contrassegnato come Account sensibile e non può essere delegato. il sistema locale, il sistema remoto e il controller di dominio devono essere membri dello stesso dominio o in domini attendibili.

    Nota L'uso della delega è un rischio per la sicurezza perché offre processi al di fuori del controllo diretto la possibilità di usare le credenziali.

  2. Modificare il codice nel modo seguente per indicare che si vuole usare la delega.

    PowerShell

    Impostare il parametro -Impersonation nel cmdlet WMI su Delegate.

    VBScript

    Impostare il parametro impersonationLevel su Delegate nella chiamata a SWbemLocator.ConnectServer o Delegatenella stringa moniker. È anche possibile impostare la rappresentazione in un oggetto SWbemSecurity.

    C++

    Impostare il parametro del livello di rappresentazione su RPC_C_IMP_LEVEL_DELEGATE nella chiamata a CoInitializeSecurity o CoSetProxyBlanket. Per altre informazioni su quando effettuare queste chiamate, vedere Inizializzazione di COM per un'applicazione WMI.

    Per passare l'identità client ai server COM remoti in C++, impostare il mantello nella chiamata a CoSetProxyBlanket. Per altre informazioni, vedere Mantello.

Esempi

Nell'esempio di codice seguente viene illustrata una stringa di moniker che imposta la rappresentazione su Delegate. Tenere presente che l'autorità deve essere impostata su Kerberos.

set objWMIServices = Getobject("winmgmts:{impersonationLevel=Delegate,authority=kerberos:MyDomain\Computer_B}!\\ComputerB\Root\CIMv2")

Nell'esempio di codice seguente viene illustrato come impostare la rappresentazione su Delegate (valore 4) usando SWbemLocator.ConnectServer.

Set objLocator = CreateObject("WbemScripting.SWbemLocator")
Set objWMIService = objLocator.ConnectServer(Computer_B, _
                                             "Root\CIMv2", _
                                             AdminAccount, _
                                             MyPassword, _
                                             "kerberos:Domain\Computer_B")
objWMIService.Security_.ImpersonationLevel = 4

Protezione di una connessione WMI remota

Creazione di processi in remoto con WMI