从使用 wbemtest 的管理计算机,我们能够使用属于域管理员安全组的用户成功连接到运行 Windows Server 2012 R2 数据中心的远程只读域控制器。但是,当我们尝试使用非管理员用户进行连接时,我们遇到“访问被拒绝”错误。此用户是以下安全组的成员,并且对 RODC 的 WMI 控制根具有完全访问权限(执行方法、完全写入、部分写入、提供程序写入、启用帐户、远程安全、读取安全、编辑安全):
- 分布式 COM 用户
- 域用户
- 事件日志读取器
- 性能监视器用户
- 服务器操作员
为了在只读域控制器上进行此故障排除,已禁用高级安全 Windows 防火墙。
我们得到的错误是:
编号:0x80041003
设备:WMI
描述:访问被拒绝
此用户不能成为域管理员组的成员。有人能给我们指出可能的解决方案吗?我已经阅读了 serverfault 上的所有 WMI 故障排除帖子以及我在其他地方找到的所有帖子。
谢谢。
答案1
使用 dcomcnfg.exe 配置 WMI 权限。
组件服务 > 计算机 > 我的电脑 > DCOM 配置
Windows 管理和仪表
属性 > 安全选项卡
启动和活动权限 > 编辑
添加需要访问权限的组并授予所需的权限(远程启动/激活)。
也可以在计算机 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > DCOM 中的组策略中导出权限并授予权限