7
WMI-Filter für GPO - Softwareverteilung
Guten Morgen zusammen,
ich habe folgendes Problem:
Wir setzten im Unternehmen Miranda ein und dieses wird via GPO auf den Clients installiert.
Nun ist es aber so, dass Miranda sich auch auf unseren 20 Servern mit installiert hat, was eher suboptimal ist!
Ich bin schon auf den Thread: Computer von GPO ausschließen gestoßen.
Ich würde nun in der WMI-Filterung "Miranda" erstellen und dort im Namespace root\CIMv2 den Wert einstellen:
SELECT * FROM Win32_ComputerSystem WHERE NOT Name = 'SRV1CXXX, SRV2CXXX'
Unsere Serversysteme sind im Schema benannt:
Hauptdomäne: SRV1C001 - SRV1C100
Subdomäne1: SRV2C001-SRV2C050
Subdomäne1: SRV3C001-SRV3C050
Die DC's heißen allerdings:
SRV1DC01, SRV1DC02
SRV2DC01, SRV2DC02
Inwiefern kann man da die WMI Abfrage erweitern?
Danke und Gruß
PS:
Gibts ne Möglichkeit, die Software per GPO auch von den Servern zu deinstallieren?
ich habe folgendes Problem:
Wir setzten im Unternehmen Miranda ein und dieses wird via GPO auf den Clients installiert.
Nun ist es aber so, dass Miranda sich auch auf unseren 20 Servern mit installiert hat, was eher suboptimal ist!
Ich bin schon auf den Thread: Computer von GPO ausschließen gestoßen.
Ich würde nun in der WMI-Filterung "Miranda" erstellen und dort im Namespace root\CIMv2 den Wert einstellen:
SELECT * FROM Win32_ComputerSystem WHERE NOT Name = 'SRV1CXXX, SRV2CXXX'
Unsere Serversysteme sind im Schema benannt:
Hauptdomäne: SRV1C001 - SRV1C100
Subdomäne1: SRV2C001-SRV2C050
Subdomäne1: SRV3C001-SRV3C050
Die DC's heißen allerdings:
SRV1DC01, SRV1DC02
SRV2DC01, SRV2DC02
Inwiefern kann man da die WMI Abfrage erweitern?
Danke und Gruß
PS:
Gibts ne Möglichkeit, die Software per GPO auch von den Servern zu deinstallieren?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 250426
Url: https://administrator.de/contentid/250426
Printed on: April 26, 2024 at 20:04 o'clock
7 Comments
Latest comment
Hi.
Es liegt doch ganz schwer auf der Hand, dass die Server weitaus anders eingestellt werden, als die Clienrts - und das nicht nur bei Softwareverteilung. Deshalb: Client-OU und Server -OU und Du bist das Problem sofort los.
Wenn Du unbed. WMI willst, dann filtere doch nach OS.
Es liegt doch ganz schwer auf der Hand, dass die Server weitaus anders eingestellt werden, als die Clienrts - und das nicht nur bei Softwareverteilung. Deshalb: Client-OU und Server -OU und Du bist das Problem sofort los.
Wenn Du unbed. WMI willst, dann filtere doch nach OS.
Da die Domäne stätig angewachsen ist und ich noch nicht ganz den überblick habe...sind alle Server, Clients etc. im Ordner: Computers
Die User liegen auch alle Kreuz und Quer unter "Users", da ist nichts nach OU soritert.
Werde das mal mit dem OS Filter probieren. Danke!
Die User liegen auch alle Kreuz und Quer unter "Users", da ist nichts nach OU soritert.
Werde das mal mit dem OS Filter probieren. Danke!
Mach eine OU Server, link alle GPOs bis auf Deine SW-Verteilungs-GPO drauf und pack die Server dort rein - fertig. Schneller als der WMI-Filter
Moin,
kann mich @DerWoWusste nur anschließen. Bring erstmal dein AD ins Reine, das mag zwar 2 Wochen arbeit sein, aber vorher ergibt Softwaredeployment wenig Sinn. Denn so wie es jetzt aussieht, läuft garantiert was schief und das wieder auszubessern dauert vielleicht länger als einfach das AD zu sortieren. Sonst hast du doppelt Arbeit.
Gruß
Chris
kann mich @DerWoWusste nur anschließen. Bring erstmal dein AD ins Reine, das mag zwar 2 Wochen arbeit sein, aber vorher ergibt Softwaredeployment wenig Sinn. Denn so wie es jetzt aussieht, läuft garantiert was schief und das wieder auszubessern dauert vielleicht länger als einfach das AD zu sortieren. Sonst hast du doppelt Arbeit.
Gruß
Chris
Ich werde das AD jetzt langsame anfangen aufzuräumen.
Da stellen sich mir bzw. der IT-Abteilung hier ein paar Fragen...
1. Ist daran irgendwas Kritisch gewisse Computerkonten aus "Computers" in z.B "WIN-Server" zu packen?
2. Wenn ich pro Abteilung für User eine OU anlege, hat mein Chef den Einwand, dass man dann jede OU durchklicken muss bis man
den gesuchten Nutzer findet...
Was sagt ihr dazu?
Gruß
Da stellen sich mir bzw. der IT-Abteilung hier ein paar Fragen...
1. Ist daran irgendwas Kritisch gewisse Computerkonten aus "Computers" in z.B "WIN-Server" zu packen?
2. Wenn ich pro Abteilung für User eine OU anlege, hat mein Chef den Einwand, dass man dann jede OU durchklicken muss bis man
den gesuchten Nutzer findet...
Was sagt ihr dazu?
Gruß
Moin,
also um etwas in der AD zu finden ist mein mittel der Wahl nicht Browsen sondern Suchen und zwar über das gesamte Verzeichnis(Domäne) das geht auch wirklich fix, somit sollte das kein Problem sein.
Allerdings haben wir das auch anders gehalten. wir haben einfach User in eine OU gepackt für Sonderfälle eine 2. oder 3. angelegt. ansonsten Policies per Gruppen verknüpft somit spart man sich viel Arbeit.
Entgegen des Trends haben wir uns aber nicht entschieden wirklich für jedes Setting eine eigene Policy zu erstellen. Stattdessen wurden die Policies nach aufgaben erstellt. also z.B. U_Intranet. U für User Policy (sind dann auch so eingestellt, dass nur der Userpart zieht) und eben alle Intraneteinstellungen für IE drin. Gernell haben wir keine User in "Users" Gelassen sondern eben darunter die OUs angelegt bzw. ab Win7 in einem neuen Zweig.
Endanwendersysteme und Server solltest du trennen, lege lieber eine 2. OU an und linke dort auch die Policies, das ist eine feinere Lösung. dann setzt du die Gruppen und so kannst du alles sehr genau steuern.
Zu deiner Softwareverteilung, würde ich pro Installationspaket übrigens 2 Policies erstellen. Install und uninstall. diese dann auch passend Mappen und je 1 Gruppe anlegen. Somit kannst du auch komplexere Installationen durch Gruppen erstellen. Also z.B. Anwendung xyz benötigt Java. statt jetzt in die Policy zur installation der Anwendung die installation von Java reinzupacken, erstellst du eine GPO zur installtion dieser Javaversion, dazu eine Gruppe C_S_Java_install und eine GPO für die Anwendung mit C_S_Anwendung_install in diese Gruppe packst du nun noch C_S_Java_install rein, sodass automatisch Java bei der Installation deiner Anwendung installiert wird.
So organisiert passiert eigentlich wirklich nicht mehr viel. Wenn du unterschiedliche Architekturen und/oder Versionen hast, solltest du das natürlich in deinen Gruppennamen einfließen lassen.
Gruß
Chris
also um etwas in der AD zu finden ist mein mittel der Wahl nicht Browsen sondern Suchen und zwar über das gesamte Verzeichnis(Domäne) das geht auch wirklich fix, somit sollte das kein Problem sein.
Allerdings haben wir das auch anders gehalten. wir haben einfach User in eine OU gepackt für Sonderfälle eine 2. oder 3. angelegt. ansonsten Policies per Gruppen verknüpft somit spart man sich viel Arbeit.
Entgegen des Trends haben wir uns aber nicht entschieden wirklich für jedes Setting eine eigene Policy zu erstellen. Stattdessen wurden die Policies nach aufgaben erstellt. also z.B. U_Intranet. U für User Policy (sind dann auch so eingestellt, dass nur der Userpart zieht) und eben alle Intraneteinstellungen für IE drin. Gernell haben wir keine User in "Users" Gelassen sondern eben darunter die OUs angelegt bzw. ab Win7 in einem neuen Zweig.
Endanwendersysteme und Server solltest du trennen, lege lieber eine 2. OU an und linke dort auch die Policies, das ist eine feinere Lösung. dann setzt du die Gruppen und so kannst du alles sehr genau steuern.
Zu deiner Softwareverteilung, würde ich pro Installationspaket übrigens 2 Policies erstellen. Install und uninstall. diese dann auch passend Mappen und je 1 Gruppe anlegen. Somit kannst du auch komplexere Installationen durch Gruppen erstellen. Also z.B. Anwendung xyz benötigt Java. statt jetzt in die Policy zur installation der Anwendung die installation von Java reinzupacken, erstellst du eine GPO zur installtion dieser Javaversion, dazu eine Gruppe C_S_Java_install und eine GPO für die Anwendung mit C_S_Anwendung_install in diese Gruppe packst du nun noch C_S_Java_install rein, sodass automatisch Java bei der Installation deiner Anwendung installiert wird.
So organisiert passiert eigentlich wirklich nicht mehr viel. Wenn du unterschiedliche Architekturen und/oder Versionen hast, solltest du das natürlich in deinen Gruppennamen einfließen lassen.
Gruß
Chris
