saxe1234
Goto Top

GPO Frage - GPO soll nur gelten wenn Gerät in 2 Gruppen Mitglied ist

Hi,

ich möchte eine GPO nur dann anwenden wenn das Gerät in zwei bestimmten Gruppen Mitglied ist. Hat jemand eine Idee?

Sicherheitsfilterung scheidet aus, wenn ich da beiden Gruppen hinzufüge dann gilt es für die Mitglieder beider Gruppen.

WMI Filter scheinen auch nicht zu funktionieren:
select name from Win32_Group Where Name = "Gruppe1" AND Name = "Gruppe"
ergibt immer FALSE

Muss ich mir wirklich damit helfen aus Gruppe1 und Gruppe2 die Schnittmenge zu extrahieren um damit Gruppe3 zu bauen und die GPO darüber zu filtern?


Danke Sascha

Content-ID: 8168883222

Url: https://administrator.de/contentid/8168883222

Ausgedruckt am: 08.11.2024 um 21:11 Uhr

saxe1234
saxe1234 16.08.2023 um 19:41:12 Uhr
Goto Top
Ergänzung:

mit Item Level Targeting kann ich hier nicht arbeiten sonst wäre es zu einfach face-wink
user3086
user3086 17.08.2023 um 09:33:59 Uhr
Goto Top
Nur als Idee wenn keiner etwas besseres weiß:
Sicherheitsfilterung auf Gruppe 1
WMI Filter auf Gruppe 2.

Wenn Gruppe 1 greift, soll nur angewendet werden wenn man in Gruppe 2 ist.
saxe1234
saxe1234 17.08.2023 um 12:50:54 Uhr
Goto Top
Moin,

Idee gefällt mir aber meine WMI Filter Versuche auf Gruppenmitgliedschaft (auch auf nur eine funktionieren nicht).

Da kommt immer TRUE raus. zB select name from Win32_Group Where Name = "Gruppe1"
user217
user217 17.08.2023 um 13:14:49 Uhr
Goto Top
es müsste auf ad basis dynamische regelbasierte Gruppen geben ähnlich exchange. Ansonsten neue Gruppe, sonst verkompliziert das alles.
saxe1234
saxe1234 17.08.2023 um 14:22:50 Uhr
Goto Top
es müsste auf ad basis dynamische regelbasierte Gruppen geben
Sagt mir so erstmal nix, hast du was konkretes?

Ist Gerät in Gruppe1 und Gruppe2 sollte doch mit WMI umsetzbar sein aber ich sehe es irgendwie nicht

Dritte Gruppe wäre schon auch ein Weg, der ist mit PS einfach umsetzbar aber ich würde es trotzdem gerne wissen ob es nicht vielleicht doch mit einem anderen Weg funktioniert
silent-daniel
silent-daniel 17.08.2023 aktualisiert um 22:16:18 Uhr
Goto Top
SELECT * FROM Win32_Group WHERE Name="Group1" AND Name="Group2"

funktioniert nicht?
Mr-Gustav
Mr-Gustav 18.08.2023 um 12:04:26 Uhr
Goto Top
Eigentlich sollte der WMI Filter hier dein Freund sein.
Was geht denn nicht ?
DerWoWusste
DerWoWusste 21.08.2023 um 11:00:40 Uhr
Goto Top
mit Item Level Targeting kann ich hier nicht arbeiten sonst wäre es zu einfach
Magst Du kurz schreiben, warum?

Die meisten GPOs (etwa 99%) sind Registryeinträge und somit in Group Policy Preferences abbildbar -> dann könnte man sehr wohl item level targeting nutzen.
saxe1234
saxe1234 25.08.2023 um 13:23:41 Uhr
Goto Top
mit Item Level Targeting kann ich hier nicht arbeiten sonst wäre es zu einfach
Magst Du kurz schreiben, warum?

Die meisten GPOs (etwa 99%) sind Registryeinträge und somit in Group Policy Preferences abbildbar -> dann könnte man sehr wohl item level targeting nutzen.

"kann ich hier nicht arbeiten" ist natürlich so nicht korrekt, die Regeinträge könnte ich schon so setzen aber wollte es eigentlich nicht weil es für andere dann schwieriger zu lesen ist als wenn ich es schön sichtbar in der GUI der GPMC einstellen kann
saxe1234
saxe1234 25.08.2023 um 13:24:47 Uhr
Goto Top
SELECT * FROM Win32_Group WHERE Name="Group1" AND Name="Group2"

funktioniert nicht?

nein tut es nicht, es bringt immer FALSE als Ergebnis, auch wenn das Gerät Mitglied in beiden Gruppen ist
DerWoWusste
DerWoWusste 25.08.2023 um 13:28:36 Uhr
Goto Top
weil es für andere dann schwieriger zu lesen ist als wenn ich es schön sichtbar in der GUI der GPMC einstellen kann
Das ist nachvollziehbar. Ich würde es dennoch machen, da auch WMI-Filter schwer zu lesen sind. Schreib doch in die GPP-Registryverteilung eine Doku direkt ins Kommentar.
saxe1234
saxe1234 07.09.2023 um 15:12:18 Uhr
Goto Top
ich würde halt gerne verstehen warum SELECT * FROM Win32_Group WHERE Name="Group1" AND Name="Group2" nicht funktioniert
DerWoWusste
DerWoWusste 07.09.2023 um 15:19:03 Uhr
Goto Top
Test mal die Preferences und item level targeting. Wenn es da geht, öffne die xml-Datei der GPO und schau den WMI-Filter und dessen Syntax dort an.
saxe1234
saxe1234 07.09.2023 um 15:27:55 Uhr
Goto Top
Ich hab mir jetzt schon anders geholfen. Zum Testen des WMI Filters habe ich WMI Filter Validation von SDM Software genommen aber ich kann irgendwie nicht glauben dass es erstens grundsätzlich nicht funktioniert und zweitens das sonst niemand benutzt [oder es ist halt so und deswegen nutzt es keiner face-smile ]
DerWoWusste
DerWoWusste 07.09.2023 um 15:37:25 Uhr
Goto Top
Dann nimm meinen Vorschlag an, dann wirst Du schon auf die Syntax kommen, schätze ich.
saxe1234
saxe1234 07.09.2023 um 15:40:17 Uhr
Goto Top
OK werde ich tun und mich melden, danke
12168552861
Lösung 12168552861 15.04.2024 aktualisiert um 22:02:01 Uhr
Goto Top
Zitat von @saxe1234:

ich würde halt gerne verstehen warum SELECT * FROM Win32_Group WHERE Name="Group1" AND Name="Group2" nicht funktioniert

Das ist ja auch Blödsinn die Abfrage, du fragst hier nicht nach den Membern der Gruppen sondern nach Gruppennamen allgemein und eine Gruppe kann niemals gleichzeitig Group1 und Group2 heißen, denn die Abfrage lautet übersetzt: "Suche mir alle Gruppen heraus die gleichzeitig "Group1" und "Group2" heißen", die Abfrage wird also aus Prinzip niemals True zurück geben 🙃.
Das geht hier so nicht da müsstest du schon die Associaters of Win32_GroupUser abfragen was hier aber nicht funktioniert.

Ich würde auch den Weg über Itemlevel Targeting gehen, WMI Filter sind oft lahm und verzögern nur zu gerne die Anmeldung unnötigerweise.
saxe1234
saxe1234 18.04.2024 um 17:23:57 Uhr
Goto Top
Danke aber ich weiß gar nicht mehr wofür das ich nutzen wollte und habe mittlerweile bestimmt einen anderen Weg gefunden. Arbeitest du jetzt alle meine Anfragen ab? Das wäre dufte.

Hier bin ich noch nicht weiter und Problem ist immer noch existent face-smile

Windows DHCP Clients verlieren kurz Netz