过去一周我一直在互联网上搜索我的问题的答案,但找不到任何确定的答案,所以我在这里问。
根据您的经验和/或知识,可以/应该通过组策略实施哪些策略,以确保域中的所有计算机都可以使用psexec、远程 WMI和远程注册表这三者进行远程管理?
我的问题的背景:当我审核域中的计算机时,我会遇到无法执行 psexec、无法远程 WMI 查询、无法远程 regedit 或三者组合的计算机。这迫使我每次都想出变通办法,这项工作占用了太多宝贵的时间。因此,与其一次又一次地浪费时间,我宁愿通过域范围的 GPO 强制统一。
PS:运行对象为Windows XP SP3和Windows 7 Professional/Enterprise。
嗯...想法:
PSExec - 只需要远程 PC 可以通过 RPC 和 SMB 联系。另外,您需要在另一端拥有适当的权限才能与服务控制管理器进行远程交互(这可以通过组策略首选项强制执行)。因此,假设 PC 正常运行...:如果 PC 在域中,则 Windows 防火墙应该允许您进入,除非您调整了域连接的防火墙设置。防病毒产品可能会将 PSExec 视为“潜在不需要的程序”。所以,这里可能有一些注册表设置以确保它被允许执行。
WMI - 同样,需要 RPC 才能运行。您可能希望强制 WMI 服务通过 GPO 运行。WMI 的一个障碍是第 3 方产品破坏了 WMI 存储库。这个看过很多次了。唯一的修复是手动重新编译。
远程注册表 - 同样,RPC 和 privs。另外,您可以强制该服务通过 GPO 运行。