使用UI可以改变150,000个主机.
然后必须在添加新主机的过程中包含此类更改.
可以写一个脚本来做同样的事情,但是这需要连接到所有那些机器,或者分发以便稍后更新说在启动/安装脚本中.然后,您必须从示例访问控制中复制二进制SD数据.
我还发现你可以改变wbem / * .mof文件来包含一个SDDL,但我现在对这一切的工作方式都很模糊.
我只是错过了简单管理的一些方面吗?
对于具有组策略管理控制台(GPMC)的Windows 2003,请执行以下步骤:
>导航到“开始”菜单>管理工具>组策略管理.
>在左侧窗格中,导航到林:域名 – >域名 – >域名,其中域名是您要修改的域的名称.
>右键单击左侧窗格中的“域名”,然后选择“创建并在此处链接GPO”.
>将新策略命名为WMI权限.
注意:由于WMI必须与远程主机建立DCOM连接,因此这足以配置DCOM的访问权限.
配置分布式组件对象模型(DCOM)权限:
>通过组策略管理插件或ADUC插件导航到WMI权限组策略.>确保突出显示WMI权限策略,然后单击“编辑”按钮.>导航到计算机配置 – > Windows设置 – >安全设置 – >本地政策 – >安全选项.>在右侧UI窗格中,双击DCOM:安全描述符定义语言(SDDL)语法中的计算机访问限制.>勾选定义此策略设置旁边的复选框.>单击“编辑安全性”按钮.>单击“添加”按钮;在弹出的窗口中,指定将使用的域管理员帐户.>单击“确定”.>在“组或用户名”字段中,选择您在步骤#7中指定的域管理员.>在“管理员权限”字段中,确保“远程访问”选项的“允许”列中有复选标记.>单击“确定”.>单击“确定”.>在右侧UI窗格中,双击DCOM:安全描述符定义语言(SDDL)语法中的计算机启动限制.>勾选定义此策略设置旁边的复选框.>单击“编辑安全性”按钮.>单击“添加”按钮;在弹出的窗口中,选择您在步骤#16中指定的域管理员.>在“管理员权限”字段中,确保“远程启动”和“远程激活”的“允许”列下都有复选标记.>单击“确定”.>单击“确定”.>关闭“组策略对象编辑器”窗口.>单击“确定”,然后关闭“Active Directory用户和计算机”窗口.