none
WMI фильтр выбор всех пользователей вне определенной группы RRS feed

  • Вопрос

  • Здравствуйте,

    Есть необходимость в создании WMI фильтра, чтобы в итоге оставались только пользователи не входящие в определенную группу, например 1.

    Сделал фильтр выборки пользователей входящих в группу, такой: Select * from Win32_GroupUser Where GroupComponent="Win32_Group.Domain='my_domain',Name='1'"

    Если сделать так: Select * from Win32_GroupUser Where NOT GroupComponent="Win32_Group.Domain='my_domain',Name='1'" вывод всех пользователей входящих в другие группы, при этом часть пользователей может входить и в группу 1.

    Помогите решить задачу.

    23 октября 2014 г. 7:10

Все ответы

  • а зачем вам wmi фильтр? секурити фильтеринг не катит?
    23 октября 2014 г. 9:56
  • Запретить применение политики для конкретной группы? Я пробовал, делать так:


    Основной вопрос закрыть USB порты, есть две политики одна закрывает, другая открывает.

    Та что закрывает применяется всем кроме группы 1, та что открывает применяется только группе 1 и не применяется всем. В таком случае USB вырубается у всех. Насколько я понял дело, в приоритете запрета. Поэтому решил поставить фильтр.


    Если убрать политику которая открывает, то порты закрываются у тех кого надо. Но когда пользователя у которого уже была применена политика добавляю в группу 1, порты все равно недоступны.
    • Изменено ANT Ufa 23 октября 2014 г. 10:17
    23 октября 2014 г. 10:14
  • Так... Вам нужно pапретить использовать USB всем кроме членов определенной группы, пусть будет AllowUSB. Так?

    Под USB вы имеете в виду Mass Storage Device или вообще все девайсы(мышки, принтеры там и прочее)

    23 октября 2014 г. 10:43
  • Mass Storage Device, политика уже есть.
    Да нужно запретить всем кроме членов определенной группы.
    23 октября 2014 г. 10:49
  • Как делали?

    Так:

    https://support.microsoft.com/kb/823732?wa=wsignin1.0

    или через

    Computer Configuration\Administrative Templates\System\Removable Storage Access

    ???

    И проблема у вас в том что однажды примененная политика запрета не отменяется?

    23 октября 2014 г. 10:57
  • Статью по которой делал найти не могу, но примерно так http://computersvc.ru/content/zapret-usb-flash-nakopitelei-windows

    Да проблема в том, что если включаешь в группу AllowUSB политика запрета не отменяется.
    23 октября 2014 г. 10:59
  • Короче у вас windows XP есть или нет?

    И да вы политику делали через юзерскую часть или компьютерную?

    В принципе если у вас есть 2 политики - запрещающая и разрешающая и они настроены правильно по фильтрации по группам(security filtering) - то возможно вы просто не в том порядке их применяете(порядок определяется через link order).

    Использование WMI фильтров тут вообще не к селу не к городу.

    23 октября 2014 г. 11:10
  • XP есть, через компьютерную.

    Подробнее про приоритеты применения политик напишите, пожалуйста.

    23 октября 2014 г. 11:15
  • http://technet.microsoft.com/ru-ru/library/cc785665%28v=ws.10%29.aspx

    в частности если у вас 2 политики на однои том же уровне то их порядок применения определяется следующим:

    На уровне каждого подразделения в иерархии Active Directory могут быть связаны один, несколько или ни одного объекта групповой политики. Обработка нескольких объектов групповой политики, связаных с подразделением, осуществляется в порядке, заданном администратором или в порядке, заданном для подразделения на вкладке Связанные объекты групповой политики консоли управления групповой политикой. Объект групповой политики с наименьшим порядковым номером ссылки обрабатывается последним и, следовательно, имеет наивысший приоритет.

    т.е. в данном случае первой будет применятся Default domain policy, затем DenyUSB и лишь затем Allow USB. Соответственно одни и те же если значения в разных политиках переопределяются то выйгрывает та что применилась посленней(т.е. AllowUSB  в данном примере).

    • Изменено Svolotch 23 октября 2014 г. 11:48
    23 октября 2014 г. 11:20
  • Через компьютерную часть политики???

    и фильтровали через членство ЮЗЕРА? Без лупбака?

    23 октября 2014 г. 11:40
  • Я тему с loopback не совсем понял. Нашел, где выбирать замену и слияние. А принцип работы не ясен :( Сейчас я так понимаю отрабатывает так, комп перезагружаю и компьютерные политики применяются. Если под другим пользователем захожу, то тоже нужна перезагрузка, нет?

    23 октября 2014 г. 11:44
  • так... про лупбак попозже...

    если лупбак не был включен то  фильтрация политик применяется слудующим образом -

    все то что вы задали в компьютерной части политики будет фильтроваться в зависимости от членства компьютера!!! и указание на запрет и разрешение применения политики по отношению к пользователю не будет иметь никакого эффекта. Собственно то же утверждение верно и для WMI фильтра.

    23 октября 2014 г. 12:06
  • Как это исправить? :)
    24 октября 2014 г. 4:25
  • XP есть, через компьютерную.

    Подробнее про приоритеты применения политик напишите, пожалуйста.

    У вас группа пользователей, а политику используете компьютерную - противоречие, так не будет работать.

    Вы определитесь точнее. На Windows 7 вы можете управлять внешними устройствами пользовательской политикой, а вот для Windows XP работает только политика на компьютер.


    Сазонов Илья http://isazonov.wordpress.com/

    24 октября 2014 г. 17:00
    Модератор
  • Да я это уже понял, вопрос в том, как реализовать запрет для флешек всем кроме определенной группы пользователей. Учитывая то, что есть компы и с ХР и с 7-кой.
    27 октября 2014 г. 3:31
  • Вы разделите задачу на две.

    Для Windows 7 сделайте просто политику на пользователя.

    Для Windows XP так не получится сделать: запрет может быть выполнен только для компьютера - поэтому вам нужно найти какой-то компромисс, например составить список компьютеров с Windows XP и запретить на них флешки, либо усложнить систему и использовать какие-то скрипты и т.п., но насколько это оправдано будет так всё усложнять? Попробуйте начать с простого.


    Сазонов Илья http://isazonov.wordpress.com/

    27 октября 2014 г. 3:54
    Модератор