gbp1983
Goto Top

Active Directory - WMI Filterung - filtern nach Attributen von Usern

Erstmal "Hallo an Alle" - das ist mein erster Beitrag face-smile

Ich habe vorher im Bereich WISSEN gesucht, hier fand ich ein paar Beiträge, aber nix passendes.
Natülich hab ich auch im Internet mein Glück versucht, aber da bin ich auch nicht Schlau daraus geworden.

kurze Info über mein HomeLab
- Windows Hyper-V 2019 Server mit
--- 1x Win Server 2019 - als Domain Controller
--- 1x Win Server 2019 - als File & Print Server
--- 4x Win 10 Clients

im AD hab ich 3 User
-- max ... der Einkäufer
-- peter ... der Verkäufer
-- fritz ... der Buchhalter

ich habe bei den jeweiligen AD Usern im Reiter ORGANISATION
diese Informationen sauber als JOB TITEL bzw. ABTEILUNG hinterlegt

mein Ziel ist per GPO Netzlaufwerke zu verteilen

wenn ich pro Abteilung eine OU erstelle, dann schaff ich das ohne Probleme
schaut dann so aus

-- OU : USER
OU : USER-EINKAUF << hier greift die GPO für die Zuweisung des Netzlaufwerkes
OU : USER-VERKAUF << hier greift die GPO für die Zuweisung des Netzlaufwerkes
OU : USER-FINANZ << hier greift die GPO für die Zuweisung des Netzlaufwerkes


mein Ziel wäre aber nur eine OU zu haben OU : USER
dann würde ich gerne auf dieser OU die GPO für die Netzlaufwerke zuweisen
und mittels WMI Filterung steuern

-- OU : USER << hier greifen die GPO für die Zuweisung des Netzlaufwerkes


Mein Problem ist hier, dass ich das Attribut ABTEILUNG nicht finden kann.
Hoffe es kann mir hier jemand helfen !!


Es geht mir nicht darum, dass mir jemand "einfach" die Lösung sagt.
Mir wäre mehr geholfen mit Links ( Deutsch oder Englisch ), wo ich mir selbst die Lösung erarbeiten kann !
Wie gesagt ich habe nach "WMI" und "User Attributes" online gesucht, aber bin ich nicht fündig geworden.

Mittels PowerShell wäre das alles recht einfach, z.B. so Get-ADUser -Filter {Department -eq 'Sales'} ( einfaches Bsp )
mit SQL komm ich auch gut klar, aber mit der WMI Filterung nicht so wirklich

Hoffe jemand kann mir mit guten Quellen helfen !!

Danke Euch allen schon mal im Voraus !

Liebe Grüße
Georg

Content-Key: 1084063697

Url: https://administrator.de/contentid/1084063697

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: em-pie
em-pie 24.07.2021 aktualisiert um 15:36:01 Uhr
Goto Top
Moin,

also wenn ich mit dem ADSI-Editor nachschaue, sehe ich das Attribut department

Department (EN) = Abteilung (DE)

Hilft dir das?


An die AD-Attribute via WMI zu gelangen scheint in der Tat nicht ganz trivial zu sein...

Hängen die User nicht ohnehin in irgendwelchen Sicherheitsgruppen?
Dann würde ich das davon abhängig machen....

Und wenn ein MA vom Vertrieb in den EInkauf wechselt, müssen ja ohnehin div. ANpassungen am AD-Objekt getätigt werden!?


Gruß
em-pie
Mitglied: 149062
Lösung 149062 24.07.2021 aktualisiert um 16:26:43 Uhr
Goto Top
Nutz doch einfach die Zielgruppenadressierung auf Elementebene der GPP, da brauchst du keine lahmen WMI Filter die den Login nur noch langsamer machen ...
https://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien ...

Alternativ weise die User einer Gruppe zu und regle den Zugriff über die ACL der GPO
filter05
Mitglied: beidermachtvongreyscull
Lösung beidermachtvongreyscull 24.07.2021 um 16:27:54 Uhr
Goto Top
Moin,

Du könntest mal den WMI Explorer ausprobieren und schauen, ob Du damit in den Klassen etwas brauchbares findest.
Ich habe jetzt keinen Domänenrechner zur Hand.

Es kann auch sein, dass Du die gewünschte Info garnicht per WMI auslesen kannst.

Gruß
bdmvg
Mitglied: NixVerstehen
NixVerstehen 24.07.2021 um 18:31:49 Uhr
Goto Top
Hi,

wie @149062 schon sagte, kannst du das bequem mit der Zielgruppenadressierung abfackeln. So kannst du verschiedene Netzlaufwerke anlegen und per Zielgruppenadressierung über OUs zuweisen. Die User bekommen dann nur die Laufwerke, die sie bekommen sollen. Funktioniert problemlos und ist höchst simpel einzurichten.

Gruß NV
Mitglied: GBP1983
GBP1983 24.07.2021 um 20:45:49 Uhr
Goto Top
Zitat von @em-pie:

Moin,

also wenn ich mit dem ADSI-Editor nachschaue, sehe ich das Attribut department

Department (EN) = Abteilung (DE)

Hilft dir das?


An die AD-Attribute via WMI zu gelangen scheint in der Tat nicht ganz trivial zu sein...

Hängen die User nicht ohnehin in irgendwelchen Sicherheitsgruppen?
Dann würde ich das davon abhängig machen....

Und wenn ein MA vom Vertrieb in den EInkauf wechselt, müssen ja ohnehin div. ANpassungen am AD-Objekt getätigt werden!?


Gruß
em-pie


Servus em-pie,

da hast du Recht - Sicherheitsgruppen gibt es natürlich auch - damit steuere ich die Zugriffsrechte auf die Shares.
Hätte es halt gerne mit der WMI Filterung versucht ... weil :

na klar ändert sich beim AD User etwas wenn er in eine andere Abteilung wechselt.
einmal die Zugehörigkeit zur Sicherheitsgruppe und andererseits halt die Abteilung ( das Department ).

... und mit der Änderung des Departments würde dann die andere GPO greifen ... theoretisch ... in meiner Traumwelt ... :-P

Liebe Grüße
Georg
Mitglied: GBP1983
GBP1983 24.07.2021, aktualisiert am 21.04.2022 um 16:57:28 Uhr
Goto Top
Zitat von @149062:

Nutz doch einfach die Zielgruppenadressierung auf Elementebene der GPP, da brauchst du keine lahmen WMI Filter die den Login nur noch langsamer machen ...
https://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien ...

Alternativ weise die User einer Gruppe zu und regle den Zugriff über die ACL der GPO


Hello evoplus,

danke für den Tipp - das ist definitiv ein Lösungsweg, weil ich so über die Security Group die Filterung realisieren kann.

Was mir bei der WMI Filterung "besser" gefallen hat - abgesehen von der Performance , daran hatte ich noch gar nicht gedacht !! ...
weil die WMI Filterung sieht man, wenn man sich die Übersicht anschaut ...
... und ich denke das macht Sinn, weil im Job Umfeld sind es doch meist mehrere Admins und da sieht man dies dann direkt face-wink

evoplus_wmi overview

... aber gut - wenn ich für die WMI Filterung - falls es überhaupt klappt - einen Doktortitel brauch, dann kommt es eh nicht in Frage, weil es ja andere auch administrieren können müssen sollen ... oder so ... ;)

Liebe Grüße
Georg
Mitglied: GBP1983
GBP1983 24.07.2021 um 21:00:57 Uhr
Goto Top
Zitat von @beidermachtvongreyscull:

Moin,

Du könntest mal den WMI Explorer ausprobieren und schauen, ob Du damit in den Klassen etwas brauchbares findest.
Ich habe jetzt keinen Domänenrechner zur Hand.

Es kann auch sein, dass Du die gewünschte Info garnicht per WMI auslesen kannst.

Gruß
bdmvg

Danke dir, bdmvg !

Werd mal einen Blick auf den WMI Explorer werfen und schauen ob ich was finden kann face-smile

Liebe Grüße
Georg
Mitglied: GBP1983
GBP1983 26.07.2021 um 19:48:22 Uhr
Goto Top
nur zur Info - falls den Beitrag mal wer liest

hab mich jetzt entschlossen, dass ich den Vorschlag von evoplus folge
sprich ich löse es über die Zielgruppenadressierung ... auch wenn ich damit nicht ganz happy bin,
aber es scheint die beste Lösung zu sein

danke an alle für Eure Inputs !!

Liebe Grüße
Georg