19
WMI Filter bauen für OU
WMI Filter zum setzen in einer GPO
Hallo,
ihr merkt schon ich bin derzeit Dauergast. heute nun:
ich hab da eine Policy für Users. diese soll aber nur für Computerkonten gelten, welche in einer speziellen OU sind.
Beispiel: Policy soll gelten für User PeterPan aber nur auf dem Laptop NB0815 und nicht auf dem Desktop PC4711.
Verlinken der Policy: ja schön aber der Container User existiert nicht um dort die verlinkung im AD zu setzen.
Nun suche ich eine WMI-filterung; aber wie!
Danke für eure Hilfe.
Frank
ihr merkt schon ich bin derzeit Dauergast. heute nun:
ich hab da eine Policy für Users. diese soll aber nur für Computerkonten gelten, welche in einer speziellen OU sind.
Beispiel: Policy soll gelten für User PeterPan aber nur auf dem Laptop NB0815 und nicht auf dem Desktop PC4711.
Verlinken der Policy: ja schön aber der Container User existiert nicht um dort die verlinkung im AD zu setzen.
Nun suche ich eine WMI-filterung; aber wie!
Danke für eure Hilfe.
Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 130793
Url: https://administrator.de/contentid/130793
Printed on: April 25, 2024 at 00:04 o'clock
19 Comments
Latest comment
Hallo
vielleicht versteh ich dein Problem falsch, aber warum verknüpfst du nicht die GPO mit dem Maschinenkonto ?
-bugg-
vielleicht versteh ich dein Problem falsch, aber warum verknüpfst du nicht die GPO mit dem Maschinenkonto ?
-bugg-
Weil: Maschinenkonto kein Thema jedoch: es ist ein Usersetting; kein Machinesetting. Die Policy zieht aber nunmal nur auf Userebene. Da der User aber nicht in der OU "Workstations" ist gehts nicht. Oder hab ich nen Denkfehler?
Du kannst der OU in der deine PCs stecken eine Richtlinie zuordnen in der du Benutzerkonfigurationen eintragen kannst. Folglich zieht die Richtlinie für Benutzer die sich an diesem PC anmelden und wenn sie an einem anderen (andere OU) sind nicht. Fällt mir jetzt so aus dem Kopf ein verbessere mich wenn das falsch ist.
See my commands:
Richtig; dort sind Policys drinne (in der OU "Workstations" welche auch funktionieren auf Machine-ebene)
Nein; es werden trotz hinzugfügten "authenticated USers" nur die Machinesettings durchgesetzt; nicht die Usersettings
Sprich: ich möchte auf der Machine ein Spezielles Usersetting setzen welches nicht umgestezt wird (teste das mit rsop.msc)
Meinst du ich sollte einfach mal "everyone" dort setzen?
Du kannst der OU in der deine PCs stecken eine Richtlinie zuordnen in
der du Benutzerkonfigurationen eintragen kannst.
der du Benutzerkonfigurationen eintragen kannst.
Richtig; dort sind Policys drinne (in der OU "Workstations" welche auch funktionieren auf Machine-ebene)
Folglich zieht die Richtlinie für Benutzer die sich an diesem PC anmelden und wenn sie an einem anderen (andere OU) sind nicht.
Nein; es werden trotz hinzugfügten "authenticated USers" nur die Machinesettings durchgesetzt; nicht die Usersettings
Sprich: ich möchte auf der Machine ein Spezielles Usersetting setzen welches nicht umgestezt wird (teste das mit rsop.msc)
Meinst du ich sollte einfach mal "everyone" dort setzen?
ich kann jetzt nur spekulieren. ich meine aber das ich sowas schonmal machen musste ich schau morgen auf der arbeit mal nach und wenn ich es finde poste ichs hier rein.
Danke Dir. Wie gesagt: ich möchte den HKEY-Current_User per GPO beeinflussen und nicht den HKEY_local_Machine aber NUR auf bestimmten rechnern (daher meine Denkweise mit WMI-Filtern)
wenn du grade von registry sprichst. Welches OS läuft auf dem Server? Falls Win 2008 kannst du dir mal GPP http://www.gruppenrichtlinien.de/index.html?/Vista/gpp_group_policy_pre ... anschauen. Damit kann man recht einfach Einträge in der Registry verändern auch auf Maschinenebene.
http://support.microsoft.com/kb/231287 wäre schonmal eine Möglichkeit. Auch per GPPs kann man eine solche Filterung erlangen, wie Du sie wünscht (genannt "item level targeting").
Win2003 in Umgebung mit XP-Clients
@-bugg-
Falls Win 2008 kannst du dir mal GPP http://www.gruppenrichtlinien.de/index.ht ... anschauen
Auch mit Windows 2000 oder 2003 gehen GPPs. Dazu muss man die Server über RSAT von Vista oder Windows 7 aus verwalten.
Hey der Link war gut! Das kannte ich überhaupt noch nicht!
hast du noch eine idee wie ich ein automatisches Synchro der Policies & Loginscripts hinbekomme? ich würd gern das der Client automatisch die Loginscripte vom Server kopiert damit diese auch laufen wenn er Offline ist (suche da irgendeine policy evtl.). Gibt ja den Pfad %systemroot%\system32\GroupPolicy\Machine\Scripts und der ist standardmäßig auf den Clients leer.
hast du noch eine idee wie ich ein automatisches Synchro der Policies & Loginscripts hinbekomme? ich würd gern das der Client automatisch die Loginscripte vom Server kopiert damit diese auch laufen wenn er Offline ist (suche da irgendeine policy evtl.). Gibt ja den Pfad %systemroot%\system32\GroupPolicy\Machine\Scripts und der ist standardmäßig auf den Clients leer.
Du kannst auf den Clients eine lokale GPO festlegen, die ein Anmeldeskript setzt. Dann packst Du an dessen Stelle immer eine Kopie der gerade aktuellen Skripte, die Du nutzen willst (wiederum einfach per Dom.-Abmeldeskript kopieren lassen) - so läuft es auch offline. Sogar den Pfad zum Anmeldeskript kannst Du automatisch setzen lassen - dies müsste ein Registryeintrag sein, such den Pfad eines manuell gesetzten Skriptes mal in der Registry.
Also bei uns werden Benutzerdefinierte GPOs ausgeführt, welche mit der OU der Workstations verknüpft sind.
Sicher. Das erzähl mal den AD-Leuten bei MS 
Der erste Grundsatz ist doch: Benutzerrichtlinien wirken nur auf Benutzerobjekte und Comp. auf Compobjekte.
Bei gpresult steht dann: rausgefiltert.
Der erste Grundsatz ist doch: Benutzerrichtlinien wirken nur auf Benutzerobjekte und Comp. auf Compobjekte.Bei gpresult steht dann: rausgefiltert.
Hatte vorhin nicht viel Zeit zum schreiben, habe mich vll nicht richtig ausgedrückt. Ich habe über GPPs Registry Keys verändert für Local Machine und Users.
Das funktioniert auf Maschinenebene. So hoffe jetzt stimmts
Das funktioniert auf Maschinenebene. So hoffe jetzt stimmts
Das stimmt nur, wenn man "item level targeting" benutzt - keinen Plan, wie das auf Deutsch heißt.
und du hast da nur die "Authentticated users" als Policy-Security-Filtering - Users eingefügt? bei mir geht das echt nur wenn ich die oben beschriebene GPP-Option (das Looping) setze.
Hää? Was will mir Cobra damit sagen? Irgendwie leer deine Antwort :-S
