none
WMI FIlter auf Computername RRS feed

  • Frage

  • Hallo,

    ich möchte einen WMI Filter auf den Computernamen setzen, der die GPO NICHT anwendet, wenn der Conputername ein bestimmter Name ist.

     

    Mit "SELECT * FROM Win32_ComputerSystem WHERE Name = 'NAME' " kan ich ja die GPO ausführen lassen, was brauche ich aber, um das Gegenteil zu erreichen? Etwa ..WHERE Name != 'NAME'  ?

     


    Viele Grüße Dirk
    Mittwoch, 13. Juli 2011 12:42

Antworten

  • Hi,

    Am 14.07.2011 10:44, schrieb -Dirk-:

    Ich könnte jetzt natürlich parallel zur obersten OU eine neue OU machen,

    nein, du könntest eine Sicherheitsgruppe bauen, die die Software nicht
    erhalten soll, darin alle Computer packen und dann in der Delegation das
    "lesen" für diese Gruppe explizit verweigern.

    Dann höötest du einen Sicherheitsfilter anstelle eines WMI, der
    grundsätzlich performanter ist.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 14. Juli 2011 11:06
  • Am 14.07.2011 13:57, schrieb -Dirk-:

    also ein "Verweigern" in der Delegation gibt es bei mir nicht,

    Doch! -> Reiter Delegation -> unten rechts -> Schaltfläche "Erweitert".

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 14. Juli 2011 12:31

Alle Antworten

  • Hi,

    Am 13.07.2011 14:42, schrieb -Dirk-:

    Mit "SELECT * FROM Win32_ComputerSystem WHERE Name = 'NAME' " kan
    ich ja die GPO ausführen lassen, was brauche ich aber, um das
    Gegenteil zu erreichen? Etwa ..WHERE Name != 'NAME'  ?

    Passt. Bist schon fertig.

    Oder:
    ... where NOT name = xxx (Exchange sonderfall, AFAIR)
    ... where name <> name
    ... where name IS NOT xxx

    WQL Operators
    http://msdn.microsoft.com/en-us/library/aa394605%28v=vs.85%29.aspx

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 13. Juli 2011 15:20
  • Wozu???
     
    WMI-Filter nimmt man nur, wenn es nicht per SOM (Verlinkung) oder
    Delegation zu lösen ist - WMI-Filter kosten viel Zeit... Und ein Rechner
    hat einen Account, den kannst Du also in der Delegation eintragen.
     
    Falls Du hier eine User-Policy hast: Auch das geht seit Vista mit
    Delegation und Loopback, weil ab Vista der Computer Leserechte auf die
    GPO braucht, damit sie per Loopback im Computerkontext angewendet wird.
     
    Merke: WMI-Filter sind nützlich, aber böse ;-))
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Mittwoch, 13. Juli 2011 20:05
    Beantworter
  • Danke Mark, funktioniert!
    Viele Grüße Dirk
    Donnerstag, 14. Juli 2011 08:36
  • Hi Martin,

    ich habe eine verschachtelte OU-Struktur, bei der auf jeder OU-Ebene verschiedene GPOs wirken und natürlich Computer in den OUs sind. Nun soll eine Software installiert werden, die auf alle PCs in den OUs soll mit Ausnahme von einem.

    Ich könnte jetzt natürlich parallel zur obersten OU eine neue OU machen, den einen PC dort reinstecken und alle GPOs neu zuweisen. Bei einer Änderung oder bei neuen GPOs dann halt wieder und wieder.

    Momentan ist die Softwareinstallations-GPO auf der der obersten Ebene aktiv mit über WMI ausgefiltertem Rechnername - funktioniert prima, einen nennenswerten Zeitverzug habe ich nicht sehen können (wobei Du natürlich rechst hast, WMI verzögert).

    Das mit der Delegation habe ich nicht begriffen. Dort könnte ich zwar alle Rechner eintragen, die die GPO bekommen sollen, aber keinen ausschließen. Das Ausschlußverfahren ist aber das einzig sinnvolle hier, da sich die Gruppe der Rechner, die die GPO bekommen sollen, ab und an ändert, während der ausgeschlossene Rechner konstant bleibt.


    Viele Grüße Dirk
    Donnerstag, 14. Juli 2011 08:44
  • Hi,

    Am 14.07.2011 10:44, schrieb -Dirk-:

    Ich könnte jetzt natürlich parallel zur obersten OU eine neue OU machen,

    nein, du könntest eine Sicherheitsgruppe bauen, die die Software nicht
    erhalten soll, darin alle Computer packen und dann in der Delegation das
    "lesen" für diese Gruppe explizit verweigern.

    Dann höötest du einen Sicherheitsfilter anstelle eines WMI, der
    grundsätzlich performanter ist.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 14. Juli 2011 11:06
  • Hi Mark,

    also ein "Verweigern" in der Delegation gibt es bei mir nicht, ich kann höchstens "Lesen", "Sicherheit ändern" etc. für neue Gruppen zulassen. Somit könnte ich eine Computergruppe bauen und nur die PCs reinnehmen, die die Software bekommen sollen und in der Delegation die "authentifizierten Benutzer" rausnehmen.


    Viele Grüße Dirk
    Donnerstag, 14. Juli 2011 11:57
  • Am 14.07.2011 13:57, schrieb -Dirk-:

    also ein "Verweigern" in der Delegation gibt es bei mir nicht,

    Doch! -> Reiter Delegation -> unten rechts -> Schaltfläche "Erweitert".

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 14. Juli 2011 12:31
  • Ahhh - das ist natürlich elegant! Muss man aber erst mal finden....

    Danke!

     


    Viele Grüße Dirk
    Donnerstag, 14. Juli 2011 14:16