none
WMIへのリモートアクセス「アクセスは拒否されました」 RRS feed

  • 質問

  • お世話になっております。

    Windows 7 SP1 上の WMI (Windows Management Instrumentation) へリモートからアクセスしようとしているのですが「アクセスは拒否されました」と表示されて失敗します。

    ドメイン環境ではWMIリモートアクセスに何度か成功していますが、ワークグループ環境では未だに成功までこぎつけられません。

    ある Windows7 Professional SP1 パソコンに、ローカルユーザーアカウントを作成し、Administrators グループへ所属させました。

    管理ツール「セキュリティが強化されたファイアウォール」から WMI関連の受信(DCOM, WMI, 非同期)を受け入れさせました。

    アクセスされる側の同一サブネット上にある Windows 7 Professional SP1 パソコンのコマンドプロンプト から wmic /node:"コンピューター名" /user:ユーザー名 /password:パスワード os

    と入力すると

    エラー:
    説明 = アクセスは拒否されました

    とすぐ表示されて失敗してしまいます。関係ないでしょうが、UAC昇格させたコマンドプロンプトでも結果は同じでした。

    パケットモニタでみると、RPC の RemoteCreateInstance Request で nca_s_fault_access_denied が返されてきます。

    DCOM 有効化の関係でこのような現象が起きることがあるとの情報をネット上で見つけ、dcomcnfg を起動して「このコンピュータ上で分散COMを有効にする」にチェックが入っていることを確認して、COMセキュリティの「制限の編集」で、Everyoneにフル権限を与えました(ローカルAdministratorsに所属してフル権限付与されているアカウントでログインしているので、効果ないだろうがといぶかしく思いながらも)。

    すると、効果があって、こんどは10秒ほど待たされるようになりましたが、結果は「アクセスは拒否されました」と表示されて失敗しました。

    パケットモニタでみると、今度はRPC の IWbemLevel1Login で S_OK が返された後、10秒後に TCP のリセット(RST)パケットが飛んできます。

    管理コンソール wmimgmt.msc で、名前空間RootへEveryone にフル権限を付与してみましたが、挙動は変わりません。

    数年来失敗してきているので、いい加減うまく構築できるようにしておきたいのですが(もうWindows8の時代ですが...)、リモートからWMIへアクセスするために、他に調査できる個所がありましたら、ご教示くださいますと幸いです。

    ちなみに、ローカルAdministratorsへ所属させているローカルユーザーアカウント(有効化権限付与)でDCOMへログインしても、ローカルAdministrators所属扱いとならない(Everyoneには該当)理由は何なのでしょうか?

    2013年8月26日 7:26

回答

すべての返信

  • ちなみに、ローカルAdministratorsへ所属させているローカルユーザーアカウント(有効化権限付与)でDCOMへログインしても、ローカルAdministrators所属扱いとならない(Everyoneには該当)理由は何なのでしょうか?


    それが UAC なのでは。
    • 回答としてマーク koma_deko 2013年8月26日 10:32
    2013年8月26日 8:16
  • HomeCloset様

    どうも有難う御座います。

    環境に手をほぼ入れていない、別の Windows7 Professional SP1 環境で実験してみました。

    ファイアウォールのWMI関連の受信を有効化し、さらにUACを無効にして再起動させてみたところ、DCOMの設定もWMIの設定も特にせずに、リモートからWMIへのクエリー結果を無事参照できました。

    UACに呪われたような連日でしたが、感触がつかめてきました。Windows7へアクセスする際のセキュリティ関連は、UAC設定を疑ってみることにします。

    2013年8月26日 10:40
  • 昔からそうですが、ワークグループでリモートアクセスするのはめんどうなようです。

    http://blogs.technet.com/b/junichia/archive/2009/04/06/3222761.aspx

    http://msdn.microsoft.com/en-us/library/windows/desktop/aa826699(v=vs.85).aspx

    • 回答としてマーク koma_deko 2013年8月26日 11:11
    2013年8月26日 10:46
  • HomeCloset様

    詳しい情報を有難う御座います。ずばり、WMI と UAC の関係に言及している記事があったのですね。

    WMIクエリーの駆動部分まで何とかたどりつけても、クエリーされるオブジェクト(クラス)固有のセキュリティの観点から、アクセス拒否されたりしてしまうことがあるのですね。

    WMIで管理したいクライアントにローカルでWMIを発行させるエージェントを仕込むか、何とかドメインに参加させるかあたりが現実的ですね。

    2013年8月26日 11:11