Condividi tramite

Controllo dell'account utente e WMI

Il Controllo dell'account utente (UAC) influisce sui dati WMI restituiti da un’utilità della riga di comando, dall'accesso remoto e sulle modalità in cui gli script devono essere eseguiti. Per ulteriori informazioni su UAC, consultare Introduzione al controllo dell'account utente.

Le sezioni seguenti descrivono la funzionalità di Controllo dell'account utente:

Controllo dell'account utente

Nel controllo dell'account utente, gli account nel gruppo locale Amministratori hanno due token di accesso, uno con privilegi utente standard e uno con privilegi di amministratore. A causa del filtro dei token di accesso di UAC, uno script viene in genere eseguito con il token utente standard, a meno che non venga eseguito "come amministratore" con privilegi elevati. Non tutti gli script richiedono privilegi amministrativi.

Gli script non possono determinare a livello di codice se sono in esecuzione con un token di sicurezza utente standard o un token di amministratore. Lo script potrebbe fallire con un errore di accesso negato. Se lo script richiede privilegi di amministratore, deve essere eseguito in modalità con privilegi elevati. L'accesso agli spazi dei nomi WMI varia a seconda che lo script venga eseguito in modalità con privilegi elevati. Alcune operazioni WMI, ad esempio il recupero di dati o l'esecuzione della maggior parte dei metodi, non richiedono che l'account venga eseguito come amministratore. Per altre informazioni sulle autorizzazioni di accesso predefinite, vedere Access to WMI Namespaces e Esecuzione di operazioni con privilegi.

A causa del controllo dell'account utente, l'account che esegue lo script deve trovarsi nel gruppo Administrators del computer locale per poter eseguire con diritti elevati.

È possibile eseguire uno script o un'applicazione con diritti elevati eseguendo uno dei metodi seguenti:

per eseguire uno script in modalità con privilegi elevati

  1. Aprire una finestra del prompt dei comandi facendo clic con il pulsante destro del mouse sul prompt dei comandi nel menu Start e quindi scegliendo Esegui come amministratore.
  2. Pianificare l'esecuzione dello script con privilegi elevati utilizzando Utilità di Pianificazione. Per altre informazioni, vedere Contesti di sicurezza per l'esecuzione di attività.
  3. Eseguire lo script usando l'account administrator predefinito.

Account necessario per eseguire strumenti di Command-Line WMI

Per eseguire il seguente WMI Command-Line Tools, l'account deve trovarsi nel gruppo Administrators e lo strumento deve essere eseguito da un prompt dei comandi con privilegi elevati. L'account amministratore predefinito può anche eseguire questi strumenti.

  • mofcomp

  • wmic

    La prima volta che si esegue Wmic dopo l'installazione del sistema, è necessario eseguirla da un prompt dei comandi con privilegi elevati. La modalità con privilegi elevati potrebbe non essere necessaria per le esecuzioni successive di Wmic, a meno che le operazioni WMI non richiedano privilegi di amministratore.

  • winmgmt

  • wmiadap

Per eseguire il Controllo WMI (Wmimgmt.msc) e apportare modifiche alle impostazioni di sicurezza o controllo dello spazio dei nomi WMI, l'account deve disporre del diritto Modifica sicurezza concesso esplicitamente oppure far parte del gruppo Amministratori locale. L'account amministratore predefinito può anche modificare la sicurezza o l'audit per un namespace.

Wbemtest.exe, uno strumento da riga di comando non supportato da Microsoft servizi di supporto clienti, può essere eseguito da account che non si trovano nel gruppo Administrators locale, a meno che un'operazione specifica non richieda privilegi normalmente concessi agli account amministratore.

Gestione delle connessioni remote sotto UAC

Che si tratti di connettersi a un computer remoto in un dominio o in un gruppo di lavoro determina se avviene il filtro del Controllo dell'Account Utente.

Se il computer fa parte di un dominio, connettersi al computer di destinazione usando un account di dominio che si trova nel gruppo Administrators locale del computer remoto. Il filtro dei token di accesso di UAC non influirà sugli account di dominio nel gruppo Administrators locale. Non usare un account locale non di dominio nel computer remoto, anche se l'account si trova nel gruppo Administrators.

In un gruppo di lavoro l'account che si connette al computer remoto è un utente locale in tale computer. Anche se l'account si trova nel gruppo Administrators, il filtro controllo dell'account utente indica che uno script viene eseguito come utente standard. Una procedura consigliata consiste nel creare un gruppo di utenti locale dedicato o un account utente nel computer di destinazione specificamente per le connessioni remote.

La sicurezza deve essere modificata per poter usare questo account perché l'account non ha mai avuto privilegi amministrativi. Assegnare all'utente locale:

  • Avvio remoto e attivazione dei diritti per accedere a DCOM. Per altre informazioni, vedere Connessione a WMI in un computer remoto.
  • Diritti per accedere allo spazio dei nomi WMI in modalità remota (Abilitazione remota). Per altre informazioni, vedere Access to WMI Namespaces.
  • Diritto di accedere all'oggetto a protezione diretta specifico, a seconda della sicurezza richiesta dall'oggetto.

Se si usa un account locale, perché si è in un gruppo di lavoro o si tratta di un account computer locale, potrebbe essere necessario assegnare attività specifiche a un utente locale. Ad esempio, è possibile concedere all'utente il diritto di arrestare o avviare un servizio specifico tramite il comando SC.exe, il GetSecurityDescriptor e SetSecurityDescriptor metodi di Win32_Serviceo tramite Criteri di gruppo tramite Gpedit.msc. Alcuni oggetti a protezione diretta potrebbero non consentire a un utente standard di eseguire attività e non offrono alcun mezzo per modificare la sicurezza predefinita. In questo caso, potrebbe essere necessario disabilitare il controllo dell'account utente (UAC) in modo che l'account utente locale non sia filtrato e diventi un amministratore a tutti gli effetti. Tenere presente che, per motivi di sicurezza, la disabilitazione di UAC dovrebbe essere un'ultima risorsa.

La disabilitazione di Controllo dell'account utente remoto modificando la voce del Registro di sistema che controlla Controllo dell'account utente remoto non è consigliata, ma potrebbe essere necessaria in un gruppo di lavoro. La voce del Registro di sistema è HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy. Quando il valore di questa voce è zero (0), il filtro dei token di accesso di Controllo dell'account utente remoto è abilitato. Quando il valore è 1, il controllo dell'account utente remoto è disabilitato.

Effetto UAC sui dati WMI restituiti agli script o alle applicazioni

Se uno script o un'applicazione è in esecuzione con un account nel gruppo Administrators, ma non è in esecuzione con privilegi elevati, è possibile che non vengano restituiti tutti i dati perché questo account è in esecuzione come utente standard. I provider di WMI per alcune classi non restituiscono tutte le istanze a un account utente standard o a un account amministratore che non è eseguito con diritti di amministratore completo a causa del filtro UAC.

Le classi seguenti non restituiscono alcune specifiche istanze quando l'account viene filtrato in base al UAC (Controllo dell'Account Utente):

Le classi seguenti non restituiscono alcune delle proprietà quando l'account è filtrato da UAC:

Informazioni sui WMI

l'accesso agli oggetti di sicurezza WMI

modifica della sicurezza degli accessi in oggetti a protezione diretta

 

 

  • Last updated on