Habilitar las consultas WMI para usuario no administradores en un controlador de dominio
Buenas tardes,
Actualmente el 99% de las herramientas de monitorización de servidores se basan en consultas WMI utlizando una cuenta de dominio para ejecutar dichas consultas. Es una best practice que la cuenta utilizada para ejecutar las consultas no tenga permisos de Domain admins y esto es bastante sencillo de configurar en servidores miembros pero no tanto en controladores de dominio sin grupos locales.
Para dar solución a esta problemática deberemos seguir el siguiente procedimiento con el propósito de dar permisos a nuestra cuenta de servicio.
1- Creamos la cuenta de servicio que será un usuario standard de dominio
2- Agregamos a la cuenta que acabamos de crear a los grupos Performance log users y Distributed Com Users
3- Editamos la Default Domain controller policy o cualquier otra gpo que se aplique a nuestros controladores de dominio y asignamos los siguiente permisos a la cuenta de servicio
a. Act as part of the operating system
b. Log on as batch job
c. Log on as a service
d. Replace a process level token
4- Abrimos la consola de gestión de wmi como administradores
5- Hacemos click con el botón derecho y accedemos a propiedades
6- En la pestaña seguridad seleccionamos en el namespace sobre el que queremos asginar permisos o el root si quisiéramos asignarlos sobre todos y pinchamos en seguridad. En nuestro caso asignaremos permisos sobre todos.
7- Asigamos los siguiente permisos a la cuenta de servicio
a. Execute Methohds
b. Enable Account
c. Remote Enable
d. Read Securiy
Esto sería todo lo que necesitamos.
Espero que os resulte de utilidad.
Un saludo