none
GPO WMI-Filter Zugriff auf Remote Client RRS feed

  • Frage

  • Hallo zusammen,

    ich habe ein Problem mit WMI Filtern.

    Meine Konfiguration:

    Domain Controller: Windows Server 2008 R2

    Terminal Server: Windows Server 2008 R2 (Anzahl 3)

    Clients: Windows XP/7, ThinClients (nicht in der Domäne)

    Die Clients dienen nur zum Zugriff auf die Terminal Server über eine VPN Verbindung (Sollen auch nicht in die Domäne aufgenommen werden).

    Nun zu meinem Vorhaben:

    Manche User sollen, wenn sie sich von bestimmten Clients aus anmelden kein Zugriff auf Office bekommen.

    Bisherige Konfiguration sieht so aus, dass ich die User die keinen Zugriff bekommen sollen in eine Gruppe gepackt habe. Ich habe eine GPO angelegt die eine Softwarebeschränkung auf den Pfad von MS Office angewandt wird. Sicherheitsfilterung ist die oben genannte Gruppe.

    Dies funktioniert auch wunderbar.

    Um den verwendeten Client herauszufinden habe ich mit einen WMI-Filter angelegt, der folgenden WQL ausführt:

    Namespace: root\CIMv2

    Abfrage: SELECT * FROM Win32_ServerConnection where ComputerName = "IP des Clients"

    Die Abfrage an sich habe ich vom DC aus einem Tool (WMI Filter Validator 1.1 von GPOGUY.com)  getestet und sie funktioniert.

    Ein Test mit einem der User aus der Gruppe führte zu keinem Ergebnis.

    Die Ausgabe von gpresult /r zeigte mir bei Filterung: Verweigert (WMI-Filter).

    Ich wäre über jede Hilfe sehr dankbar.

    Donnerstag, 24. Januar 2013 14:51

Antworten

  • Hallo,

    @Mathias könntest du das mal genauer erläutern?

    So würde dein Item Level Targeting ausschauen:

    Mit Group Policy Preferences Registry musst du nun die Registry-Keys setzen die normalerweise
    von der Software Rescriction Policy gesetzt werden.

    Mittels reg2xml kannst du diese Keys bequem in ein XML file umwandeln.
    http://www.reg2xml.com/


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!



    Freitag, 25. Januar 2013 15:13
    Beantworter
  • Hi sry das ich mich jetzt erst melde. Habe die Lösung gefunden.

    Matthias war fast dran. Nur das mit der Umgebungsvariable hat nicht funktioniert. Ich habe stattdessen das Element Terminalsitzung genommen und den Parameter Clientname. So funktioniert es einwandfrei.

    Vielen dank nochmal an die super Hilfe von allen!!!

    Gruß

    Tobi

    • Als Antwort markiert T.Stollenwerk Dienstag, 29. Januar 2013 08:39
    Dienstag, 29. Januar 2013 08:39

Alle Antworten

  • Am 24.01.2013 15:51, schrieb T.Stollenwerk:
    > Abfrage: SELECT * FROM Win32_ServerConnection where ComputerName = "IP
    > des Clients"
     
    Der Filter funktioniert auf Clients nicht - der liefert
    Remote-Verbindungen zum lokalen Serverdienst, und das dürfte auf dem
    Client-Computer eher "leer" sein...
     
    Warum nicht einfach win32_computersystem where name = "Name des Rechners"?
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 24. Januar 2013 16:36
    Beantworter
  • Am 24.01.2013 schrieb Martin Binder:

    Am 24.01.2013 15:51, schrieb T.Stollenwerk:

    Abfrage: SELECT * FROM Win32_ServerConnection where ComputerName = "IP
    des Clients"

     
    Der Filter funktioniert auf Clients nicht - der liefert Remote-Verbindungen zum lokalen Serverdienst, und das dürfte auf dem Client-Computer eher "leer" sein...
     
    Warum nicht einfach win32_computersystem where name = "Name des Rechners"?

    Kommt da nicht immer der TS als Antwort? Für den Client, der sich am
    TS anmeldet gibt es eine eigene Variable: CLIENTNAME Wie die in einer
    WMI-Abfrage zu verwenden ist, weiß ich allerdings nicht.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 24. Januar 2013 19:11
  • Hallo,

    SELECT * FROM Win32_ServerConnection where ComputerName = "IP des Clients"

    Mein Gefühl sagt mir, dass kann nicht funktionieren.
    Die WMI Abfrage wird als SYSTEM ausgeführt und kann so nicht einen benutzerspezifischen Wert abfragen.
    Die WMI Abfrage wird ja noch vor der Unterscheidung User- bzw. Computerkonfiguration gefällt und gilt für die gesamte Policy.

    Du musst an dieser Stelle einen Workaround bauen.

    Das Zauberwort heißt Group Policy Preferences.
    Dort kannst du die Variable %CLIENTNAME% ansprechen.

    Hier müsstest du allerdings zum Setzen deiner Einstellungen auch wieder Group Policy Preferences benutzen:
    z.B. GPP Regisry.

    So eine ganz tolle Lösung für dein Problem fällt mir auf die Schnelle nicht ein.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Donnerstag, 24. Januar 2013 20:00
    Beantworter
  • Hi,

    Am 24.01.2013 15:51, schrieb T.Stollenwerk:

    Abfrage: SELECT * FROM Win32_ServerConnection where ComputerName =
    "IP des Clients"

    Am TerminalServer wirds hässlich.
    ClientName und Session stehen zwar im "set" des Benutzers, gehören aber zum Volatile Environment und landet nicht im WMI Store.

    Die GPPs nutzen eigene Variablen, damit gehts wie Matthias vorschlug.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 24. Januar 2013 20:36
  • Was ist denn zur Zeit mit dem Forum los?

    Beide Antworten hatte ich definitiv noch nicht gesehen.

    In den letzten Tagen hinken die Aktualisierungen etwas hinterher!


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Donnerstag, 24. Januar 2013 20:47
    Beantworter
  •  
    > Kommt da nicht immer der TS als Antwort? Für den Client, der sich am
    >
     Oops - hab das mit TS völlig übersehen ;-))
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 24. Januar 2013 21:11
    Beantworter
  •  
    > Das Zauberwort heißt Group Policy Preferences.
    >
    > Dort kannst du die Variable %CLIENTNAME% ansprechen.
    >
    > Hier müsstest du allerdings zum Setzen deiner Einstellungen auch
    > wieder Group Policy Preferences benutzen:
    > z.B. GPP Regisry.
    >
     
    Jepp. Aus dem Dilemma kommt man mit WMI-Filtern nicht raus, da WMI
    blöderweise
     
    a) immer alle User-Profile und überhaupt alles sieht
    b) kein Volatile Environment kennt (hat Mark schon geschrieben)
    c) keine Variablen in den Filterbedingungen erlaubt
     
    Peng.
     
    Mir würde spontan die GPP "Local Users and Groups" (im Benutzerteil
    natürlich) einfallen - wenn man eine TS-lokale Gruppe berechtigt und den
    User dann per GPP/ILT in diese Gruppe steckt oder rausnimmt, sollte es
    gehen.
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 24. Januar 2013 21:18
    Beantworter

  • Du musst an dieser Stelle einen Workaround bauen.

    Das Zauberwort heißt Group Policy Preferences.
    Dort kannst du die Variable %CLIENTNAME% ansprechen.

    Hier müsstest du allerdings zum Setzen deiner Einstellungen auch wieder Group Policy Preferences benutzen:
    z.B. GPP Regisry.

    Danke schon mal an alle für die schnelle Hilfe!

    @Mathias könntest du das mal genauer erläutern?

    Danke

    Gruß

    Tobi


    Freitag, 25. Januar 2013 13:16
  •  
    > @Mathias könntest du das mal genauer erläutern?
     
     
    Beschreibt zwar nicht exakt Deine Anforderung, aber die Richtung stimmt
    schon mal ;-)
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Freitag, 25. Januar 2013 13:29
    Beantworter
  • Hallo,

    @Mathias könntest du das mal genauer erläutern?

    So würde dein Item Level Targeting ausschauen:

    Mit Group Policy Preferences Registry musst du nun die Registry-Keys setzen die normalerweise
    von der Software Rescriction Policy gesetzt werden.

    Mittels reg2xml kannst du diese Keys bequem in ein XML file umwandeln.
    http://www.reg2xml.com/


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!



    Freitag, 25. Januar 2013 15:13
    Beantworter
  • Hallo Tobi,

    ist jetzt die Thematik abgeklärt?

    Wenn ja, bitte auch die Antworten markieren, die Dir geholfen haben, so dass auch andere davon profitieren können.

    Gruss,
    Raul


    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 28. Januar 2013 08:57
  •  
    > Mit Group Policy Preferences Registry musst du nun die Registry-Keys
    > setzen die normalerweise
    > von der Software Rescriction Policy gesetzt werden.
     
    Ich würde nen (IMHO) einfacheren Weg gehen:
     
    Lokale Gruppe auf dem TS anlegen (Computerkonfiguration - Einstellungen
    - Systemsteuerung - lokale Benutzer und Gruppen). Diese lokale Gruppe
    auf das Programmverzeichnis berechtigen (Computerkonfiguration -
    Richtlinien - Windows-Einstellungen - SIcherheitseinstellungen -
    Dateisystem). Bei der Benutzeranmeldung den User in die lokale Gruppe
    aufnehmen oder daraus entfernen (Benutzerkonfiguration - Einstellungen -
    Systemsteuerung - Lokale Benutzer und Gruppen).
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Montag, 28. Januar 2013 11:53
    Beantworter
  • Hi sry das ich mich jetzt erst melde. Habe die Lösung gefunden.

    Matthias war fast dran. Nur das mit der Umgebungsvariable hat nicht funktioniert. Ich habe stattdessen das Element Terminalsitzung genommen und den Parameter Clientname. So funktioniert es einwandfrei.

    Vielen dank nochmal an die super Hilfe von allen!!!

    Gruß

    Tobi

    • Als Antwort markiert T.Stollenwerk Dienstag, 29. Januar 2013 08:39
    Dienstag, 29. Januar 2013 08:39