GPO で展開されたユーザー ログイン スクリプトから WMI クエリを実行して、ユーザー情報を収集したいと考えています。
問題は、WMIC を実行できるようにするには、ユーザーが管理者グループのメンバーである必要があり、これらの特定のドメイン ユーザーに管理者権限を与えることができないことです。
制限された (管理者以外の) ユーザーがログインしたときに機能するように、ローカル Windows XP システムの GPO ログイン スクリプトで昇格された特権で WMIC を実行することはできますか?
明確にするために、この質問はリモート システムへの WMI 接続に関するものではありません。システムでローカルに WMIC を実行することです。
本当に興味深い、良い質問です。残念ながら、答えは「いいえ、これはできません」です。ログイン スクリプトは、常にユーザーの資格情報を使用して実行されます。
回避策として、代わりにログイン スクリプトを「通知」するか、ユーザー X がログインした監視スクリプトにフラグを付けることができます。これにより、ユーザーがログインしたコンピューターへの相互 WMI セッションが開始されます。その後、WMIC は管理者権限で管理サーバー上で起動し、ログインを送信したばかりのホストに対して実行されます。もちろん、WMI のアクセス許可は非常にうるさいのでimpersonationLevel=Impersonation、コードで設定して実行する必要があります。
PowerShell を使用しようとしましたか? CMD から実行できる基本的な例:
powershell.exe -command "gwmi win32_userprofile"