كيف / هل من الممكن رصد عن بعد WMI البرمجة?
-
10-07-2019 - |
سؤال
هل تعرف ربما الطريقة (عن طريق البرنامج النصي أو البرنامج) لمعرفة ما إذا كان على سبيل المثالWMI النصي من بعيد PC1 و تنفيذ بعض المهام في آخر PC2 عندما أكون للجلوس في ثالث جهاز الكمبيوتر:PC3
نفترض أن جميع أجهزة الكمبيوتر تنتمي إلى نفس الشبكة و المجال و يكون لديك windows xp المثبتة.
والسبب في ذلك أنني إدارة شبكة صغيرة و أعتقد أن أحد الطلاب إيقاف تشغيل جهاز الكمبيوتر حيث طالب آخر يعمل عبر WMI البرمجة.
هل هناك طريقة لرصد (عن طريق البرنامج النصي أو البرنامج) شيء من هذا القبيل ، دون تعطيل wmi الوصول البعيد.
شكرا للجميع
المحلول
يمكنكم الحصول على بيانات الاعتماد المستخدمة إلى تنفيذ الاغلاق من خلال النظر في مطول WMI السجلات.
1) تمكين مطول WMI تسجيل
- تشغيل 'Wmimgmt.msc' (متاحة أيضا تحت "جهاز الكمبيوتر" > 'إدارة' > 'الخدمات والتطبيقات' > 'عنصر تحكم WMI')
- حدد عنصر تحكم WMI (المحلية)', انقر بزر الماوس الأيمن - > حدد 'خصائص'
- حدد 'تسجيل' علامة التبويب تعيين مستوى تسجيل الدخول إلى مطول
2) أنظر WMI ملفات السجل (الموقع الافتراضي:%WINDIR%\system32\wbemLogs) لمعرفة تسجيل الوصول عن بعد و الإجراءات المتخذة.على وجه التحديد, انظر wbemcore.سجل
على سبيل المثال:عندما كنت تسجيل الدخول عن بعد رأيت الإدخال التالي [<domain>
و <username>
هنا كانت حقيقية تستخدم للاتصال عن بعد]:
(Thu Aug 13 <time>) : DCOM connection from <domain>\<username>
at authentiction level Packet, AuthnSvc = 9, AuthzSvc = 1, Capabilities = 0
ثم تنفيذ WMI طريقة الطالب يحتاج إلى GetObject Win32_OperatingSystem التي ظهرت مثل هذا:
(Thu Aug 13 <time>): CALL CWbemNamespace::GetObject
BSTR ObjectPath = win32_operatingsystem
long lFlags = 0
وأخيرا كنت ابحث عن تنفيذ Win32Shutdown الطريقة التي ينبغي أن سجل شيئا من هذا القبيل:
(Thu Aug 13 <time>) : CALL CWbemNamespace::ExecMethodAsync
BSTR ObjectPath = Win32_OperatingSystem
BSTR MethodName = Win32Shutdown