honeybee
Goto Top

GPO: User per WMI ausschließen

Hallo,

ich möchte gerne ein paar User per WMI-Filter von der GPO-Übernahme ausschließen. Habe versucht, eine entsprechende Query zu erstellen, aber das GPO wird trotzdem übernommen:

SELECT Name FROM Win32_UserAccount WHERE NOT Name LIKE '*UserA*' OR Name LIKE '*UserB*'  

Ist die Query noch korrekt oder wie muss sie aussehen?

Content-ID: 5276720585

Url: https://administrator.de/contentid/5276720585

Printed on: October 15, 2024 at 02:10 o'clock

5175293307
Solution 5175293307 Jan 10, 2023, updated at Jan 11, 2023 at 08:04:26 (UTC)
Goto Top
Denk daran das Win32_UserAccount nur lokale existierende User auflistet ...

Btw. Die Query war auch fehlerhaft.
SELECT Name FROM Win32_UserAccount WHERE Name NOT LIKE '%UserA%' AND Name NOT LIKE '%UserB%'  

Würde nicht mehr auf WMI Filter setzen die sind je nach Klasse unheimlich lahm und verzögern Anmeldungen erheblich.
GPP Filter oder Sicherheitsfilterung wäre wesentlich effizienter.

Wurstel
O.Gensch
O.Gensch Jan 10, 2023 at 15:34:25 (UTC)
Goto Top
Hi,

du könntest auch bei der besagten Richtlinie auf Delegierung und dann auf erweitert gehen dort die User Auswählen und dann Grußßenrichtlinie Übernehmen auf verweigern setzen.
3063370895
Solution 3063370895 Jan 10, 2023 at 15:39:06 (UTC)
Goto Top
Richtige Antwort aus den falschen Gründen. Der sich immer noch haltende Mythos, WMI-Filter sind lahm, ist und bleibt nicht mehr als das, ein Mythos.

Dies wurde bereits von zahlreichen Stellen überprüft und belegt. Korrekt eingesetzte WMI-Filter werden im niedrigen 2-stelligem Millisekundenbereich abgearbeitet.

Sicherheitsfilterung ist an dieser Stelle trotzdem vorzuziehen, mMn. aufgrund der Einfachheit und Übersichtlichkeit.
5175293307
5175293307 Jan 11, 2023 updated at 07:41:00 (UTC)
Goto Top
Zitat von @chaot1coz:

Richtige Antwort aus den falschen Gründen. Der sich immer noch haltende Mythos, WMI-Filter sind lahm, ist und bleibt nicht mehr als das, ein Mythos.
Nöp, das kommt auf die verwendete Klasse an, wenn du bswp. Win32_Product abfragen würdest ist es mit "ms" definitiv nicht mehr getan, das zeigt die Praxis und nicht irgendwelche Jungs die nur theoretisch am Tisch Berechnungen erstellen 😉
3063370895
Solution 3063370895 Jan 11, 2023 at 08:12:08 (UTC)
Goto Top
Zitat von @5175293307:

Zitat von @chaot1coz:

Richtige Antwort aus den falschen Gründen. Der sich immer noch haltende Mythos, WMI-Filter sind lahm, ist und bleibt nicht mehr als das, ein Mythos.
Nöp, das kommt auf die verwendete Klasse an, wenn du bswp. Win32_Product abfragen würdest ist es mit "ms" definitiv nicht mehr getan, das zeigt die Praxis und nicht irgendwelche Jungs die nur theoretisch am Tisch Berechnungen erstellen 😉

Win32_Product fragt man sowieso nicht ab, aus anderen Gründen!
Siehe z.B: xkln.net/blog/please-stop-using-win32product-to-find-installed-software-alternatives-inside/

Man kann WMI-Filter bedenkenlos einsetzen, wenn man weiß wie (Das gilt übrigens für so ziemlich alles).
WMI-Filter sind definitiv nicht per se lahm.

"Irgendwelche Jungs die Berechnungen anstellen" sind anerkannte MS-Experten, die MESSUNGEN anstellen wie z.B.
www.gruppenrichtlinien.de/artikel/wmi-ist-kein-performance-killer
oder
helgeklein.com/blog/how-group-policy-impacts-logon-performance-3-wmi-filters-ilt/