none
HowTo WMI-Filter an GPO ohne GPO-Inhalte ändern zu können RRS feed

  • Frage

  • Hallo zusammen,

    ich such nach einer Möglichkeit Rechte für eine Gruppe so zu setzen, dass sie WMI-Filter an definierte GPOs hängen darf, ohne die GPO-Einstellungen verändern zu können.

    Bisher sind meine Versuche leider erfolglos, d.h. sobald das Recht ausreichend ist um einen WMI-Filter auszuwählen, können auch die GPO-Einstellungen verändert werden - was die entsprechenden Admins aber nicht können dürfen (sollen)... (feiner deutsch)

    Wer hat eine Idee?



    Regards/Grüße, Jens Klein

    Donnerstag, 21. Oktober 2021 16:10

Alle Antworten

  • Moin,

    eine stabile Lösung mit Bordmitteln wirst Du vermutlich nicht erreichen. Die Zuweisung des WMI-Filters ist im Attribut gPCWQLFilter des Group Policy-Objekts im AD gespeichert. Du könntest versuchen, an eine Gruppe das Recht "write gPCWQLFilter" zu delegieren. Ob die GPMC das dann korrekt interpretiert, wage ich zu bezweifeln. Aber --> Probieren geht über Studieren!

    EDIT: Aber könntest Du vielleicht den Use Case skizzieren, der zu dieser Anforderung geführt hat?


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Donnerstag, 21. Oktober 2021 17:14
  • Hallo Jens,

    Werfen Sie einen Blick auf den nächsten Artikel, in dem beschrieben wird, wie Berechtigungen über das Filtern ohne Mitgliedschaft in der GPO-Berechtigungsberechtigung delegiert werden:

    So delegieren Sie Berechtigungen für eine Gruppe oder einen Benutzer für einen WMI-Filter
    https://docs.microsoft.com/de-DE/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn789195(v=ws.11)

    Hoffe das hilft bei deiner Anfrage,

    --Wenn die Antwort hilfreich ist, bitte Upvote und als Antwort akzeptieren--
    Freitag, 22. Oktober 2021 19:07
  • Hallo,

    den Artikel kenne ich: er beschreibt 'nur' das Recht auf WMI-Filter-Bearbeitung.

    Ich suche aber das spezielle Recht, einen WMI-Filter X an eine GPO Y zu hängen, ohne die Inhalte der GPO verändern zu können.


    Regards/Grüße, Jens Klein

    Mittwoch, 27. Oktober 2021 08:22
  • Hallo Evgenij,

    mit 'write gPCWQLFilter' bin ich noch noch nicht weiter gekommen, vielleicht bin ich 'zu wenig' Programmierer, um das hin zu bekommen...  ;-)

    Use Case: frei nach dem Least Privilege-Prinzip und den JEA-/JIT- und PAM-Gedanken sollen die möglichen Admin-Aufgaben 'zerlegt' und die Rechte Aufgabenbezogen minimiert werden... Und eine Admin-Aufgabe ist eben das jemand nur WMI-Filter erzeugen/bearbeiten kann und eine andere Aufgabe ist, einen WMI-Filter an eine definierte GPO zu hängen, ohne die GPO selber anpassen zu können...

    Ich weiß, ist nicht ganz die 'Standard-Anforderung', aber die Notwendigkeit nach JEA/JIT/PAM zu arbeiten ist ja bei den meisten Admins auch noch nicht akzeptiert/angekommen...   ;-)   


    Regards/Grüße, Jens Klein

    Mittwoch, 27. Oktober 2021 08:34
  • mit 'write gPCWQLFilter' bin ich noch noch nicht weiter gekommen, vielleicht bin ich 'zu wenig' Programmierer, um das hin zu bekommen...  ;-)


    Da muss man kein Programmierer sein, das Recht ist im Advanced Security-Dialog enthalten. Es ist natürlich frustrierend, danach zu suchen ;-) 

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 27. Oktober 2021 08:45
  • Guten Morgen Evgenij,

    ok, da habe ich es wirklich übersehen. Aber leider reicht dieses Recht alleine nicht.

    Auch die Kombination aller Einzel-Rechte ist nicht ausreichend, um WMI-Filter an eine GPO hängen zu können. Erst wenn man unter Berechtigungen den Haken setzt bei Alle Eigenschaften schreiben oder unter Eigenschaften den Haken bei Alle Eigenschaften schreiben auswählt, kann man einen WMI-Filter an diese GPO hängen - aber leider dann auch die GPO inhaltlich verändern... 

    Es scheint, als wenn die Einzelrechte nicht wirklich alle aufgeführt sind... 


    Regards/Grüße, Jens Klein

    Donnerstag, 28. Oktober 2021 07:27