Möchtest Du nicht den Domänenadministrator in PowerShell basierten Sensoren nutzen (zum Beispiel für den Sensor "Exchange Gesundheit"), kannst Du auch einen normalen Benutzer mit den notwendigen Berechtigungen ausstatten.
Schritt 1 - Vorbereitungen (Exchange)
Wenn Du die Exchange Sensoren nutzen willst, muss der Benutzer unbedingt der Exchange Security Gruppe "Organization Management angehören".
Schritt 2 - Endpoint Vorbereitungen PowerShell
Auf dem System wohin der Benutzer eine Verbindung aufbauen soll/darf, führst Du folgenden Befehl durch in einer als Administrator gestarteten PowerShell.
- Set-PSSessionConfiguration -Name Microsoft.PowerShell -ShowSecurityDescriptorUI -Force
Im aufgehenden Dialog musst Du explizit die Rechte für Lesen/Ausführen vergeben:
Bei weiteren Fragen kannst Du hierzu auch den Blog Artikel von Microsoft nutzen.
Schritt 3 - WMI Berechtigungen
Da viele Zugriffe in der PowerShell intern auf die WMI zurückgreifen, sollten hier gleich die korrekten Berechtigungen berücksichtigt werden.
Öffne dazu die Computerverwaltung auf dem System (compmgmt.msc). Unter dem Punkt "Lokale Benutzer und Gruppen" wählst Du unter Gruppen die Eigenschaften von "Leistungsprotokollbenutzer".
Füge hier den entsprechenden Benutzer hinzu:
Danach ist es notwendig unter die WMI-Steuerung unter Dienste und Anwendungen anzupassen. Das Element welches uns interessiert ist CIMV2. Gegebenfalls kann es je nach Anwendungszweck notwendig sein auch bei anderen Namespaces Berechtigungen durchzuführen.
Diese Darstellung findest Du unter Sicherheit --> Erweitert.
Füge den gewollten Benutzer hinzu mit den aufgeführten Berechtigungen "Methoden ausführen", "Konto aktivieren", "Remoteaktivierung" und unter Anwenden auf "Dieser und untergeordnete Namespaces".
Eine Dokumentation dazu findest Du auch hier in der MSDN.
Schritt 4 - Dienstberechtigungen setzen
Starte die Eingabeaufforderung (cmd.exe) als Administrator und füge Zugriff auf den Dienstemanager mit folgendem Befehl hinzu:
sc sdset SCMANAGER D:(A;;CCLCRPRC;;;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
Diese Information basiert auf einem KB Artikel von Microsoft.
Schritt 5 - Test
Zum Abschluss sollten wir einmal kurz testen ob alles erfolgreich angewandt wurde.
Dazu öffnen wir die PowerShell und führen folgenden Befehlsablauf durch:
- $mySession = New-PSSession -ConfigurationName Microsoft.PowerShell -ConnectionUri http://DerServerNameNichtDieIP:5985/wsman -Credential Get-Credential -Authentication kerberos
Gebe die Zugangsdaten des Benutzers ein:
Hat dies geklappt, solltest Du das an einer Änderung der Shell sehen können. In unserem Fall haben wir eine Verbindung zum Exchange Server aufgebaut.
Wir können zum Testen noch den Befehl Get-WmiObject Win32_Service |FT eingeben.
Dadurch haben wir zum einen den WMI Zugriff als auch den Dienstkonto-Zugriff durchgetestet.
Nun kannst Du im OCC im Exchange Gesundheit Sensor (ab 2013) den Benutzer angeben und solltest erfolgreich die Daten abrufen können: