none
Droits nécessaires pour tester l'état d'un service à distance RRS feed

  • Discussion générale

  • Bonjour,

    J'utilise un logiciel de monitoring (KS Hosmonitor) pour surveiller des serveurs appartenant à 2 domaines Active Directory différents. Sans relation d'approbation.

    Jusqu'à maintenant l'application était installée sur un serveur 2003R2 dans le domaine A. Tous les tests fonctionnaient parfaitement.

    Je migre vers un serveur 2016 toujours dans le domaine A.

    Depuis cette migration l'application n'arrive plus à tester l'état des services sur les serveurs du domaine B. (l'application utilise un compte membre des admins du domaine pour s'authentifier sur le domaine B).

    J'ai une erreur "win32 error #5 Accès refusé". Je pense que cette application utilise WMI pour vérifier l'état des services.

    Quelles autorisations peuvent manquer pour permettre à ce serveur de tester les services sur un serveur d'un autre domaine ?

    Nicolas

    mercredi 16 septembre 2020 14:02

Toutes les réponses

  • J'ai comparé la config winrm des 2 machines, elle est identique

    mercredi 16 septembre 2020 15:14
  • @ Vincent : Cela ne peut pas venir de WINRM et ce pour 2 raisons :

    • Le message d'erreur : Accès refusé
    • mais surtout WMI n'utilise pas WINRM

    The Get-WmiObject cmdlet does not use Windows PowerShell remoting to perform remote operations. You can use the ComputerName parameter of the Get-WmiObject cmdlet even if your computer does not meet the requirements for Windows PowerShell remoting or is not configured for remoting in Windows PowerShell.

    Source : https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-wmiobject?view=powershell-5.1

    Je pense que tout simplement le compte utilisé n'a pas les droits suffisants pour faire une requête WMI : "To access WMI information on a remote computer, the cmdlet must run under an account that is a member of the local administrators group on the remote computer. Or, the default access control on the WMI namespace of the remote repository can be changed to give access rights to other accounts."

    Ce qui se comprend parfaitement. WMI, tout comme CIM d'ailleurs, c'est aller lire le registre d'une machine à distance. On se doute bien qu'il faille quelques prvilèges pour ce faire.

    @neyrignoux : vérifies ce dernier point

    Cordialement

    Olivier


    jeudi 17 septembre 2020 05:43