过去一周我一直在互联网上寻找我的问题的答案,但找不到任何确切的答案,所以我在这里询问。
根据您的经验和/或知识,可以/应该通过组策略实施哪些策略,以确保域中的所有计算机都可以使用以下三重策略进行远程管理:执行,远程 WMI, 和远程注册表?
我的问题背景:当我审核域中的计算机时,我会遇到无法使用 psexec、无法远程查询 WMI、无法远程编辑注册表或三者兼而有之的计算机。这迫使我每次都想办法解决问题,这项工作浪费了太多宝贵的时间。因此,与其一次又一次地浪费时间,我宁愿通过域范围的 GPO 来强制执行统一性。
PS:操作目标是Windows XP SP3和Windows 7 Professional/Enterprise。
答案1
嗯......想法:
PSExec - 只需要远程 PC 可以通过 RPC 和 SMB 进行连接。此外,您需要在另一端拥有适当的权限才能远程与服务控制管理器交互(这可以通过组策略首选项强制执行)。因此,假设 PC 可以运行...:如果 PC 在域中,则 Windows 防火墙应该允许您进入,除非您调整了域连接的防火墙设置。防病毒产品可能会将 PSExec 视为“潜在有害程序”。因此,可能需要在此处进行一些注册表设置以确保允许其执行。
WMI - 同样,需要 RPC 才能运行。您可能希望强制通过 GPO 运行 WMI 服务。WMI 的一个问题就是第三方产品破坏了 WMI 存储库。参见此所以很多次。唯一的解决办法是手动重新编译。
远程注册表 - 同样,RPC 和权限。此外,您可以强制通过 GPO 运行该服务。