Monitorer avec WMI sans les droits administrateurs

L’utilisation d’un plugin comme « check_wmi_plus.pl » demande obligatoirement des crédentials pour pouvoir utiliser les ressources WMI d’un host Windows.

Malheureusement, soit il faut un compte windows Administrateur local, ou alors créer un utilisateur qui aura uniquement les droits d’utiliser WMI, sans même pouvoir se loguer sur la machine. Nous verrons ici comment créer un utilisateur « wmi » avec uniquement les droits nécessaires pour les check wmi.

– On va commencer par créer un utilisateur sur le host windows:

  • Clic droit sur le poste de travail, « Manage »
  • Dans « Local users and groups« , créez un un nouvel utilisateur.
  • Donnez lui le nom voulu, et cochez les cases « User cannot change password » et « Password never expires« 
  • « Create »

Screen-shot-2011-08-24-at-12.53.38-PM_81865c44cec82305e55b9adc0ee0c204

– Modifications des droits de cet utilisateur fraichement créé:

  • Double clic sur l’utilisateur, allez dans « Member of« 
  • Ajouter le groupe  » Distributed COM users« 
  • Validez

 

Screen-shot-2011-08-24-at-1.44.17-PM_440f4812485d7b9a882a373d0ca779ad

 

 

 

 

 

 

 

 

 

  • Ajoutez le groupe « Perfomance log users« 
  • Enlevez le groupe « Users« 

– Modification des droits WMI:

  • Lancez le MMC ( Démarrer, Executer, mmc)
  • « Files« , « Add/ Remove Snap-in« 
  • Ajouter « WMI Control« 

WMI-Control_80a86201ef2f7dfeb4d6d65fb5625664

  • Cliquez sur « Ok« 
  • Click droit sur « Control WMI (local)« , « Properties« 
  • Onglet « Security« 
  • Sélectionnez « root« , puis cliquez sur « Security« 
  • Ajouter l’utilisateur wmi
  • Puis activez les droits suivants: « Execute Methods« ,  » Enable Account« , « Remote Enable« 

Security-for-Root_dd65c428a14744484a68c3495ff304ec

  • Cliquez sur « Advanced« 
  • Sélectionnez l’utilisateur wmi et « Modify« 
  • Sélectionnez « Apply to « This namespace and subnamespaces »« 

Namespaces-and-Subnamespaces_a63e5fbf1133b89a7d394ecc69ecb95c

 

  • Validez le tout.

Maintenant votre utilisateur est créé! Avec les bons droits, et surtout sans les droits administrateurs sur la machine à monitorer.

Essayez votre plugin « Check_wmi_plus.pl » avec cet nouvel utilisateur et tenez moi au courant!

5 comments on “Monitorer avec WMI sans les droits administrateurs”

  1. Polo Répondre

    Salut,

    J’ai suivi ton tuto pour un server W2K3 et tant que le user wmi n’est pas dans le Groupe Local Admins, la taille des disques et l’espace libre ne remontent pas aussi bien avec le plugin de Centreon (2.4.4) ou avec WMI Explorer. (en remote)
    Dès que j’ajoute wmiuser dans le groupe Local Admin du server cela fonctionne. Avec WMI Explorer localement, la taille et l’espace disque sont bien remontés.
    J’ai regardé les fichiers de logs WMI pour les 2 commandes et je n’ai noté aucune erreur.
    As tu observé la même chose de ton coté ?

    Cdt

    • matthieu Répondre

      Bonsoir, effectivement, avec les droits admin locaux, c’est plus facile! 🙂 Sans les droits, as tu regarder les events/security ce que tu avais comme messages d’erreur? Sinon, si tu suis bien le tutoriel, cela fonctionne bien pour les WMI root/cmvi. N’hesites pas a nous tenir au courant !

      • Polo Répondre

        Merci pour ta réponse mais je ne suis pas plus avancé. Je n’ai rien dabs les logs de S2curité qui m’indiquerait un pbme de droits, rien non lpus dans les fichiers de Logs Wbem. Tout ce que jepux constater c’est que tant que wmiuser n’est pas dans le gpe Admins locaux les données de Freespace et de Size ne sont pas renvoyées que ce soit en testant avec WMI Explorer ou avec le plugin de Centreon.
        La seule différence avec ton tuto est que mon srv est un W2K3 et le tien un W2K8 aux vues des fenêtres.
        Bref je t’avouerai que je sèche complet et que j’ai même supprimé le cpte et recéer mais tjrs pareil

  2. tocks Répondre

    Merci pour ton how to.
    Mais avec cette méthode on doit passer sur tous les serveurs.

    Y a t’il une méthode avec l’AD de microsoft ?

    • matthieu Répondre

      Effectivement, tu dois passer sur tous les serveurs, malheureusement, je n’ai pas trouvé d’autre solutions. Si tu as une astuces via l’AD ou GPO, n’hésites pas à nous en faire part. Merci d’avance

Laissez un commentaire