Windows Management Instumentation (WMI)
Was ist die Windows Management Instumentation (WMI)?
Windows Management Instumentation (WMI) ist eine Reihe von Spezifikationen von Microsoft. So ist die Verwaltung von Geräten und Anwendungen in einem Netzwerk von Windows-Computersystemen aus möglich. WMI liefert Benutzern Informationen über den Status von lokalen oder entfernten Computersystemen.
WMI soll Administratoren bei der Verwaltung verschiedener Windows-Betriebsumgebungen, einschließlich entfernter Systeme, helfen. Ein großer Vorteil von WMI ist, dass es die Wartung und die Kosten für die Verwaltung von Unternehmensnetzwerkkomponenten reduziert.
WMI ist auf den neuesten Betriebssystemen von Microsoft vorinstalliert. In Betriebssystemen vor Windows 10 stellte der Hersteller eine Befehlszeilenschnittstelle (CLI) für WMI bereit, die als WMI Command Line (WMIC) bekannt ist. WMIC ist mit den vorhandenen Shells und Dienstprogrammbefehlen in diesen früheren Versionen von Windows kompatibel.
WMI als eine Implementierung von WBEM
WMI ist Microsofts Implementierung der Web-Based-Enterprise-Management-Initiative (WBEM) für unterstützte Windows-Plattformen. WBEM ist eine branchenweite Initiative zur Entwicklung von Verwaltungsinfrastrukturstandards für den Zugriff auf und die Kombination von Informationen aus verschiedenen Hardware- und Softwareverwaltungssystemen in einer IT-Umgebung eines Unternehmens.
WBEM basiert auf dem Common Information Model (CIM), einem Standard der Computerindustrie zur Definition von Geräte- und Anwendungsmerkmalen. CIM ermöglicht es Systemadministratoren und Verwaltungsprogrammen, Geräte und Anwendungen von verschiedenen Herstellern oder Quellen zu steuern. Es wird von der DMTF (früher bekannt als Distributed Management Task Force) entwickelt.
Ein tiefer Einblick in WMI
WMI bietet den Benutzern ein einheitliches Modell für den Betrieb, die Konfiguration und den Status von Windows in Unternehmensnetzwerken. Es bietet eine COM-API, die den Zugriff auf Verwaltungsinformationen über den Status lokaler oder entfernter Computersysteme ermöglicht. Entfernte WMI-Verbindungen werden über das Distributed Component Object Model (DCOM) hergestellt.
Ein WMI-Toolkit bietet verschiedene Erweiterungen des Windows-Treibermodells. Dieses Modell bietet eine Betriebssystemschnittstelle für wichtige Informationen und verschiedene Arten von Benachrichtigungen.
Entwickler und IT-Administratoren können WMI-Skripte oder Anwendungen schreiben, um Verwaltungsaufgaben auf entfernten Computern zu automatisieren. Für die Erstellung dieser Skripte oder Anwendungen ist es nicht erforderlich, ein spezielles Software Development Kit (SDK) herunterzuladen oder zu installieren. Verwaltungsanwendungen oder Skripte können Operationen durchführen oder Daten über WMI in einer Vielzahl von Programmiersprachen abrufen.
WMI unterstützt nicht nur Skripte, sondern liefert auch Verwaltungsdaten an andere Teile des Betriebssystems und Produkte, einschließlich Microsoft System Center Operations Manager (SCOM) und Windows Remote Management (WinRM).
WMI unterstützt Aktionen wie:
- Konfiguration von Sicherheitseinstellungen
- Einstellung und Änderung von Systemeigenschaften
- Einstellung und Änderung von Berechtigungen für autorisierte Benutzer und Benutzergruppen
- Zuweisung und Änderung von Laufwerksbezeichnungen
- Planung von Prozessen, die zu bestimmten Zeiten ausgeführt werden
- Sicherung des Objekt-Repositorys
- Aktivierung oder Deaktivierung der Fehlerprotokollierung
Architektur der Windows Management Instrumentation
WMI bietet eine einheitliche Schnittstelle, so dass WMI-Client-Anwendungen und -Skripte nicht mehrere System-APIs aufrufen müssen. Außerdem bietet die flexible und erweiterbare Architektur Unterstützung für neue Geräte, Anwendungen und andere Erweiterungen.
Die drei Kernelemente der WMI-Architektur sind:
1. Verwaltungsinfrastruktur
- CIM Object Manager (CIMOM), der Anwendungen einen einheitlichen Weg zum Zugriff auf Verwaltungsdaten bietet
- CIMOM Object Repository, ein zentraler Storage-Bereich für Managementdaten
2. WMI-Anbieter
- Vermittler zwischen CIMOM und verwalteten Objekten
- Schlüsselfunktionen:
- WMI-APIs versorgen das CIMOM mit Daten aus verwalteten Objekten.
- Anfragen werden im Namen von Verwaltungsanwendungen bearbeitet.
- Ereignisbenachrichtigungen werden erzeugt.
3. WMI-Nutzer
- Verwaltungsanwendung, Skript, das mit der WMI-Infrastruktur folgendermaßen interagiert:
- Abfrage und Aufzählung von Daten
- Ausführung von Provider-Methoden
- Abonnement von Ereignissen
Komponenten der Windows Management Instrumentation
Die wichtigsten WMI-Komponenten sind die folgenden:
- verwaltete Objekte: Objekte sind alle physischen Einheiten/Komponenten oder Dienste, die über WMI verwaltet werden, wie zum Beispiel Festplattenlaufwerke, Netzwerkadapter oder Betriebssysteme.
- WMI-Anbieter: COM-Objekte (Component Object Model) überwachen ein oder mehrere verwaltete Objekte für WMI.
- WMI-Infrastruktur: Diese Komponente des Windows-Betriebssystem besteht aus dem WMI-Kern und dem WMI-Repository.
- WMI-Repository: Der zentrale, vom CIMOM verwaltete und nach WMI-Namensräumen organisierte Storage-Bereich speichert statische Daten über Objekte, zum Beispiel die vom WMI-Anbieter definierten Klassen.
- WMI-Dienst: Dieser Dienst dient als Vermittler zwischen den Verwaltungsanwendungen (Providern) und dem WMI-Repository.
- WMI-Nutzer: Das ist eine Verwaltungsanwendung oder ein Skript, das Abfragen sendet, indem es die COM-API für WMI oder die Scripting-API für WMI aufruft.
Wie verwenden Administratoren WMI?
Administratoren können WMI in allen Windows-basierten Anwendungen verwenden. Besonders effektiv ist es in Unternehmensanwendungen und Verwaltungsskripten. Beliebte Verwendungszwecke sind unter anderem:
- Verwaltung entfernter Computer
- Austausch von Verwaltungsinformationen zwischen Anwendungen
- Einheitlicher Zugriff auf Verwaltungsdaten aus beliebigen Quellen
- Überwachung von Windows-basierten Systemen und Netzwerken
- Überwachung von Aktivitäten in einem Unternehmensnetzwerk als Teil eines UEBA-Systems (User Entity Behavior Analytics)
- Überwachung anomaler Ereignisse und potenziell verdächtiger Verhaltensweisen sowie Überprüfung auf Insider-Bedrohungen
Ausführung einer WMI-Abfrage
Der einfachste Weg, eine WMI-Abfrage auszuführen, ist, WMIC in der Standard-Windows-Eingabeaufforderung auszuführen:
1. Öffnen Sie die Eingabeaufforderung.
2. Geben Sie WMIC ein und drücken Sie die Eingabetaste, um das Programm aufzurufen.
3. Sobald die WMIC-Eingabeaufforderung geöffnet ist, führen Sie verschiedene WMI-Abfragen aus und erhalten die gewünschten Informationen als Ausgabe.
4. Die Ergebnisse werden in der Eingabeaufforderung angezeigt.
Starten und Beenden des WMI-Dienstes
Der Dienst winmgmt.exe ermöglicht die Ausführung von WMI auf einem lokalen Computer. WMI wird automatisch beim Systemstart initiiert oder startet automatisch, wenn die erste Management-/Überwachungsanwendung oder das erste Skript eine Verbindung zum WMI-Namensraum sucht.
So starten Sie einen WMI-Dienst:
1. Gehen Sie zur Eingabeaufforderung.
2. Geben Sie net start wnmgmt[/<switch>] ein.
3. Je nach WMI-Dienst werden einige Dienste nicht automatisch gestartet.
So stoppen Sie einen WMI-Dienst:
1. Navigieren Sie zur Eingabeaufforderung.
2. Geben Sie net stop winmgmt ein.
Hinweis: Wenn Sie den WMI-Dienst stoppen, werden auch alle abhängigen Dienste gestoppt.
Windows Management Infrastructure
Die aktuelle Generation von WMI ist als Windows Management Infrastructure (MI) bekannt. Die MI-API enthält die Schnittstellen, Aufzählungen, Strukturen und Unions, die Entwickler benötigen, um native WMI-Anbieter und -Clients zu erstellen. Laut Microsoft ist WMI vollständig kompatibel mit früheren Versionen von WMI, das heißt auf neuere Versionen, die mit dem MI-Framework geschrieben wurden, kann mit WMI-Skripten und -Anwendungen zugegriffen werden.