Jump to content

WMI Filter für lokale Admins erstellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

habe eine Frage an die WMI Experten. Ich möchte in einer GPO einen WMI Filter setzen, damit die lokalen Administratoren diese Policy nicht bei der Anmeldung am System ausführen.

 

Dies kann nur über einen WMI Filter erfolgen, da man in den Security Einstellungen einer GPO keine Möglichkeit hat, auf lokale Admingruppen zuzugreifen - ist ja auch irgendwie logisch.

 

Kann mir jemand bei dem WMI Filter behilflich sein? Suche schon die ganze Zeit in dem Bereich "select * from win32_UserAccount" rum, aber da scheine ich doch an der falschen Stelle zu sein.

 

Bin um jede Hilfe dankbar.

 

Viele Grüße

Thomas

Link to comment

Hallo Stephan,

 

ja genau das meine ich. Ich habe Domänenbenutzer die lokale Administratoren auf einzelnen Maschinen sind und für diese Leute sollten die Richtlinien nicht angewendet werden. Und das es immer unterschiedliche Leute auf unterschiedlichen Systemen sind, es aber nur eine Policy betrifft, kann ich nicht mit Securityfiltern arbeiten.

 

Ich benötige daher einen WMI Filter, der auf die lokalen Admingruppen der jeweiligen Maschinen geht.

Link to comment

Moin,

 

zumindest die naheliegenden WMI-Klassen Win32_User und Win32_Group funktionieren nicht, denn beide haben keine Daten über Gruppenmitgliedschaften. Eine schnelle Google-Abfrage hat mir deine Frage auch nur ohne Lösung ausgegeben.

 

Da dürfte es schwierig sein, denn wenn ich mich recht erinnere, können GPO-WMI-Filter nur auf den Namespace CIMV2 zugreifen. Da fällt mir jetzt keine andere Klasse ins Auge, die solche Daten enthalten könnte. Zumal du ja eigentlich ein "IfMember" brauchst, also die Information, ob der gerade angemeldete User Mitglied der Gruppe ist - die WMI-Klasse müsste genau diese Verbindung schon selbst herstellen, denn mit Variablen kannst du in dem Filter ja nicht arbeiten.

 

Was genau soll denn für lokale Admins nicht angewendet werden?

 

Gruß, Nils

Link to comment
  • 4 weeks later...

Sorry, dass ich mich erst wieder so spät melde, aber ich habe mal ein paar Tage (Wochen) Urlaub genossen. Aber spätestens jetzt holt mich die Realität wieder ein. Also zu Deiner Frage:

 

Meine lokalen Admins sind KEINE Domänenadmins sondern werden über Domänengruppen in die lokale Admingruppe auf dem entsprechenden System eingefügt. Als Beispiel: Domänengruppe A ist Mitglied in der lokalen Admingruppe auf System A. Der Benutzer A ist Mitglied der Domänengruppe A.

Link to comment

Moin,

 

wenn du wirklich auf Lokale Admins prüfen willst, dürfte das m.E. mit WMI-Filtern in GPOs nicht gehen. Diese haben keinen Zugriff auf die nötigen lokalen Gruppen.

 

Der einzige Weg, den ich sehe, ist eine Designänderung: Definiert Domänengruppen, die ausschließlich für lokale Adminrechte zuständig sind. Die könnt ihr dann direkt zur Filterung einsetzen.

 

Gruß, Nils

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...