Möchten Sie nicht den Domänenadministrator in PowerShell basierten Sensoren nutzen (zum Beispiel für den Sensor "Exchange Gesundheit"), können Sie auch einen normalen Benutzer mit den notwendigen Berechtigungen ausstatten. 


Schritt 1 - Vorbereitungen (Exchange)




Wollen Sie die Exchange Sensoren nutzen, muss Ihr Benutzer unbedingt der Exchange Security Gruppe "Organization Management angehören".


Schritt 2 - Endpoint Vorbereitungen PowerShell


Auf dem System wohin der Benutzer eine Verbindung aufbauen soll/darf, führen Sie folgenden Befehl durch in einer als Administrator gestarteten PowerShell.

  • Set-PSSessionConfiguration -Name Microsoft.PowerShell -ShowSecurityDescriptorUI -Force


Im aufgehenden Dialog müssen Sie explizit die Rechte für Lesen/Ausführen vergeben. 


Bei weiteren Fragen hierzu können Sie auch den Blog Artikel von Microsoft nutzen.


Schritt 3 - WMI Berechtigungen


Da viele Zugriffe in der PowerShell intern auf die WMI zurückgreifen, sollten hier gleich die korrekten Berechtigungen berücksichtigt werden. 

Öffnen Sie dazu die Computerverwaltung auf dem System (compmgmt.msc). Unter dem Punkt "Lokale Benutzer und Gruppen" wählen Sie unter Gruppen die Eigenschaften von "Leistungsprotokollbenutzer".



Fügen Sie hier den entsprechenden Benutzer hinzu.





Danach ist es notwendig unter die WMI-Steuerung unter Dienste und Anwendungen anzupassen. Das Element welches uns interessiert ist CIMV2. Gegebenfalls kann es je nach Anwendungszweck notwendig sein auch bei anderen Namespaces Berechtigungen durchzuführen.



Diese Darstellung finden Sie unter Sicherheit --> Erweitert.




Fügen Sie den gewollten Benutzer hinzu mit den aufgeführten Berechtigungen "Methoden ausführen", "Konto aktivieren", "Remoteaktivierung" und unter Anwenden auf "Dieser und untergeordnete Namespaces"

Eine Dokumentation dazu finden Sie auch hier in der MSDN.


Schritt 4 - Dienstberechtigungen setzen


Starten Sie die Eingabeaufforderung (cmd.exe) als Administrator und fügen Sie Zugriff auf den Dienstemanager mit folgendem Befehl:


sc sdset SCMANAGER D:(A;;CCLCRPRC;;;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)



Diese Information basiert auf einer KB Artikel von Microsoft.


Schritt 5 - Test


Zum Abschluss sollten wir einmal kurz testen ob alles erfolgreich angewandt wurde.


Dazu öffnen wir die PowerShell und führen folgenden Befehlsablauf durch:



Geben Sie die Zugangsdaten des Benutzers ein. 



Hat dies geklappt, sollten Sie dies an einer Änderung der Shell sehen können. In unserem Fall haben wir eine Verbindung zum Exchange Server aufgebaut.



Wir können zum Testen noch den Befehl Get-WmiObject Win32_Service |FT eingeben.

Dadurch haben wir zum einen den WMI Zugriff als auch den Dienstkonto-Zugriff durchgetestet.


Nun können Sie im OCC im Exchange Gesundheit Sensor (ab 2013) den Benutzer angeben und sollten erfolgreich die Daten abrufen können :)