Active Directory - WMI Filterung - filtern nach Attributen von Usern

Erstmal "Hallo an Alle" - das ist mein erster Beitrag :) face-smile

Ich habe vorher im Bereich WISSEN gesucht, hier fand ich ein paar Beiträge, aber nix passendes.
Natülich hab ich auch im Internet mein Glück versucht, aber da bin ich auch nicht Schlau daraus geworden.

kurze Info über mein HomeLab
- Windows Hyper-V 2019 Server mit
--- 1x Win Server 2019 - als Domain Controller
--- 1x Win Server 2019 - als File & Print Server
--- 4x Win 10 Clients

im AD hab ich 3 User
-- max ... der Einkäufer
-- peter ... der Verkäufer
-- fritz ... der Buchhalter

ich habe bei den jeweiligen AD Usern im Reiter ORGANISATION
diese Informationen sauber als JOB TITEL bzw. ABTEILUNG hinterlegt

mein Ziel ist per GPO Netzlaufwerke zu verteilen

wenn ich pro Abteilung eine OU erstelle, dann schaff ich das ohne Probleme
schaut dann so aus

-- OU : USER
------ OU : USER-EINKAUF << hier greift die GPO für die Zuweisung des Netzlaufwerkes
------ OU : USER-VERKAUF << hier greift die GPO für die Zuweisung des Netzlaufwerkes
------ OU : USER-FINANZ << hier greift die GPO für die Zuweisung des Netzlaufwerkes


mein Ziel wäre aber nur eine OU zu haben OU : USER
dann würde ich gerne auf dieser OU die GPO für die Netzlaufwerke zuweisen
und mittels WMI Filterung steuern

-- OU : USER << hier greifen die GPO für die Zuweisung des Netzlaufwerkes


Mein Problem ist hier, dass ich das Attribut ABTEILUNG nicht finden kann.
Hoffe es kann mir hier jemand helfen !!


Es geht mir nicht darum, dass mir jemand "einfach" die Lösung sagt.
Mir wäre mehr geholfen mit Links ( Deutsch oder Englisch ), wo ich mir selbst die Lösung erarbeiten kann !
Wie gesagt ich habe nach "WMI" und "User Attributes" online gesucht, aber bin ich nicht fündig geworden.

Mittels PowerShell wäre das alles recht einfach, z.B. so Get-ADUser -Filter {Department -eq 'Sales'} ( einfaches Bsp )
mit SQL komm ich auch gut klar, aber mit der WMI Filterung nicht so wirklich

Hoffe jemand kann mir mit guten Quellen helfen !!

Danke Euch allen schon mal im Voraus !

Liebe Grüße
Georg

Content-Key: 1084063697

Url: https://administrator.de/contentid/1084063697

Ausgedruckt am: 21.09.2021 um 18:09 Uhr

Mitglied: em-pie
em-pie 24.07.2021 aktualisiert um 15:36:01 Uhr
Goto Top
Moin,

also wenn ich mit dem ADSI-Editor nachschaue, sehe ich das Attribut department

Department (EN) = Abteilung (DE)

Hilft dir das?


An die AD-Attribute via WMI zu gelangen scheint in der Tat nicht ganz trivial zu sein...

Hängen die User nicht ohnehin in irgendwelchen Sicherheitsgruppen?
Dann würde ich das davon abhängig machen....

Und wenn ein MA vom Vertrieb in den EInkauf wechselt, müssen ja ohnehin div. ANpassungen am AD-Objekt getätigt werden!?


Gruß
em-pie
Mitglied: 149062
Lösung 149062 24.07.2021 aktualisiert um 16:26:43 Uhr
Goto Top
Nutz doch einfach die Zielgruppenadressierung auf Elementebene der GPP, da brauchst du keine lahmen WMI Filter die den Login nur noch langsamer machen ...
https://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien ...

Alternativ weise die User einer Gruppe zu und regle den Zugriff über die ACL der GPO
filter05
Mitglied: beidermachtvongreyscull
Lösung beidermachtvongreyscull 24.07.2021 um 16:27:54 Uhr
Goto Top
Moin,

Du könntest mal den WMI Explorer ausprobieren und schauen, ob Du damit in den Klassen etwas brauchbares findest.
Ich habe jetzt keinen Domänenrechner zur Hand.

Es kann auch sein, dass Du die gewünschte Info garnicht per WMI auslesen kannst.

Gruß
bdmvg
Mitglied: NixVerstehen
NixVerstehen 24.07.2021 um 18:31:49 Uhr
Goto Top
Hi,

wie @149062 schon sagte, kannst du das bequem mit der Zielgruppenadressierung abfackeln. So kannst du verschiedene Netzlaufwerke anlegen und per Zielgruppenadressierung über OUs zuweisen. Die User bekommen dann nur die Laufwerke, die sie bekommen sollen. Funktioniert problemlos und ist höchst simpel einzurichten.

Gruß NV
Mitglied: GBP1983
GBP1983 24.07.2021 um 20:45:49 Uhr
Goto Top
Zitat von @em-pie:

Moin,

also wenn ich mit dem ADSI-Editor nachschaue, sehe ich das Attribut department

Department (EN) = Abteilung (DE)

Hilft dir das?


An die AD-Attribute via WMI zu gelangen scheint in der Tat nicht ganz trivial zu sein...

Hängen die User nicht ohnehin in irgendwelchen Sicherheitsgruppen?
Dann würde ich das davon abhängig machen....

Und wenn ein MA vom Vertrieb in den EInkauf wechselt, müssen ja ohnehin div. ANpassungen am AD-Objekt getätigt werden!?


Gruß
em-pie


Servus em-pie,

da hast du Recht - Sicherheitsgruppen gibt es natürlich auch - damit steuere ich die Zugriffsrechte auf die Shares.
Hätte es halt gerne mit der WMI Filterung versucht ... weil :

na klar ändert sich beim AD User etwas wenn er in eine andere Abteilung wechselt.
einmal die Zugehörigkeit zur Sicherheitsgruppe und andererseits halt die Abteilung ( das Department ).

... und mit der Änderung des Departments würde dann die andere GPO greifen ... theoretisch ... in meiner Traumwelt ... :-P

Liebe Grüße
Georg
Mitglied: GBP1983
GBP1983 24.07.2021 um 20:58:33 Uhr
Goto Top
Zitat von @149062:

Nutz doch einfach die Zielgruppenadressierung auf Elementebene der GPP, da brauchst du keine lahmen WMI Filter die den Login nur noch langsamer machen ...
https://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien ...

Alternativ weise die User einer Gruppe zu und regle den Zugriff über die ACL der GPO


Hello evoplus,

danke für den Tipp - das ist definitiv ein Lösungsweg, weil ich so über die Security Group die Filterung realisieren kann.

Was mir bei der WMI Filterung "besser" gefallen hat - abgesehen von der Performance , daran hatte ich noch gar nicht gedacht !! ...
weil die WMI Filterung sieht man, wenn man sich die Übersicht anschaut ...
... und ich denke das macht Sinn, weil im Job Umfeld sind es doch meist mehrere Admins und da sieht man dies dann direkt ;-) face-wink

https://administrator.de/images/c/2021/07/24/678082f0a4e14ab56fa0f80c631 ...

... aber gut - wenn ich für die WMI Filterung - falls es überhaupt klappt - einen Doktortitel brauch, dann kommt es eh nicht in Frage, weil es ja andere auch administrieren können müssen sollen ... oder so ... ;)

Liebe Grüße
Georg
evoplus_wmi overview
Mitglied: GBP1983
GBP1983 24.07.2021 um 21:00:57 Uhr
Goto Top
Zitat von @beidermachtvongreyscull:

Moin,

Du könntest mal den WMI Explorer ausprobieren und schauen, ob Du damit in den Klassen etwas brauchbares findest.
Ich habe jetzt keinen Domänenrechner zur Hand.

Es kann auch sein, dass Du die gewünschte Info garnicht per WMI auslesen kannst.

Gruß
bdmvg

Danke dir, bdmvg !

Werd mal einen Blick auf den WMI Explorer werfen und schauen ob ich was finden kann :) face-smile

Liebe Grüße
Georg
Mitglied: GBP1983
GBP1983 26.07.2021 um 19:48:22 Uhr
Goto Top
nur zur Info - falls den Beitrag mal wer liest

hab mich jetzt entschlossen, dass ich den Vorschlag von evoplus folge
sprich ich löse es über die Zielgruppenadressierung ... auch wenn ich damit nicht ganz happy bin,
aber es scheint die beste Lösung zu sein

danke an alle für Eure Inputs !!

Liebe Grüße
Georg
Heiß diskutierte Beiträge
question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 1 TagFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Ablösung alte M.2 SSDUrx1974Vor 1 TagFrageFestplatten, SSD, Raid7 Kommentare

Hallo, ich habe in einem (anderen) Laptop eine ITE-ON CV3-8D128-11 128GB M2 / M.2 SSD 2280 drin. Ich wollte diese jetzt durch eine 1TB SSD ...

question
Dienst-PCs per Image sichern?Yan2021Vor 21 StundenFrageBackup12 Kommentare

Hallo Ihr Lieben ;-) So, Urlaub vorbei und schon kommt mal wieder eine Frage von mir. Wir haben hier so rund gerechnet 10 PCs. Da ...

general
VPN-Einwahl für UnternehmensnetzwerkjoergVor 1 TagAllgemeinLAN, WAN, Wireless12 Kommentare

Hallo zusammen, aktuell beschäftige ich mich mit der Frage, ob unsere aktuelle User-VPN-Lösung noch die Richtige ist oder ob es bessere Alternativen gibt. Wir setzen ...

question
Problem mit gespiegelten BackupsystemfisiyouVor 1 TagFrageCluster8 Kommentare

Hi liebe Community, Bin derzeit als Umschüler (Fisi) im Betriebspraktikum unterwegs. Mir wurde jetzt ein Problem mit unseren Backupstorage mitgeteilt, wo ich mir eine Lösung ...

question
Webseite signierenUserUWVor 22 StundenFrageInternet9 Kommentare

Gelegentlich möchte man auf einer Webseite kritische Daten veröffentlichen, zum Beispiel Checksummen von Dateien/Programmen oder den Fingerprint eines Schlüssels. Frage: Wie kann man diese Information ...

question
"Aktualisieren und Herunterfahren" nach Windows Update erzwingenFrM222Vor 21 StundenFrageWindows Update7 Kommentare

Hallo Zusammen, wir verteilen unsere Windows Updates über WSUS (2016) und haben hier inzwischen eigentlich einen ganz guten Stand. Die Updates werden sehr zügig auf ...

question
Ausgewählte IP umleiten gelöst ElForumVor 1 TagFrageRouter & Routing14 Kommentare

Hallo, folgende Situation: ein lokales Netz, einen Router mit aktivem DHCP und einen internen DNS Server. Ich hätte gerne dass der Router per DHCP seine ...