8
Active Directory - WMI Filterung - filtern nach Attributen von Usern
Erstmal "Hallo an Alle" - das ist mein erster Beitrag 
Ich habe vorher im Bereich WISSEN gesucht, hier fand ich ein paar Beiträge, aber nix passendes.
Natülich hab ich auch im Internet mein Glück versucht, aber da bin ich auch nicht Schlau daraus geworden.
kurze Info über mein HomeLab
- Windows Hyper-V 2019 Server mit
--- 1x Win Server 2019 - als Domain Controller
--- 1x Win Server 2019 - als File & Print Server
--- 4x Win 10 Clients
im AD hab ich 3 User
-- max ... der Einkäufer
-- peter ... der Verkäufer
-- fritz ... der Buchhalter
ich habe bei den jeweiligen AD Usern im Reiter ORGANISATION
diese Informationen sauber als JOB TITEL bzw. ABTEILUNG hinterlegt
mein Ziel ist per GPO Netzlaufwerke zu verteilen
wenn ich pro Abteilung eine OU erstelle, dann schaff ich das ohne Probleme
schaut dann so aus
-- OU : USER
OU : USER-EINKAUF << hier greift die GPO für die Zuweisung des Netzlaufwerkes
OU : USER-VERKAUF << hier greift die GPO für die Zuweisung des Netzlaufwerkes
OU : USER-FINANZ << hier greift die GPO für die Zuweisung des Netzlaufwerkes
mein Ziel wäre aber nur eine OU zu haben OU : USER
dann würde ich gerne auf dieser OU die GPO für die Netzlaufwerke zuweisen
und mittels WMI Filterung steuern
-- OU : USER << hier greifen die GPO für die Zuweisung des Netzlaufwerkes
Mein Problem ist hier, dass ich das Attribut ABTEILUNG nicht finden kann.
Hoffe es kann mir hier jemand helfen !!
Es geht mir nicht darum, dass mir jemand "einfach" die Lösung sagt.
Mir wäre mehr geholfen mit Links ( Deutsch oder Englisch ), wo ich mir selbst die Lösung erarbeiten kann !
Wie gesagt ich habe nach "WMI" und "User Attributes" online gesucht, aber bin ich nicht fündig geworden.
Mittels PowerShell wäre das alles recht einfach, z.B. so Get-ADUser -Filter {Department -eq 'Sales'} ( einfaches Bsp )
mit SQL komm ich auch gut klar, aber mit der WMI Filterung nicht so wirklich
Hoffe jemand kann mir mit guten Quellen helfen !!
Danke Euch allen schon mal im Voraus !
Liebe Grüße
Georg
Ich habe vorher im Bereich WISSEN gesucht, hier fand ich ein paar Beiträge, aber nix passendes.
Natülich hab ich auch im Internet mein Glück versucht, aber da bin ich auch nicht Schlau daraus geworden.
kurze Info über mein HomeLab
- Windows Hyper-V 2019 Server mit
--- 1x Win Server 2019 - als Domain Controller
--- 1x Win Server 2019 - als File & Print Server
--- 4x Win 10 Clients
im AD hab ich 3 User
-- max ... der Einkäufer
-- peter ... der Verkäufer
-- fritz ... der Buchhalter
ich habe bei den jeweiligen AD Usern im Reiter ORGANISATION
diese Informationen sauber als JOB TITEL bzw. ABTEILUNG hinterlegt
mein Ziel ist per GPO Netzlaufwerke zu verteilen
wenn ich pro Abteilung eine OU erstelle, dann schaff ich das ohne Probleme
schaut dann so aus
-- OU : USER
OU : USER-EINKAUF << hier greift die GPO für die Zuweisung des Netzlaufwerkes
OU : USER-VERKAUF << hier greift die GPO für die Zuweisung des Netzlaufwerkes
OU : USER-FINANZ << hier greift die GPO für die Zuweisung des Netzlaufwerkes
mein Ziel wäre aber nur eine OU zu haben OU : USER
dann würde ich gerne auf dieser OU die GPO für die Netzlaufwerke zuweisen
und mittels WMI Filterung steuern
-- OU : USER << hier greifen die GPO für die Zuweisung des Netzlaufwerkes
Mein Problem ist hier, dass ich das Attribut ABTEILUNG nicht finden kann.
Hoffe es kann mir hier jemand helfen !!
Es geht mir nicht darum, dass mir jemand "einfach" die Lösung sagt.
Mir wäre mehr geholfen mit Links ( Deutsch oder Englisch ), wo ich mir selbst die Lösung erarbeiten kann !
Wie gesagt ich habe nach "WMI" und "User Attributes" online gesucht, aber bin ich nicht fündig geworden.
Mittels PowerShell wäre das alles recht einfach, z.B. so Get-ADUser -Filter {Department -eq 'Sales'} ( einfaches Bsp )
mit SQL komm ich auch gut klar, aber mit der WMI Filterung nicht so wirklich
Hoffe jemand kann mir mit guten Quellen helfen !!
Danke Euch allen schon mal im Voraus !
Liebe Grüße
Georg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1084063697
Url: https://administrator.de/contentid/1084063697
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
also wenn ich mit dem ADSI-Editor nachschaue, sehe ich das Attribut department
Department (EN) = Abteilung (DE)
Hilft dir das?
An die AD-Attribute via WMI zu gelangen scheint in der Tat nicht ganz trivial zu sein...
Hängen die User nicht ohnehin in irgendwelchen Sicherheitsgruppen?
Dann würde ich das davon abhängig machen....
Und wenn ein MA vom Vertrieb in den EInkauf wechselt, müssen ja ohnehin div. ANpassungen am AD-Objekt getätigt werden!?
Gruß
em-pie
Department (EN) = Abteilung (DE)
Hilft dir das?
An die AD-Attribute via WMI zu gelangen scheint in der Tat nicht ganz trivial zu sein...
Hängen die User nicht ohnehin in irgendwelchen Sicherheitsgruppen?
Dann würde ich das davon abhängig machen....
Und wenn ein MA vom Vertrieb in den EInkauf wechselt, müssen ja ohnehin div. ANpassungen am AD-Objekt getätigt werden!?
Gruß
em-pie
Nutz doch einfach die Zielgruppenadressierung auf Elementebene der GPP, da brauchst du keine lahmen WMI Filter die den Login nur noch langsamer machen ...
https://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien ...
Alternativ weise die User einer Gruppe zu und regle den Zugriff über die ACL der GPO
https://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien ...
Alternativ weise die User einer Gruppe zu und regle den Zugriff über die ACL der GPO
Moin,
Du könntest mal den WMI Explorer ausprobieren und schauen, ob Du damit in den Klassen etwas brauchbares findest.
Ich habe jetzt keinen Domänenrechner zur Hand.
Es kann auch sein, dass Du die gewünschte Info garnicht per WMI auslesen kannst.
Gruß
bdmvg
Du könntest mal den WMI Explorer ausprobieren und schauen, ob Du damit in den Klassen etwas brauchbares findest.
Ich habe jetzt keinen Domänenrechner zur Hand.
Es kann auch sein, dass Du die gewünschte Info garnicht per WMI auslesen kannst.
Gruß
bdmvg
1
Hi,
wie @149062 schon sagte, kannst du das bequem mit der Zielgruppenadressierung abfackeln. So kannst du verschiedene Netzlaufwerke anlegen und per Zielgruppenadressierung über OUs zuweisen. Die User bekommen dann nur die Laufwerke, die sie bekommen sollen. Funktioniert problemlos und ist höchst simpel einzurichten.
Gruß NV
wie @149062 schon sagte, kannst du das bequem mit der Zielgruppenadressierung abfackeln. So kannst du verschiedene Netzlaufwerke anlegen und per Zielgruppenadressierung über OUs zuweisen. Die User bekommen dann nur die Laufwerke, die sie bekommen sollen. Funktioniert problemlos und ist höchst simpel einzurichten.
Gruß NV
Zitat von @em-pie:
Moin,
also wenn ich mit dem ADSI-Editor nachschaue, sehe ich das Attribut department
Department (EN) = Abteilung (DE)
Hilft dir das?
An die AD-Attribute via WMI zu gelangen scheint in der Tat nicht ganz trivial zu sein...
Hängen die User nicht ohnehin in irgendwelchen Sicherheitsgruppen?
Dann würde ich das davon abhängig machen....
Und wenn ein MA vom Vertrieb in den EInkauf wechselt, müssen ja ohnehin div. ANpassungen am AD-Objekt getätigt werden!?
Gruß
em-pie
Moin,
Department (EN) = Abteilung (DE)
Hilft dir das?
An die AD-Attribute via WMI zu gelangen scheint in der Tat nicht ganz trivial zu sein...
Hängen die User nicht ohnehin in irgendwelchen Sicherheitsgruppen?
Dann würde ich das davon abhängig machen....
Und wenn ein MA vom Vertrieb in den EInkauf wechselt, müssen ja ohnehin div. ANpassungen am AD-Objekt getätigt werden!?
Gruß
em-pie
Servus em-pie,
da hast du Recht - Sicherheitsgruppen gibt es natürlich auch - damit steuere ich die Zugriffsrechte auf die Shares.
Hätte es halt gerne mit der WMI Filterung versucht ... weil :
na klar ändert sich beim AD User etwas wenn er in eine andere Abteilung wechselt.
einmal die Zugehörigkeit zur Sicherheitsgruppe und andererseits halt die Abteilung ( das Department ).
... und mit der Änderung des Departments würde dann die andere GPO greifen ... theoretisch ... in meiner Traumwelt ... :-P
Liebe Grüße
Georg
Zitat von @149062:
Nutz doch einfach die Zielgruppenadressierung auf Elementebene der GPP, da brauchst du keine lahmen WMI Filter die den Login nur noch langsamer machen ...
https://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien ...
Alternativ weise die User einer Gruppe zu und regle den Zugriff über die ACL der GPO
Nutz doch einfach die Zielgruppenadressierung auf Elementebene der GPP, da brauchst du keine lahmen WMI Filter die den Login nur noch langsamer machen ...
https://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien ...
Alternativ weise die User einer Gruppe zu und regle den Zugriff über die ACL der GPO
Hello evoplus,
danke für den Tipp - das ist definitiv ein Lösungsweg, weil ich so über die Security Group die Filterung realisieren kann.
Was mir bei der WMI Filterung "besser" gefallen hat - abgesehen von der Performance , daran hatte ich noch gar nicht gedacht !! ...
weil die WMI Filterung sieht man, wenn man sich die Übersicht anschaut ...
... und ich denke das macht Sinn, weil im Job Umfeld sind es doch meist mehrere Admins und da sieht man dies dann direkt
... aber gut - wenn ich für die WMI Filterung - falls es überhaupt klappt - einen Doktortitel brauch, dann kommt es eh nicht in Frage, weil es ja andere auch administrieren können müssen sollen ... oder so ... ;)
Liebe Grüße
Georg
Zitat von @beidermachtvongreyscull:
Moin,
Du könntest mal den WMI Explorer ausprobieren und schauen, ob Du damit in den Klassen etwas brauchbares findest.
Ich habe jetzt keinen Domänenrechner zur Hand.
Es kann auch sein, dass Du die gewünschte Info garnicht per WMI auslesen kannst.
Gruß
bdmvg
Moin,
Du könntest mal den WMI Explorer ausprobieren und schauen, ob Du damit in den Klassen etwas brauchbares findest.
Ich habe jetzt keinen Domänenrechner zur Hand.
Es kann auch sein, dass Du die gewünschte Info garnicht per WMI auslesen kannst.
Gruß
bdmvg
Danke dir, bdmvg !
Werd mal einen Blick auf den WMI Explorer werfen und schauen ob ich was finden kann
Liebe Grüße
Georg
nur zur Info - falls den Beitrag mal wer liest
hab mich jetzt entschlossen, dass ich den Vorschlag von evoplus folge
sprich ich löse es über die Zielgruppenadressierung ... auch wenn ich damit nicht ganz happy bin,
aber es scheint die beste Lösung zu sein
danke an alle für Eure Inputs !!
Liebe Grüße
Georg
hab mich jetzt entschlossen, dass ich den Vorschlag von evoplus folge
sprich ich löse es über die Zielgruppenadressierung ... auch wenn ich damit nicht ganz happy bin,
aber es scheint die beste Lösung zu sein
danke an alle für Eure Inputs !!
Liebe Grüße
Georg
