honeybee
Goto Top

GPO: User per WMI ausschließen

Hallo,

ich möchte gerne ein paar User per WMI-Filter von der GPO-Übernahme ausschließen. Habe versucht, eine entsprechende Query zu erstellen, aber das GPO wird trotzdem übernommen:

SELECT Name FROM Win32_UserAccount WHERE NOT Name LIKE '*UserA*' OR Name LIKE '*UserB*'  

Ist die Query noch korrekt oder wie muss sie aussehen?

Content-ID: 5276720585

Url: https://administrator.de/forum/gpo-user-per-wmi-ausschliessen-5276720585.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

5175293307
Lösung 5175293307 10.01.2023, aktualisiert am 11.01.2023 um 09:04:26 Uhr
Goto Top
Denk daran das Win32_UserAccount nur lokale existierende User auflistet ...

Btw. Die Query war auch fehlerhaft.
SELECT Name FROM Win32_UserAccount WHERE Name NOT LIKE '%UserA%' AND Name NOT LIKE '%UserB%'  

Würde nicht mehr auf WMI Filter setzen die sind je nach Klasse unheimlich lahm und verzögern Anmeldungen erheblich.
GPP Filter oder Sicherheitsfilterung wäre wesentlich effizienter.

Wurstel
O.Gensch
O.Gensch 10.01.2023 um 16:34:25 Uhr
Goto Top
Hi,

du könntest auch bei der besagten Richtlinie auf Delegierung und dann auf erweitert gehen dort die User Auswählen und dann Grußßenrichtlinie Übernehmen auf verweigern setzen.
3063370895
Lösung 3063370895 10.01.2023 um 16:39:06 Uhr
Goto Top
Richtige Antwort aus den falschen Gründen. Der sich immer noch haltende Mythos, WMI-Filter sind lahm, ist und bleibt nicht mehr als das, ein Mythos.

Dies wurde bereits von zahlreichen Stellen überprüft und belegt. Korrekt eingesetzte WMI-Filter werden im niedrigen 2-stelligem Millisekundenbereich abgearbeitet.

Sicherheitsfilterung ist an dieser Stelle trotzdem vorzuziehen, mMn. aufgrund der Einfachheit und Übersichtlichkeit.
5175293307
5175293307 11.01.2023 aktualisiert um 08:41:00 Uhr
Goto Top
Zitat von @chaot1coz:

Richtige Antwort aus den falschen Gründen. Der sich immer noch haltende Mythos, WMI-Filter sind lahm, ist und bleibt nicht mehr als das, ein Mythos.
Nöp, das kommt auf die verwendete Klasse an, wenn du bswp. Win32_Product abfragen würdest ist es mit "ms" definitiv nicht mehr getan, das zeigt die Praxis und nicht irgendwelche Jungs die nur theoretisch am Tisch Berechnungen erstellen 😉
3063370895
Lösung 3063370895 11.01.2023 um 09:12:08 Uhr
Goto Top
Zitat von @5175293307:

Zitat von @chaot1coz:

Richtige Antwort aus den falschen Gründen. Der sich immer noch haltende Mythos, WMI-Filter sind lahm, ist und bleibt nicht mehr als das, ein Mythos.
Nöp, das kommt auf die verwendete Klasse an, wenn du bswp. Win32_Product abfragen würdest ist es mit "ms" definitiv nicht mehr getan, das zeigt die Praxis und nicht irgendwelche Jungs die nur theoretisch am Tisch Berechnungen erstellen 😉

Win32_Product fragt man sowieso nicht ab, aus anderen Gründen!
Siehe z.B: xkln.net/blog/please-stop-using-win32product-to-find-installed-software-alternatives-inside/

Man kann WMI-Filter bedenkenlos einsetzen, wenn man weiß wie (Das gilt übrigens für so ziemlich alles).
WMI-Filter sind definitiv nicht per se lahm.

"Irgendwelche Jungs die Berechnungen anstellen" sind anerkannte MS-Experten, die MESSUNGEN anstellen wie z.B.
www.gruppenrichtlinien.de/artikel/wmi-ist-kein-performance-killer
oder
helgeklein.com/blog/how-group-policy-impacts-logon-performance-3-wmi-filters-ilt/