您可以从WMI控制工具的“安全性”选项卡中管理WMI安全性。WMI使用标准的Windows访问控制列表(acl)来保护机器上存在的每个WMI名称空间。名称空间,在“在WMI对象模型内部,是一个容纳其他WMI元素的容器。Security选项卡中的树结构显示了WMI名称空间,如图3.11..
WMI控制工具的Security选项卡,显示顶级WMI名称空间
需要注意的是,名称空间是在WMI中应用acl的最细粒度级别。在WMI名称空间上设置安全性的过程及其背后的技术与设置NTFS (NT文件系统)安全性的过程非常相似。如果您单击名称空间以选择它并单击Security,您将看到一个类似于图3.12..
CCM名称空间(ConfigMgr客户端的根名称空间)的WMI安全对话框
对话框图3.12.允许将安全主体添加到WMI名称空间的自由控制ACL (DACL)。DACL指定谁可以访问名称空间以及他们拥有的访问类型。在Windows Vista之前,这是WMI中实现的唯一名称空间访问控制。Vista WMI的增强,之前在“WMI特性集和架构“本章的部分,为WMI命名空间添加一个系统访问控制列表(SACL)。SACL指定对每个安全校长审计的行动。
关于审计 -与Windows中的其他对象访问审计一样,对WMI名称空间的审计访问要求启用组策略设置“审计对象访问”的有效值。Windows Security事件日志记录审计设置中指定的事件。
要在WMI名称空间上指定审计,请执行以下步骤:
中显示的“安全性”对话框图3.12.,单击“高级”按钮。
在“高级安全设置”对话框中,单击“审核”选项卡。
单击Add按钮,然后输入用户、组或内置安全主体的名称(参见图3.13).单击OK。
图3.13![]()
为WMI控制安全性指定用户、计算机或组
在审计条目对话框中完成选择,然后单击OK。
图3.14显示启用对ConfigMgr Site Servers组成员的所有访问失败进行审计的条目。
WMI审计条目对话框显示对ConfigMgr站点服务器组的成员的所有访问失败启用了审计
现实世界:使用审计来解决WMI连接 -您可以通过以下方式使用审核作为故障排除工具:
审计访问失败以帮助确定安全问题是否导致WMI问题
审计访问成功以帮助确定是否有成功连接
审计时要谨慎,因为过多的审计会消耗不必要的系统资源,并在Security事件日志中产生噪音。
WMI Control工具的其余选项卡允许您更改WMI连接的默认名称空间,它们提供了备份WMI存储库的几种方法之一。Windows系统状态备份也备份存储库。在Windows Vista之前,WMI Control工具还包含一个日志选项卡,允许您指定详细、普通或无日志记录,以及选择WMI日志位置和最大日志大小。在Windows Server 2008和Vista中,您可以在Windows事件查看器中启用日志记录和配置日志选项。
在Windows 2008和Vista中启用WMI跟踪日志,执行以下步骤:
打开事件查看器。
在“视图”菜单上,选择“显示分析和调试日志”。
在树控件中,展开应用程序和服务日志 - > Microsoft - > Windows - > WMI活动。
右键单击跟踪,然后从上下文菜单中选择“启用日志”。从相同菜单中选择属性允许您为WMI配置日志记录属性。您现在将能够在事件查看器树中从此节点查看,过滤和管理WMI日志。
您可以阅读更多关于WMI登录http://msdn.microsoft.com/en-us/library/aa394564 (VS.85) . aspx.
您应该知道,用户帐户控制(User Account Control)也在Windows Vista中引入,它适用于特权WMI操作。这可能会影响一些脚本和命令行实用程序。有关用户帐户控制和WMI的讨论,请参见http://msdn.microsoft.com/en-us/library/aa826699 (VS.85) . aspx.
其他命令行工具可用于管理WMI,您可以从中下载http://msdn.microsoft.com/en-us/library/a827351(vs.85).aspx..
使用WMIDIAG Utility -SMS是最早利用WMI的应用之一。曾经,SMS通常是在许多Windows机器上运行的唯一的WMI管理应用程序。在那些时候,SMS管理员通常在检测到WMI错误时删除存储库,然后重新启动WMI来重新创建存储库。这不再是一种安全的做法,因为许多应用程序依赖于存储库中存储的数据。此外,WMI错误可能是由您的环境中的许多其他问题导致的,可能与WMI本身无关。
您应该从Microsoft下载网站获取WMI诊断实用程序(WMIDIAG)而不是删除存储库(http://www.microsoft.com/downloads/details.aspx?familyid=d7ba3cd6-18d1-4d05-b11e-4c64192ae97d&displaylang = en,或者去http://www.microsoft.com/downloads.和搜索WMIDiag).WMIDiag可以帮助您诊断大多数WMI问题,并且在许多情况下,它提供了关于如何纠正这些问题的详细说明。
在WMI对象模型内部
DMTF的公共信息模型(CIM)是WMI对象模型的基础。CIM定义了一个核心模型,该模型提供了表示托管对象的基本语义,并描述了几个表示特定管理领域(如系统、网络和应用程序)的公共模型。第三方开发扩展模型,这些模型是通用类的特定于平台的实现。您可以对用于表示管理对象的类定义进行如下分类:
核心课程表示适用于所有管理领域的一般构造。托管元素类是最基本和通用的类,位于CIM类层次结构的根。其他核心类的例子包括
- 组件
- 收藏
- 统计信息
核心类是核心模型的一部分,是开发其他类的基本构建块。
普通课程表示管理对象的特定类型。公共类是一类对象的一般化表示,如计算机系统或应用程序。这些类与特定的实现或技术没有关联。
扩展课程是普通类的技术特定扩展,例如Win32计算机系统或配置管理器。
WMI类支持继承,这意味着您可以从现有类派生一个新类。派生类通常被称为孩子或子类原始阶级的。子类有一组可从父类获得的属性。继承为开发人员节省了从头开始为所有类属性创建定义的工作。子类的开发人员可以选择用更适合该类的不同定义重写继承属性的定义。子类还可以具有不从父类继承的附加属性。
通常,核心和常见类别不直接用于表示托管对象。相反,它们被用作基类从哪些类派生。“查看CIMV2命名空间内部“本章的部分介绍了类如何从其父类继承属性的示例。
WMI类的一种特殊类型是系统类.WMI在内部使用系统类来支持其操作。它们表示提供程序、WMI事件、关于WMI类的继承元数据等等。
WMI类支持三种类型的属性:
属性是托管对象的特征,例如计算机系统的名称或性能计数器的当前值。
方法是托管对象可以代表您执行的操作。例如,表示Windows服务的对象可能提供启动、停止或重新启动服务的方法。
协会实际上是指向一种特殊类型的WMI类的链接,即关联类,它表示其他对象之间的关系。“查看CIMV2命名空间内部“部分检查将文件共享安全描述符链接到共享以及其访问控制列表中指定的安全主体的关联。
您还可以通过使用限定符修改WMI类、属性和方法。类上的限定符可以将其指定为抽象类,这意味着该类仅用于派生其他类,该类的对象不会被实例化。两个重要的限定符将数据指定为静态或动态:
静态数据-在类或对象定义中提供并存储在WMI存储库中
动态数据- 直接通过提供商直接连接,代表系统上的实时数据
CIM规范还包括一种用于交换管理信息的语言。管理对象格式(MOF)提供了一种以文本形式描述类、实例和其他CIM构造的方法。在WMI中,提供程序中包含MOF文件,以注册它们在WMI中支持的类、属性、对象和事件。MOF文件中的信息被编译并存储在WMI存储库中。在财政部格式的信息的例子包括整个章节。
首字母缩略词使用 -第1章“配置管理基础”讨论了Microsoft运营框架,通常被称为MOF。Microsoft Operations Framework和托管对象格式之间没有关系,尽管两者都使用相同的缩写。
名称空间组织WMI类和其他元素。一个名称空间是一个容器,就像文件系统中的文件夹一样。开发人员可以将对象添加到现有名称空间或创建新命名空间。已经看过“WMI总经理“部分,根命名空间定义组织系统上名称空间的层次结构。“WMI总经理小节还提到,WMI Control工具允许您为到WMI的连接指定默认名称空间。通常,默认名称空间是Root\CIMV2。这是定义Windows管理的大多数主要类的名称空间。下一节将介绍该名称空间中的几个类。因为Configuration Manager是关于Windows管理的,所以ConfigMgr广泛使用这个名称空间并不奇怪。ConfigMgr还定义了自己的名称空间,在“使用WMI查看Configuration Manager.”
本节介绍WMI和CIM模型的主要概念,这将用于查看ConfigMgr WMI活动的内部。如果您对学习CIM的其他方面感兴趣,那么可以从下面的教程开始http://www.wbemsolutions.com/tutorials/CIM/index.html.完整的CIM规范可以在http://www.dmtf.org/standards/cim/cim_spec_v22.有关WMI的文档可用http://msdn.microsoft.com/en-us/library/aa394582.aspx.
查看CIMV2命名空间内部
Windows提供一个名为WBEMTEST的基本工具,允许您连接到WMI命名空间并执行WMI操作。还有许多来自Microsoft和第三方的工具,具有更直观的图形接口,用于显示和导航WMI命名空间。本节使用Microsoft WMI管理工具查看根\ CIMv2命名空间。这些工具包括WMI CIM Studio和WMI对象浏览器。您可以从中下载WMI管理工具http://www.microsoft.com/downloads/details.aspx?FamilyID=6430f853-1120-48db-8cc5-f2abdc3ed314&DisplayLang=en或者搜索WMITOOLS.在http://www.microsoft.com/downloads..下载后,您需要运行WMitools.exe可执行文件以安装工具。
您可以使用CIM Studio来研究名称空间中的类,并查看每个类的属性、方法和关联。启动CIM Studio并连接CIMV2命名空间的步骤如下:
选择“开始->所有程序-> WMI工具-> WMI CIM Studio”。
CIM Studio将打开一个web浏览器并尝试运行一个ActiveX控件。
如果浏览器阻止该控件,请选择“允许阻止的内容”选项。
确认root\CIMV2显示在连接到名称空间对话框中,然后单击OK。注意,您还可以浏览远程计算机的本地计算机上的其他名称空间。
单击“确定”以接受默认登录设置。
打开CIM Studio并连接到名称空间时,左窗格中的类资源管理器包含一个树结构,可在所选命名空间中显示基类。图3.15使用CIMv2命名空间的一些根类显示左窗格。
CIM工作室中显示的CIMv2命名空间的根类
注意,大多数的类名图3.15从CIM或Win32开始。与CIM开头的类名表示该类是DMTF CIM模式中定义的核心或常用类之一。扩展类是具有Win32开头的名称的类,这些类是Microsoft定义的Win32模式的一部分,用于管理Win32环境。