WMI ACCESS DENIED pour les appels asynchrones

Sur les rappels asynchrones d'événements WMI sur des ordinateurs distants.

Vous devrez peut-être faire ce qui suit.
Liens:
http://stackoverflow.com/questions/2782317/exception-while-managementeventwatcherwmi-to-notify-events-from-remote-machine
https://msdn.microsoft.com/en-us/library/aa393266(v=vs.85).aspx

Texte :
Définition de la sécurité DCOM pour permettre à un utilisateur d'accéder à un ordinateur à distance
La sécurité dans WMI est liée à la connexion à un espace de noms WMI. WMI utilise DCOM pour gérer les appels distants. Une des raisons de l'échec de la connexion à un ordinateur distant est due à une défaillance DCOM (erreur «DCOM Access Denied» décimal -2147024891 ou hex 0x80070005). Pour plus d'informations sur la sécurité DCOM dans WMI pour les applications C ++, consultez Définition de la sécurité des processus d'application client.
Vous pouvez configurer les paramètres DCOM pour WMI à l'aide de l'utilitaire de configuration DCOM (DCOMCnfg.exe) disponible dans Outils d'administration du Panneau de configuration. Cet utilitaire expose les paramètres permettant à certains utilisateurs de se connecter à l'ordinateur à distance via DCOM. Les membres du groupe Administrateurs sont autorisés à se connecter à distance à l'ordinateur par défaut. Avec cet utilitaire, vous pouvez définir la sécurité pour démarrer, accéder et configurer le service WMI.
La procédure suivante explique comment accorder des autorisations d'activation et de démarrage à distance de DCOM à certains utilisateurs et groupes. Si l'ordinateur A se connecte à distance à l'ordinateur B, vous pouvez définir ces autorisations sur l'ordinateur B pour permettre à un utilisateur ou à un groupe ne faisant pas partie du groupe Administrateurs sur l'ordinateur B d'exécuter des appels de démarrage et d'activation de DCOM sur l'ordinateur B.
Aa393266.wedge (fr-fr, VS.85) .gifPour accorder des autorisations de lancement et d'activation à distance de DCOM à un utilisateur ou à un groupe
Cliquez sur Démarrer, sur Exécuter, tapez DCOMCNFG, puis cliquez sur OK.
Dans la boîte de dialogue Services de composants, développez Services de composants, développez Ordinateurs, puis cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés du Poste de travail, cliquez sur l'onglet Sécurité COM.
Sous Autorisations d'exécution et d'activation, cliquez sur Modifier les limites.
Dans la boîte de dialogue Autorisation d'exécution, procédez comme suit si votre nom ou votre groupe n'apparaît pas dans la liste Groupes ou noms d'utilisateur:
Dans la boîte de dialogue Autorisation d'exécution, cliquez sur Ajouter.
Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs ou des groupes, ajoutez votre nom et le groupe dans la zone Entrez les noms des objets à sélectionner, puis cliquez sur OK.
Dans la boîte de dialogue Autorisation d'exécution, sélectionnez votre utilisateur et votre groupe dans la zone Noms d'utilisateur ou de groupe. Dans la colonne Autoriser sous Autorisations pour l'utilisateur, sélectionnez Lancement à distance, puis Activation à distance, puis cliquez sur OK.
La procédure suivante explique comment accorder des autorisations d'accès distant DCOM à certains utilisateurs et groupes. Si l'ordinateur A se connecte à distance à l'ordinateur B, vous pouvez définir ces autorisations sur l'ordinateur B pour permettre à un utilisateur ou à un groupe ne faisant pas partie du groupe Administrateurs sur l'ordinateur B de se connecter à l'ordinateur B.
Aa393266.wedge (fr-fr, VS.85) .gifPour accorder des autorisations d'accès distant à DCOM
Cliquez sur Démarrer, sur Exécuter, tapez DCOMCNFG, puis cliquez sur OK.
Dans la boîte de dialogue Services de composants, développez Services de composants, développez Ordinateurs, puis cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés du Poste de travail, cliquez sur l'onglet Sécurité COM.
Sous Autorisations d'accès, cliquez sur Modifier les limites.
Dans la boîte de dialogue Autorisation d'accès, sélectionnez Nom ANONYMOUS LOGON dans la zone Noms d'utilisateur ou de groupe. Dans la colonne Autoriser sous Autorisations pour utilisateur, sélectionnez Accès à distance, puis cliquez sur OK.

Configuration d'une connexion WMI distante

La connexion à un espace de noms WMI sur un ordinateur distant peut nécessiter la modification des paramètres du pare-feu Windows, du contrôle de compte d'utilisateur (UAC), du DCOM ou du gestionnaire d'objets de modèle de modèle commun (CIMOM).
Les sections suivantes sont abordées dans cette rubrique:
Paramètres du pare-feu Windows
Les paramètres du contrôle de compte
Paramètres DCOM
Paramètres CIMOM
Rubriques connexes
Paramètres du pare-feu Windows
Les paramètres WMI pour les paramètres du Pare-feu Windows activent uniquement les connexions WMI, plutôt que d'autres applications DCOM.
Une exception doit être définie dans le pare-feu pour WMI sur l'ordinateur cible distant. L'exception pour WMI permet à WMI de recevoir des connexions distantes et des rappels asynchrones vers Unsecapp.exe. Pour plus d'informations, voir Définition de la sécurité sur un appel asynchrone.
Si une application cliente crée son propre récepteur, celui-ci doit être explicitement ajouté aux exceptions du pare-feu pour permettre aux rappels de réussir.
L'exception pour WMI fonctionne également si WMI a été démarré avec un port fixe, à l'aide de la commande winmgmt / standalonehost. Pour plus d'informations, voir Configuration d'un port fixe pour WMI.
Vous pouvez activer ou désactiver le trafic WMI via l'interface utilisateur du pare-feu Windows.
Aa822854.wedge (fr-fr, VS.85) .gifPour activer ou désactiver le trafic WMI à l'aide de l'interface utilisateur du pare-feu
Dans le Panneau de configuration, cliquez sur Sécurité, puis sur Pare-feu Windows.
Cliquez sur Modifier les paramètres, puis sur l'onglet Exceptions.
Dans la fenêtre Exceptions, cochez la case WMI (Windows Management Instrumentation) pour activer le trafic WMI via le pare-feu. Pour désactiver le trafic WMI, décochez la case.
Vous pouvez activer ou désactiver le trafic WMI via le pare-feu à l'invite de commande.
Aa822854.wedge (fr-fr, VS.85) .gifPour activer ou désactiver le trafic WMI à l'invite de commande à l'aide du groupe de règles WMI
Utilisez les commandes suivantes à une invite de commande. Tapez ce qui suit pour activer le trafic WMI à travers le pare-feu.
netsh advfirewall firewall set rule group = "windows management instrumentation (wmi)" new enable = yes
Tapez la commande suivante pour désactiver le trafic WMI à travers le pare-feu.
netsh advfirewall firewall set rule group = "windows management instrumentation (wmi)" new enable = no
Plutôt que d'utiliser la commande unique du groupe de règles WMI, vous pouvez également utiliser des commandes individuelles pour chacun des services DCOM, WMI et récepteur.
Aa822854.wedge (fr-fr, VS.85) .gifPour activer le trafic WMI à l'aide de règles distinctes pour DCOM, WMI, le récepteur de rappel et les connexions sortantes
Pour établir une exception de pare-feu pour le port DCOM 135, utilisez la commande suivante.
netsh advfirewall firewall add rule dir = in name = ”DCOM” program =% systemroot% \ system32 \ svchost.exe service = rpcss action = allow protocol = TCP localport = 135
Pour établir une exception de pare-feu pour le service WMI, utilisez la commande suivante.
netsh advfirewall firewall add rule dir = in name = "WMI" program =% systemroot% \ system32 \ svchost.exe service = winmgmt action = allow protocol = TCP localport = any
Pour établir une exception de pare-feu pour le récepteur qui reçoit des rappels d'un ordinateur distant, utilisez la commande suivante.
netsh advfirewall firewall add rule dir = in name = "UnsecApp" program =% systemroot% \ system32 \ wbem \ unsecapp.exe action = autoriser
Pour établir une exception de pare-feu pour les connexions sortantes vers un ordinateur distant avec lequel l'ordinateur local communique de manière asynchrone, utilisez la commande suivante.
netsh advfirewall firewall add rule dir = out name = ”WMI_OUT” program =% systemroot% \ system32 \ svchost.exe service = winmgmt action = allow protocol = TCP localport = any
Pour désactiver les exceptions de pare-feu séparément, utilisez les commandes suivantes.
Aa822854.wedge (fr-fr, VS.85) .gifPour désactiver le trafic WMI à l'aide de règles distinctes pour DCOM, WMI, le récepteur de rappel et les connexions sortantes
Pour désactiver l'exception DCOM.
netsh advfirewall firewall delete rule name = "DCOM"
Pour désactiver l'exception de service WMI.
netsh advfirewall firewall delete rule name = "WMI"
Pour désactiver l'exception de collecteur.
netsh advfirewall firewall delete rule name = "UnsecApp"
Pour désactiver l'exception sortante.
netsh advfirewall firewall delete rule name = "WMI_OUT"
Les paramètres du contrôle de compte
Le filtrage des jetons d'accès du contrôle de compte d'utilisateur (UAC) peut affecter les opérations autorisées dans les espaces de noms WMI ou les données renvoyées. Sous UAC, tous les comptes du groupe Administrateurs local s'exécutent avec un jeton d'accès utilisateur standard, également appelé filtrage de jeton d'accès UAC. Un compte administrateur peut exécuter un script avec un privilège élevé: «Exécuter en tant qu'administrateur».
Lorsque vous ne vous connectez pas au compte administrateur intégré, le contrôle de compte d'utilisateur affecte les connexions à un ordinateur distant différemment selon que les deux ordinateurs appartiennent à un domaine ou à un groupe de travail. Pour plus d'informations sur les connexions UAC et distantes, voir Contrôle de compte d'utilisateur et WMI.
Paramètres DCOM
Pour plus d'informations sur les paramètres DCOM, voir Sécurisation d'une connexion WMI distante. Toutefois, le contrôle de compte d'utilisateur affecte les connexions pour les comptes d'utilisateurs non principaux. Si vous vous connectez à un ordinateur distant à l'aide d'un compte d'utilisateur autre que domaine appartenant au groupe Administrateurs local de l'ordinateur distant, vous devez explicitement accorder les droits d'accès, d'activation et de lancement du compte DCOM distant.
Paramètres CIMOM
Les paramètres CIMOM doivent être mis à jour si la connexion distante est établie entre des ordinateurs sans relation de confiance. sinon, une connexion asynchrone échouera. Ce paramètre ne doit pas être modifié pour les ordinateurs du même domaine ou des domaines approuvés.
L'entrée de registre suivante doit être modifiée pour autoriser les rappels anonymes:
HKEY_LOCAL_MACHINE \ LOGICIEL \ Microsoft \ WBEM \ CIMOM \ AllowAnonymousCallback
Type de données
REG_DWORD
Si la valeur AllowAnonymousCallback est définie sur 0, le service WMI empêche les rappels anonymes au client. Si la valeur est définie sur 1, le