おそらく、(スクリプトやプログラムを介して)方法を知っていますか? PC3方法/リモートWMIスクリプトを監視することは可能ですか?
すべてのPCが同じネットワークとドメインに属し、Windows XPがインストールされていると仮定します。この場合、WMIスクリプトはリモートPC1から実行され、別のPC2でいくつかのタスクを実行します。
私は小さなネットワークを管理しており、1人の学生がWMIスクリプトを介して別の生徒が働いているPCをシャットダウンする理由が考えられます。
wmiリモートアクセスを無効にすることなく、スクリプトやプログラムを介して監視する方法はありますか?あなたは冗長WMIのログを見て、シャットダウンを実行するために使用する資格情報を取得することができます
おかげで皆
。
1)>> 'WMIコントロール')
2)は、(WMIログファイルを見てくださいDエラーの場所:%WINDIR%\ system32 \ wbemLogs)を使用して、リモートアクセスの記録と実行されたアクションを確認します。具体的には、wbemcore.log
例を見てみましょう。そして、
(Thu Aug 13 <time>) : DCOM connection from <domain>\<username>
at authentiction level Packet, AuthnSvc = 9, AuthzSvc = 1, Capabilities = 0
、実行するために:私はリモートでログインすると、私は次のエントリを[<domain>と<username>がここに本当のリモート接続のために使用されるものだった]見ました
(Thu Aug 13 <time>): CALL CWbemNamespace::GetObject
BSTR ObjectPath = win32_operatingsystem
long lFlags = 0
そして最後に、あなたがこのような何かをログに記録するWin32Shutdownメソッドを実行するために見てね::WMIメソッドは、学生は次のように現れたのGetObjectのWin32_OperatingSystem、する必要があります
(Thu Aug 13 <time>) : CALL CWbemNamespace::ExecMethodAsync
BSTR ObjectPath = Win32_OperatingSystem
BSTR MethodName = Win32Shutdown
ありがとうDaryn – Harry