Jump to content

WMI Filter für lokale Admins erstellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

habe eine Frage an die WMI Experten. Ich möchte in einer GPO einen WMI Filter setzen, damit die lokalen Administratoren diese Policy nicht bei der Anmeldung am System ausführen.

 

Dies kann nur über einen WMI Filter erfolgen, da man in den Security Einstellungen einer GPO keine Möglichkeit hat, auf lokale Admingruppen zuzugreifen - ist ja auch irgendwie logisch.

 

Kann mir jemand bei dem WMI Filter behilflich sein? Suche schon die ganze Zeit in dem Bereich "select * from win32_UserAccount" rum, aber da scheine ich doch an der falschen Stelle zu sein.

 

Bin um jede Hilfe dankbar.

 

Viele Grüße

Thomas

Link zu diesem Kommentar

Hallo Stephan,

 

ja genau das meine ich. Ich habe Domänenbenutzer die lokale Administratoren auf einzelnen Maschinen sind und für diese Leute sollten die Richtlinien nicht angewendet werden. Und das es immer unterschiedliche Leute auf unterschiedlichen Systemen sind, es aber nur eine Policy betrifft, kann ich nicht mit Securityfiltern arbeiten.

 

Ich benötige daher einen WMI Filter, der auf die lokalen Admingruppen der jeweiligen Maschinen geht.

Link zu diesem Kommentar

Moin,

 

zumindest die naheliegenden WMI-Klassen Win32_User und Win32_Group funktionieren nicht, denn beide haben keine Daten über Gruppenmitgliedschaften. Eine schnelle Google-Abfrage hat mir deine Frage auch nur ohne Lösung ausgegeben.

 

Da dürfte es schwierig sein, denn wenn ich mich recht erinnere, können GPO-WMI-Filter nur auf den Namespace CIMV2 zugreifen. Da fällt mir jetzt keine andere Klasse ins Auge, die solche Daten enthalten könnte. Zumal du ja eigentlich ein "IfMember" brauchst, also die Information, ob der gerade angemeldete User Mitglied der Gruppe ist - die WMI-Klasse müsste genau diese Verbindung schon selbst herstellen, denn mit Variablen kannst du in dem Filter ja nicht arbeiten.

 

Was genau soll denn für lokale Admins nicht angewendet werden?

 

Gruß, Nils

Link zu diesem Kommentar
  • 4 Wochen später...

Sorry, dass ich mich erst wieder so spät melde, aber ich habe mal ein paar Tage (Wochen) Urlaub genossen. Aber spätestens jetzt holt mich die Realität wieder ein. Also zu Deiner Frage:

 

Meine lokalen Admins sind KEINE Domänenadmins sondern werden über Domänengruppen in die lokale Admingruppe auf dem entsprechenden System eingefügt. Als Beispiel: Domänengruppe A ist Mitglied in der lokalen Admingruppe auf System A. Der Benutzer A ist Mitglied der Domänengruppe A.

Link zu diesem Kommentar

Moin,

 

wenn du wirklich auf Lokale Admins prüfen willst, dürfte das m.E. mit WMI-Filtern in GPOs nicht gehen. Diese haben keinen Zugriff auf die nötigen lokalen Gruppen.

 

Der einzige Weg, den ich sehe, ist eine Designänderung: Definiert Domänengruppen, die ausschließlich für lokale Adminrechte zuständig sind. Die könnt ihr dann direkt zur Filterung einsetzen.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...