saxe1234
Goto Top

GPO Frage - GPO soll nur gelten wenn Gerät in 2 Gruppen Mitglied ist

Hi,

ich möchte eine GPO nur dann anwenden wenn das Gerät in zwei bestimmten Gruppen Mitglied ist. Hat jemand eine Idee?

Sicherheitsfilterung scheidet aus, wenn ich da beiden Gruppen hinzufüge dann gilt es für die Mitglieder beider Gruppen.

WMI Filter scheinen auch nicht zu funktionieren:
select name from Win32_Group Where Name = "Gruppe1" AND Name = "Gruppe"
ergibt immer FALSE

Muss ich mir wirklich damit helfen aus Gruppe1 und Gruppe2 die Schnittmenge zu extrahieren um damit Gruppe3 zu bauen und die GPO darüber zu filtern?


Danke Sascha

Content-Key: 8168883222

Url: https://administrator.de/contentid/8168883222

Printed on: July 17, 2024 at 19:07 o'clock

Member: saxe1234
saxe1234 Aug 16, 2023 at 17:41:12 (UTC)
Goto Top
Ergänzung:

mit Item Level Targeting kann ich hier nicht arbeiten sonst wäre es zu einfach face-wink
Member: user3086
user3086 Aug 17, 2023 at 07:33:59 (UTC)
Goto Top
Nur als Idee wenn keiner etwas besseres weiß:
Sicherheitsfilterung auf Gruppe 1
WMI Filter auf Gruppe 2.

Wenn Gruppe 1 greift, soll nur angewendet werden wenn man in Gruppe 2 ist.
Member: saxe1234
saxe1234 Aug 17, 2023 at 10:50:54 (UTC)
Goto Top
Moin,

Idee gefällt mir aber meine WMI Filter Versuche auf Gruppenmitgliedschaft (auch auf nur eine funktionieren nicht).

Da kommt immer TRUE raus. zB select name from Win32_Group Where Name = "Gruppe1"
Member: user217
user217 Aug 17, 2023 at 11:14:49 (UTC)
Goto Top
es müsste auf ad basis dynamische regelbasierte Gruppen geben ähnlich exchange. Ansonsten neue Gruppe, sonst verkompliziert das alles.
Member: saxe1234
saxe1234 Aug 17, 2023 at 12:22:50 (UTC)
Goto Top
es müsste auf ad basis dynamische regelbasierte Gruppen geben
Sagt mir so erstmal nix, hast du was konkretes?

Ist Gerät in Gruppe1 und Gruppe2 sollte doch mit WMI umsetzbar sein aber ich sehe es irgendwie nicht

Dritte Gruppe wäre schon auch ein Weg, der ist mit PS einfach umsetzbar aber ich würde es trotzdem gerne wissen ob es nicht vielleicht doch mit einem anderen Weg funktioniert
Member: silent-daniel
silent-daniel Aug 17, 2023 updated at 20:16:18 (UTC)
Goto Top
SELECT * FROM Win32_Group WHERE Name="Group1" AND Name="Group2"

funktioniert nicht?
Member: Mr-Gustav
Mr-Gustav Aug 18, 2023 at 10:04:26 (UTC)
Goto Top
Eigentlich sollte der WMI Filter hier dein Freund sein.
Was geht denn nicht ?
Member: DerWoWusste
DerWoWusste Aug 21, 2023 at 09:00:40 (UTC)
Goto Top
mit Item Level Targeting kann ich hier nicht arbeiten sonst wäre es zu einfach
Magst Du kurz schreiben, warum?

Die meisten GPOs (etwa 99%) sind Registryeinträge und somit in Group Policy Preferences abbildbar -> dann könnte man sehr wohl item level targeting nutzen.
Member: saxe1234
saxe1234 Aug 25, 2023 at 11:23:41 (UTC)
Goto Top
mit Item Level Targeting kann ich hier nicht arbeiten sonst wäre es zu einfach
Magst Du kurz schreiben, warum?

Die meisten GPOs (etwa 99%) sind Registryeinträge und somit in Group Policy Preferences abbildbar -> dann könnte man sehr wohl item level targeting nutzen.

"kann ich hier nicht arbeiten" ist natürlich so nicht korrekt, die Regeinträge könnte ich schon so setzen aber wollte es eigentlich nicht weil es für andere dann schwieriger zu lesen ist als wenn ich es schön sichtbar in der GUI der GPMC einstellen kann
Member: saxe1234
saxe1234 Aug 25, 2023 at 11:24:47 (UTC)
Goto Top
SELECT * FROM Win32_Group WHERE Name="Group1" AND Name="Group2"

funktioniert nicht?

nein tut es nicht, es bringt immer FALSE als Ergebnis, auch wenn das Gerät Mitglied in beiden Gruppen ist
Member: DerWoWusste
DerWoWusste Aug 25, 2023 at 11:28:36 (UTC)
Goto Top
weil es für andere dann schwieriger zu lesen ist als wenn ich es schön sichtbar in der GUI der GPMC einstellen kann
Das ist nachvollziehbar. Ich würde es dennoch machen, da auch WMI-Filter schwer zu lesen sind. Schreib doch in die GPP-Registryverteilung eine Doku direkt ins Kommentar.
Member: saxe1234
saxe1234 Sep 07, 2023 at 13:12:18 (UTC)
Goto Top
ich würde halt gerne verstehen warum SELECT * FROM Win32_Group WHERE Name="Group1" AND Name="Group2" nicht funktioniert
Member: DerWoWusste
DerWoWusste Sep 07, 2023 at 13:19:03 (UTC)
Goto Top
Test mal die Preferences und item level targeting. Wenn es da geht, öffne die xml-Datei der GPO und schau den WMI-Filter und dessen Syntax dort an.
Member: saxe1234
saxe1234 Sep 07, 2023 at 13:27:55 (UTC)
Goto Top
Ich hab mir jetzt schon anders geholfen. Zum Testen des WMI Filters habe ich WMI Filter Validation von SDM Software genommen aber ich kann irgendwie nicht glauben dass es erstens grundsätzlich nicht funktioniert und zweitens das sonst niemand benutzt [oder es ist halt so und deswegen nutzt es keiner face-smile ]
Member: DerWoWusste
DerWoWusste Sep 07, 2023 at 13:37:25 (UTC)
Goto Top
Dann nimm meinen Vorschlag an, dann wirst Du schon auf die Syntax kommen, schätze ich.
Member: saxe1234
saxe1234 Sep 07, 2023 at 13:40:17 (UTC)
Goto Top
OK werde ich tun und mich melden, danke
Mitglied: 12168552861
Solution 12168552861 Apr 15, 2024 updated at 20:02:01 (UTC)
Goto Top
Zitat von @saxe1234:

ich würde halt gerne verstehen warum SELECT * FROM Win32_Group WHERE Name="Group1" AND Name="Group2" nicht funktioniert

Das ist ja auch Blödsinn die Abfrage, du fragst hier nicht nach den Membern der Gruppen sondern nach Gruppennamen allgemein und eine Gruppe kann niemals gleichzeitig Group1 und Group2 heißen, denn die Abfrage lautet übersetzt: "Suche mir alle Gruppen heraus die gleichzeitig "Group1" und "Group2" heißen", die Abfrage wird also aus Prinzip niemals True zurück geben ­čÖâ.
Das geht hier so nicht da müsstest du schon die Associaters of Win32_GroupUser abfragen was hier aber nicht funktioniert.

Ich würde auch den Weg über Itemlevel Targeting gehen, WMI Filter sind oft lahm und verzögern nur zu gerne die Anmeldung unnötigerweise.
Member: saxe1234
saxe1234 Apr 18, 2024 at 15:23:57 (UTC)
Goto Top
Danke aber ich weiß gar nicht mehr wofür das ich nutzen wollte und habe mittlerweile bestimmt einen anderen Weg gefunden. Arbeitest du jetzt alle meine Anfragen ab? Das wäre dufte.

Hier bin ich noch nicht weiter und Problem ist immer noch existent face-smile

Windows DHCP Clients verlieren kurz Netz