D’après diverses documentations, il semble que pour modifier l’accès WMI, vous devez utiliser WMI pour accéder au service en cours d’exécution et modifier des parties spécifiques de l’arborescence.
C’est assez ennuyeux de modifier 150 000 hôtes via l’interface graphique.
Et ensuite de devoir inclure de tels changements dans le processus d’ajout de nouveaux hôtes.
On pourrait écrire un script pour faire la même chose, mais il faut soit se connecter à toutes ces machines en direct, soit le distribuer pour une mise à jour ultérieure, par exemple dans un script de démarrage/installation. Et ensuite vous devez vous occuper de copier des données binaires SD depuis un contrôle d’accès exemple.
J’ai également trouvé que vous pouvez modifier le fichier wbem/*.mof pour inclure un SDDL, mais je suis vraiment vague sur le fonctionnement de tout cela pour le moment.
Est-ce que je passe à côté de quelque chose de simple en termes d’administration ?
J’ai fait quelques recherches à ce sujet et il semble que la méthode ci-dessous devrait fonctionner :
Pour Windows 2003 avec la Console de gestion des stratégies de groupe (GPMC), effectuez les étapes suivantes :
Naviguez vers Menu Démarrer > Outils d'administration > Gestion des stratégies de groupe.
Dans le volet de gauche, naviguez vers Forêt : Nom de domaine → Domaines → Nom de domaine, où Nom de domaine est le nom du domaine que vous souhaitez modifier.
Faites un clic droit sur Nom de domaine dans le volet de gauche et sélectionnez Créer un objet GPO dans ce domaine et le lier ici.
Nommez la nouvelle stratégie Permissions WMI.
REMARQUE :Puisque WMI doit établir une connexion DCOM vers l’hôte distant, cela suffit pour configurer les permissions d’accès pour DCOM.
Configuration des permissions DCOM (Distributed Component Object Model) :
Naviguez vers la stratégie de groupe Permissions WMI, soit via le composant logiciel enfichable Gestion des stratégies de groupe, soit via le composant logiciel enfichable ADUC.
Assurez-vous que la stratégie Permissions WMI est en surbrillance et cliquez sur le bouton Modifier.
Naviguez vers Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Options de sécurité.
Dans le volet de droite de l’interface, double-cliquez sur DCOM : Restrictions d'accès de la machine dans la syntaxe SDDL (Security Descriptor Definition Language).
Cochez la case à côté de Définir ce paramètre de stratégie.
Cliquez sur le bouton Modifier la sécurité.
Cliquez sur le bouton Ajouter ; dans la fenêtre contextuelle résultante, spécifiez le compte administrateur de domaine qui sera utilisé.
Cliquez sur OK.
Dans le champ Noms de groupes ou d'utilisateurs, sélectionnez l’administrateur de domaine que vous avez spécifié à l’étape 7.
Dans le champ Permissions pour Administrateurs, assurez-vous qu’il y a une coche dans la colonne Autoriser pour l’option Accès à distance.
Cliquez sur OK.
Cliquez sur OK.
Dans le volet de droite de l’interface, double-cliquez sur DCOM : Restrictions de lancement de la machine dans la syntaxe SDDL (Security Descriptor Definition Language).
Cochez la case à côté de Définir ce paramètre de stratégie.
Cliquez sur le bouton Modifier la sécurité.
Cliquez sur le bouton Ajouter ; dans la fenêtre contextuelle résultante, spécifiez le compte administrateur de domaine qui sera utilisé.
Cliquez sur OK.
Dans le champ Noms de groupes ou d’utilisateurs, sélectionnez l’administrateur de domaine que vous avez spécifié à l’étape 16.
Dans le champ Permissions pour Administrateurs, assurez-vous qu’il y a une coche dans la colonne Autoriser pour Lancement à distance et Activation à distance.
Cliquez sur OK.
Cliquez sur OK.
Fermez la fenêtre Éditeur d'objet de stratégie de groupe.
Cliquez sur OK et fermez la fenêtre Utilisateurs et ordinateurs Active Directory.