Jump to content
Sign in to follow this  
buedi

WMI Filter für lokale Admins erstellen

Recommended Posts

Hallo zusammen,

habe eine Frage an die WMI Experten. Ich möchte in einer GPO einen WMI Filter setzen, damit die lokalen Administratoren diese Policy nicht bei der Anmeldung am System ausführen.

 

Dies kann nur über einen WMI Filter erfolgen, da man in den Security Einstellungen einer GPO keine Möglichkeit hat, auf lokale Admingruppen zuzugreifen - ist ja auch irgendwie logisch.

 

Kann mir jemand bei dem WMI Filter behilflich sein? Suche schon die ganze Zeit in dem Bereich "select * from win32_UserAccount" rum, aber da scheine ich doch an der falschen Stelle zu sein.

 

Bin um jede Hilfe dankbar.

 

Viele Grüße

Thomas

Share this post


Link to post

Wenn Du in den Sicherheitsfilterungen der GPO die Benutzer oder eine Gruppe aus der Domain einträgst, bekommen die lokalen Admins davon nichts mit.

Share this post


Link to post

Das ist ja genau das was ich sage, deswegen möchte ich ja auch einen WMI Filter einsetzen, da dieser ja auf der lokalen Maschine ausgeführt wird.

Share this post


Link to post

Da die GPO bei der Anmeldung des lokalen Administrators eh nicht verarbeitet (zumindest die Benutzereinstellungen), braucht man ja keinen WMI-Filter.

Oder meinst Du Domänen-Benutzer, die lokale Admin-Rechte haben?

Share this post


Link to post

Hallo Stephan,

 

ja genau das meine ich. Ich habe Domänenbenutzer die lokale Administratoren auf einzelnen Maschinen sind und für diese Leute sollten die Richtlinien nicht angewendet werden. Und das es immer unterschiedliche Leute auf unterschiedlichen Systemen sind, es aber nur eine Policy betrifft, kann ich nicht mit Securityfiltern arbeiten.

 

Ich benötige daher einen WMI Filter, der auf die lokalen Admingruppen der jeweiligen Maschinen geht.

Share this post


Link to post

Moin,

 

zumindest die naheliegenden WMI-Klassen Win32_User und Win32_Group funktionieren nicht, denn beide haben keine Daten über Gruppenmitgliedschaften. Eine schnelle Google-Abfrage hat mir deine Frage auch nur ohne Lösung ausgegeben.

 

Da dürfte es schwierig sein, denn wenn ich mich recht erinnere, können GPO-WMI-Filter nur auf den Namespace CIMV2 zugreifen. Da fällt mir jetzt keine andere Klasse ins Auge, die solche Daten enthalten könnte. Zumal du ja eigentlich ein "IfMember" brauchst, also die Information, ob der gerade angemeldete User Mitglied der Gruppe ist - die WMI-Klasse müsste genau diese Verbindung schon selbst herstellen, denn mit Variablen kannst du in dem Filter ja nicht arbeiten.

 

Was genau soll denn für lokale Admins nicht angewendet werden?

 

Gruß, Nils

Share this post


Link to post

was macht denn die user zu lokalen admins?

entweder sie sind domain admins, du hast per restricted groups die user in die lokale admin gruppe eingefügt oder sie manuell zu mitgliedern der lok. admin-gruppe gemacht.

 

je nachdem wie du das gemacht hast, kommen wir vielleicht so auf eine lösung.

Share this post


Link to post

Sorry, dass ich mich erst wieder so spät melde, aber ich habe mal ein paar Tage (Wochen) Urlaub genossen. Aber spätestens jetzt holt mich die Realität wieder ein. Also zu Deiner Frage:

 

Meine lokalen Admins sind KEINE Domänenadmins sondern werden über Domänengruppen in die lokale Admingruppe auf dem entsprechenden System eingefügt. Als Beispiel: Domänengruppe A ist Mitglied in der lokalen Admingruppe auf System A. Der Benutzer A ist Mitglied der Domänengruppe A.

Share this post


Link to post

Moin,

 

wenn du wirklich auf Lokale Admins prüfen willst, dürfte das m.E. mit WMI-Filtern in GPOs nicht gehen. Diese haben keinen Zugriff auf die nötigen lokalen Gruppen.

 

Der einzige Weg, den ich sehe, ist eine Designänderung: Definiert Domänengruppen, die ausschließlich für lokale Adminrechte zuständig sind. Die könnt ihr dann direkt zur Filterung einsetzen.

 

Gruß, Nils

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...