3
Get WmiObject Class Win32 LogicalDisk liefert je nach Nutzer verschiedene Infos
Hallo,
wir haben eine Prozedur, welche von allen Servern den freien Plattenplatz sammelt,
Dies lief derzeit mit zu hohen Rechten.
Nun haben wir einen gmsa-Benutzer angelegt und diesem die Rechte gegeben per WMI Infos abzufragen.
Wenn wir mit dies in Powershell ausführen
$disks=Get-WmiObject -ComputerName Unserserver -Class Win32_LogicalDisk -Filter "DriveType = 3";
foreach ($disk in $disks) {
$disk.DeviceID
$disk.VolumeName
$disk.Size
}
Als Admin liefert dies
H: Management
21.471.686.656
und mit dem gmsa-Benutzer
H: Management
3.221.225.472
Habt ihr eine Ahnung woran dies liegen kann?
Grüße
Andreas
wir haben eine Prozedur, welche von allen Servern den freien Plattenplatz sammelt,
Dies lief derzeit mit zu hohen Rechten.
Nun haben wir einen gmsa-Benutzer angelegt und diesem die Rechte gegeben per WMI Infos abzufragen.
Wenn wir mit dies in Powershell ausführen
$disks=Get-WmiObject -ComputerName Unserserver -Class Win32_LogicalDisk -Filter "DriveType = 3";
foreach ($disk in $disks) {
$disk.DeviceID
$disk.VolumeName
$disk.Size
}
Als Admin liefert dies
H: Management
21.471.686.656
und mit dem gmsa-Benutzer
H: Management
3.221.225.472
Habt ihr eine Ahnung woran dies liegen kann?
Grüße
Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92242921908
Url: https://administrator.de/contentid/92242921908
Printed on: June 29, 2024 at 21:06 o'clock
3 Comments
Latest comment
Moin,
Quota, die beim Admin nicht greifen beim gmsa-user aber schon?
hth
Erik
Quota, die beim Admin nicht greifen beim gmsa-user aber schon?
hth
Erik
Der Admin darf alle Daten lesen, der andere nicht, somit ist auch deren Größe nicht einbezogen worden.
Hallo Erik,
danke für den Hinweis.
Auf diesem Laufwerk ist effektiv eine Quota eingerichtet. Bestimmte Benutzer sind zwar befreit, man kann aber keine gmsa-"Benutzer" zu den Ausnahmen hinzufügen.
Da Get-CimInstance -ClassName Win32_DiskQuota | Select-Object -Property QuotaVolume, User
auf der besagten Maschine ausführe, alle Laufwerke aufzeigt,
wenn ich den Befehl aber von einer anderen Maschine als Domänen-Admin
per invoke-command ausführe, dann fehlt diese Laufwerk.
Ich habe diese Funktion gefunden
https://jdhitsolutions.com/blog/scripting/519/get-disk-quota/
die auch remote alle nötigen Infos liefert.
Am Schluss habe ich aber die Quotas dann doch deaktiviert.
Mit war es aber wichtig über die Funktion zu kontrollieren ob es noch irgendwo Quotas gibt.
gmsa ist zwar für die Sicherheit wichtig, die Umsetzung lässt aber zu wünschen übrig, siehe Verwendung in der Aufgabenplanung oder eben den Quotas.
Grüße
Andreas
danke für den Hinweis.
Auf diesem Laufwerk ist effektiv eine Quota eingerichtet. Bestimmte Benutzer sind zwar befreit, man kann aber keine gmsa-"Benutzer" zu den Ausnahmen hinzufügen.
Da Get-CimInstance -ClassName Win32_DiskQuota | Select-Object -Property QuotaVolume, User
auf der besagten Maschine ausführe, alle Laufwerke aufzeigt,
wenn ich den Befehl aber von einer anderen Maschine als Domänen-Admin
per invoke-command ausführe, dann fehlt diese Laufwerk.
Ich habe diese Funktion gefunden
https://jdhitsolutions.com/blog/scripting/519/get-disk-quota/
die auch remote alle nötigen Infos liefert.
Am Schluss habe ich aber die Quotas dann doch deaktiviert.
Mit war es aber wichtig über die Funktion zu kontrollieren ob es noch irgendwo Quotas gibt.
gmsa ist zwar für die Sicherheit wichtig, die Umsetzung lässt aber zu wünschen übrig, siehe Verwendung in der Aufgabenplanung oder eben den Quotas.
Grüße
Andreas
