Resolvendo Todos Os Problemas Do Windows E Outros Programas

Dica do Windows: WMIC e não administradores

MTIT Enterprises -Vimos como usar Linha de comando do Windows Management Instrumentation (WMIC) para coletar informações de computadores que executam o Microsoft Windows. O WMIC é uma ferramenta poderosa que permite consultar provedores de Instrumentação de Gerenciamento do Windows (WMI) diretamente da linha de comando ou usando arquivos em lote. Se você for um administrador, vale a pena explorar seus recursos. No entanto, o leitor Richard Webb me enviou um ping para apontar que o WMIC só funciona se você for um administrador local, portanto, 'é meio complicado usá-lo para oferecer suporte a usuários que normalmente não têm permissões para o comando'. Ele fez uma observação muito boa. Se seus usuários não forem administradores locais em seus computadores, eles não poderão executar comandos WMIC neles. E se estiver tentando executar comandos WMIC remotamente (ou seja, em computadores remotos), você precisará usar uma conta de domínio que seja membro do grupo Administradores local no computador remoto. Com servidores, geralmente não há problema, mas com computadores clientes, bem, é improvável (e seria muito ruim se) sua conta de administrador de domínio fosse membro do grupo Administradores local em cada computador cliente em sua rede! (Se você quiser saber como seria realmente ruim fazer o que foi dito acima, leia o excelente Capítulo 13 'Gerenciando dependências de segurança para proteger sua rede', do guru da segurança Jesper M. Johansson no próximo Kit de recursos de segurança do Windows Server 2008 da Microsoft Press .) Richard tem um bom argumento, mas é atenuado por algumas coisas. Primeiro, o cenário de suporte ao cliente descrito na dica da semana passada envolve computadores não gerenciados, ou seja, uma empresa de software que dá suporte aos clientes que usam seu software. Nesse cenário, se os usuários estiverem executando o Windows XP, então provavelmente já são administradores em suas máquinas e, se estiverem executando o Windows Vista, provavelmente também são administradores e podem usar Executar como administrador para abrir um prompt de comando a partir do qual eles podem executar o WMIC. No entanto, se o computador do usuário for gerenciado (ou seja, se pertencer a um domínio do Active Directory e tiver a Política de Grupo aplicada) e estiver executando o Windows XP, a conta do usuário do domínio do usuário pode ou não pertencer ao grupo Administradores local em sua máquina. Se pertencer, está tudo bem. Caso contrário, uma solução alternativa seria ter um helpdesk oferecem Assistência Remota para o usuário. Assim que a oferta for aceita, o helpdesk pode assumir o controle do computador do usuário e executar comandos WMIC nele para solucionar o problema. No entanto, se o computador dos usuários for gerenciado, mas estiver executando o Vista, há um problema: uma vez que o helpdesk assume o controle da máquina e tenta abrir um prompt de comando de nível de administrador, um prompt do UAC aparecerá. Infelizmente, com o Vista RTM, apenas o usuário pode responder a este prompt, já que o prompt do UAC não é remotado ao helpdesk. Com o Service Pack 1 para Vista, no entanto, há um nova configuração de Política de Grupo no Vista SP1 que resolve este problema: Configuração do computador Políticas Configurações do Windows Configurações de segurança Políticas locais Opções de segurança Controle de conta de usuário: Permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho segura

Se você habilitar esta política em um GPO que se aplique ao computador do usuário, o helpdesk poderá inserir credenciais de administrador para abrir um prompt de comando de nível de administrador no computador do usuário e executar comandos WMIC conforme necessário. Para obter mais informações sobre a Assistência Remota no Windows Vista, consulte o capítulo 23 do Vista Resource Kit da Microsoft Press.



Obrigado a todos pelo feedback e continuem enviando!



Esta história, 'Dica do Windows: WMIC e não administradores' foi publicada originalmente porITworld.