Jump to content

Recommended Posts

Hallo

ich habe eine GPO und weil es nur einen User gibt der diese nicht bekommen soll habe einen WMI Filter erstellt um nicht noch eine Gruppe erstellen zu müssen.

Mir ist klar das die WMI Filter Performance kosten aber ich habe bis jetzt nur 2 Filter.

 

Es handelt sich um eine GPO für den Benutzer wo Schreibzugriff auf USB verhindert wird. 

Im WMI Filter habe ich:

SELECT * from Win32_ComputerSystem WHERE NOT UserName LIKE 'domain\\user'

 

Kann das sein das die nicht geht weil die GPO mit "System" ausgeführt wird oder ist da ein Fehler drin?

 

Auf meinem PC (ohne Domain) scheint die Abfrage mit Paessler WMI Tester zu funktionieren wenn ich den Computernamen statt Domain angebe.

Share this post


Link to post
Share on other sites

Für einen User kannst Du natürlich auch, wie Dukel schon geschrieben hat, eine Verweigerung setzen. Geht über den Reiter Delegierung. Das GPO darf der User lesen, aber nicht übernehmen.

Share this post


Link to post
Share on other sites

Um das mal zu beantworten: Nein, das geht so nicht. Wenn der PC Mitglied einer Domäne ist, durchsucht diese WMI-Abfrage die Domäne und wird immer WAHR zurückliefern, wenn der User existiert. Warum nimmst Du den User nicht einfach unter dem Reiter "Delegierung" mit auf und dann über "Erweitert" verweigerst Du ihm das Übernehmen dieser GPO?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...