WMI-Filter für GPO - Softwareverteilung
Guten Morgen zusammen,
ich habe folgendes Problem:
Wir setzten im Unternehmen Miranda ein und dieses wird via GPO auf den Clients installiert.
Nun ist es aber so, dass Miranda sich auch auf unseren 20 Servern mit installiert hat, was eher suboptimal ist!
Ich bin schon auf den Thread: Computer von GPO ausschließen gestoßen.
Ich würde nun in der WMI-Filterung "Miranda" erstellen und dort im Namespace root\CIMv2 den Wert einstellen:
SELECT * FROM Win32_ComputerSystem WHERE NOT Name = 'SRV1CXXX, SRV2CXXX'
Unsere Serversysteme sind im Schema benannt:
Hauptdomäne: SRV1C001 - SRV1C100
Subdomäne1: SRV2C001-SRV2C050
Subdomäne1: SRV3C001-SRV3C050
Die DC's heißen allerdings:
SRV1DC01, SRV1DC02
SRV2DC01, SRV2DC02
Inwiefern kann man da die WMI Abfrage erweitern?
Danke und Gruß
PS:
Gibts ne Möglichkeit, die Software per GPO auch von den Servern zu deinstallieren?
ich habe folgendes Problem:
Wir setzten im Unternehmen Miranda ein und dieses wird via GPO auf den Clients installiert.
Nun ist es aber so, dass Miranda sich auch auf unseren 20 Servern mit installiert hat, was eher suboptimal ist!
Ich bin schon auf den Thread: Computer von GPO ausschließen gestoßen.
Ich würde nun in der WMI-Filterung "Miranda" erstellen und dort im Namespace root\CIMv2 den Wert einstellen:
SELECT * FROM Win32_ComputerSystem WHERE NOT Name = 'SRV1CXXX, SRV2CXXX'
Unsere Serversysteme sind im Schema benannt:
Hauptdomäne: SRV1C001 - SRV1C100
Subdomäne1: SRV2C001-SRV2C050
Subdomäne1: SRV3C001-SRV3C050
Die DC's heißen allerdings:
SRV1DC01, SRV1DC02
SRV2DC01, SRV2DC02
Inwiefern kann man da die WMI Abfrage erweitern?
Danke und Gruß
PS:
Gibts ne Möglichkeit, die Software per GPO auch von den Servern zu deinstallieren?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 250426
Url: https://administrator.de/forum/wmi-filter-fuer-gpo-softwareverteilung-250426.html
Ausgedruckt am: 04.04.2025 um 21:04 Uhr
7 Kommentare
Neuester Kommentar
Moin,
kann mich @DerWoWusste nur anschließen. Bring erstmal dein AD ins Reine, das mag zwar 2 Wochen arbeit sein, aber vorher ergibt Softwaredeployment wenig Sinn. Denn so wie es jetzt aussieht, läuft garantiert was schief und das wieder auszubessern dauert vielleicht länger als einfach das AD zu sortieren. Sonst hast du doppelt Arbeit.
Gruß
Chris
kann mich @DerWoWusste nur anschließen. Bring erstmal dein AD ins Reine, das mag zwar 2 Wochen arbeit sein, aber vorher ergibt Softwaredeployment wenig Sinn. Denn so wie es jetzt aussieht, läuft garantiert was schief und das wieder auszubessern dauert vielleicht länger als einfach das AD zu sortieren. Sonst hast du doppelt Arbeit.
Gruß
Chris
Moin,
also um etwas in der AD zu finden ist mein mittel der Wahl nicht Browsen sondern Suchen und zwar über das gesamte Verzeichnis(Domäne) das geht auch wirklich fix, somit sollte das kein Problem sein.
Allerdings haben wir das auch anders gehalten. wir haben einfach User in eine OU gepackt für Sonderfälle eine 2. oder 3. angelegt. ansonsten Policies per Gruppen verknüpft somit spart man sich viel Arbeit.
Entgegen des Trends haben wir uns aber nicht entschieden wirklich für jedes Setting eine eigene Policy zu erstellen. Stattdessen wurden die Policies nach aufgaben erstellt. also z.B. U_Intranet. U für User Policy (sind dann auch so eingestellt, dass nur der Userpart zieht) und eben alle Intraneteinstellungen für IE drin. Gernell haben wir keine User in "Users" Gelassen sondern eben darunter die OUs angelegt bzw. ab Win7 in einem neuen Zweig.
Endanwendersysteme und Server solltest du trennen, lege lieber eine 2. OU an und linke dort auch die Policies, das ist eine feinere Lösung. dann setzt du die Gruppen und so kannst du alles sehr genau steuern.
Zu deiner Softwareverteilung, würde ich pro Installationspaket übrigens 2 Policies erstellen. Install und uninstall. diese dann auch passend Mappen und je 1 Gruppe anlegen. Somit kannst du auch komplexere Installationen durch Gruppen erstellen. Also z.B. Anwendung xyz benötigt Java. statt jetzt in die Policy zur installation der Anwendung die installation von Java reinzupacken, erstellst du eine GPO zur installtion dieser Javaversion, dazu eine Gruppe C_S_Java_install und eine GPO für die Anwendung mit C_S_Anwendung_install in diese Gruppe packst du nun noch C_S_Java_install rein, sodass automatisch Java bei der Installation deiner Anwendung installiert wird.
So organisiert passiert eigentlich wirklich nicht mehr viel. Wenn du unterschiedliche Architekturen und/oder Versionen hast, solltest du das natürlich in deinen Gruppennamen einfließen lassen.
Gruß
Chris
also um etwas in der AD zu finden ist mein mittel der Wahl nicht Browsen sondern Suchen und zwar über das gesamte Verzeichnis(Domäne) das geht auch wirklich fix, somit sollte das kein Problem sein.
Allerdings haben wir das auch anders gehalten. wir haben einfach User in eine OU gepackt für Sonderfälle eine 2. oder 3. angelegt. ansonsten Policies per Gruppen verknüpft somit spart man sich viel Arbeit.
Entgegen des Trends haben wir uns aber nicht entschieden wirklich für jedes Setting eine eigene Policy zu erstellen. Stattdessen wurden die Policies nach aufgaben erstellt. also z.B. U_Intranet. U für User Policy (sind dann auch so eingestellt, dass nur der Userpart zieht) und eben alle Intraneteinstellungen für IE drin. Gernell haben wir keine User in "Users" Gelassen sondern eben darunter die OUs angelegt bzw. ab Win7 in einem neuen Zweig.
Endanwendersysteme und Server solltest du trennen, lege lieber eine 2. OU an und linke dort auch die Policies, das ist eine feinere Lösung. dann setzt du die Gruppen und so kannst du alles sehr genau steuern.
Zu deiner Softwareverteilung, würde ich pro Installationspaket übrigens 2 Policies erstellen. Install und uninstall. diese dann auch passend Mappen und je 1 Gruppe anlegen. Somit kannst du auch komplexere Installationen durch Gruppen erstellen. Also z.B. Anwendung xyz benötigt Java. statt jetzt in die Policy zur installation der Anwendung die installation von Java reinzupacken, erstellst du eine GPO zur installtion dieser Javaversion, dazu eine Gruppe C_S_Java_install und eine GPO für die Anwendung mit C_S_Anwendung_install in diese Gruppe packst du nun noch C_S_Java_install rein, sodass automatisch Java bei der Installation deiner Anwendung installiert wird.
So organisiert passiert eigentlich wirklich nicht mehr viel. Wenn du unterschiedliche Architekturen und/oder Versionen hast, solltest du das natürlich in deinen Gruppennamen einfließen lassen.
Gruß
Chris