10
WMI-Filter Syntax
Hallo Liebe Administratoren,
Ich habe ein Problem mit einem WMI-Filter.
Der Filter wird auf eine Gruppenrichlinie angewendet welche eine .bat Datei ausführt und auf Benutzerebene arbeitet.
Diese Richtlinie wird bei allen Benutzern / Rechner angewandt.
Ich möchte ich einen Benutzer / Rechner von der Richlinie ausnehmen
und habe es mit dem entziehen der berechtigung versucht, leider ohne Erfolg.
Nun möchte ich versuchen den Entsprechenden PC in meinen WMI Filter einzutragen.
Dieser sieht wie folgt aus:
SELECT * FROM Win32_ComputerSystem WHERE Name LIKE 'P1%' OR Name LIKE 'L1%'
Damit werden alle "P"Cs und alle "L"aptops angesprochen. Der Filter funktioniert wie gewünscht. Geräte mit anderen Namen werden von der Richlinie nicht beeinflusst.
Nun zu meiner Frage:
Ist es möglich das Gerät auf welches die Richlinie nicht angewandt werden soll in den WMI-Filter einzutragen?
Also z.B:
SELECT * FROM Win32_ComputerSystem WHERE Name LIKE 'P1%' OR Name LIKE 'L1%' AND not Name LIKE 'P10183'
Danke!
Ich habe ein Problem mit einem WMI-Filter.
Der Filter wird auf eine Gruppenrichlinie angewendet welche eine .bat Datei ausführt und auf Benutzerebene arbeitet.
Diese Richtlinie wird bei allen Benutzern / Rechner angewandt.
Ich möchte ich einen Benutzer / Rechner von der Richlinie ausnehmen
und habe es mit dem entziehen der berechtigung versucht, leider ohne Erfolg.
Nun möchte ich versuchen den Entsprechenden PC in meinen WMI Filter einzutragen.
Dieser sieht wie folgt aus:
SELECT * FROM Win32_ComputerSystem WHERE Name LIKE 'P1%' OR Name LIKE 'L1%'
Damit werden alle "P"Cs und alle "L"aptops angesprochen. Der Filter funktioniert wie gewünscht. Geräte mit anderen Namen werden von der Richlinie nicht beeinflusst.
Nun zu meiner Frage:
Ist es möglich das Gerät auf welches die Richlinie nicht angewandt werden soll in den WMI-Filter einzutragen?
Also z.B:
SELECT * FROM Win32_ComputerSystem WHERE Name LIKE 'P1%' OR Name LIKE 'L1%' AND not Name LIKE 'P10183'
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 317047
Url: https://administrator.de/contentid/317047
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
10 Kommentare
Neuester Kommentar
Hi,
etwa so:
E.
etwa so:
SELECT * FROM Win32_ComputerSystem WHERE (Name LIKE 'P1%' OR Name LIKE 'L1%') AND Name <> 'P10183' E.
Danke!
Das scheint zu funktionieren.
Wie würde das ganze aussehen wenn ich mehr als einen Rechner zu den Ausnahmen hinzufügen möchte?
Das scheint zu funktionieren.
Wie würde das ganze aussehen wenn ich mehr als einen Rechner zu den Ausnahmen hinzufügen möchte?
Na einfach mit AND verknüpfen 
Du solltest mit WMI FIltern aber sparsam sein denn diese kosten erheblich Zeit beim Login. Arbeite stattdessen mit der Sicherheitsfilterung.
R.
SELECT * FROM Win32_ComputerSystem WHERE (Name LIKE 'P1%' OR Name LIKE 'L1%') AND (Name <> 'P10183' AND Name <> 'P10184' AND Name <> 'P10185') R.
Danke! So klappts.
Wegen der Sicherheisfilterung:
Das habe ich bereits versucht, doch leider ohne erfolg.
Richlinie => Delegierung => Hinzufügen => Erwitert => Gruppenrichtlinie übernehmen "verweigert"
müsste so stimmen, oder übersehe ich etwas?
Wegen der Sicherheisfilterung:
Das habe ich bereits versucht, doch leider ohne erfolg.
Richlinie => Delegierung => Hinzufügen => Erwitert => Gruppenrichtlinie übernehmen "verweigert"
müsste so stimmen, oder übersehe ich etwas?
müsste so stimmen, oder übersehe ich etwas?
Sicherheitsfilterung ist in diesem Fall nicht zielführend. Wenn ich es richtig verstanden habe, soll hier eine GPO mit Benutzereinstellungen abhängig vom Computer angewendet werden oder nicht. Das kann man nur über WMI-Filter (sei es nun die klassischen Filter oder die in der Zielgruppenaddressierung bei den GPP) oder über Loopback-Verarbeitung erreichen. WMI-Filter kosten Zeit. Loopback-Verarbeitung muss (zunächst vom Admin verstanden worden sein und dann) nach einem "sauberen" Konzept implementiert werden.
Nicht ganz, die Gruppenrichtlinie könnte auch auf Benuzerebene gesperrt werden.
Ich würde damit zu selbe Ergebnis kommen da der Entsprechende PC immer vom selben Benutzer verwendet wird.
Nochmal: Ich möchte das die Richtlinie auf einem Rechner mit dem Namen "P10013" NICHT angewandt wird.
Folgender Filter arbeit nun wie gewünscht:
SELECT * FROM Win32_ComputerSystem WHERE (Name LIKE 'P1%' OR Name LIKE 'L1%') AND NOT Name <> 'P10013'
Doch wenn es eine Möglichkeit auf Benutzerebene (Ohne Filter) gibt würde mich das auch sehr freuen.
Leider hat folgendes nicht funktioniert:
Richlinie => Delegierung => Hinzufügen (gewünschter user) => Erwitert => Gruppenrichtlinie übernehmen "verweigert"
Ich würde damit zu selbe Ergebnis kommen da der Entsprechende PC immer vom selben Benutzer verwendet wird.
Nochmal: Ich möchte das die Richtlinie auf einem Rechner mit dem Namen "P10013" NICHT angewandt wird.
Folgender Filter arbeit nun wie gewünscht:
SELECT * FROM Win32_ComputerSystem WHERE (Name LIKE 'P1%' OR Name LIKE 'L1%') AND NOT Name <> 'P10013'
Doch wenn es eine Möglichkeit auf Benutzerebene (Ohne Filter) gibt würde mich das auch sehr freuen.
Leider hat folgendes nicht funktioniert:
Richlinie => Delegierung => Hinzufügen (gewünschter user) => Erwitert => Gruppenrichtlinie übernehmen "verweigert"
Richlinie => Delegierung => Hinzufügen (gewünschter user)
Hä? Ich dachte du willst für einen Computer das diese nicht übernommen wird wenn es Computersettings sind, denn du schreibst:Nochmal: Ich möchte das die Richtlinie auf einem Rechner mit dem Namen "P10013" NICHT angewandt wird.
Also muss du dem Computer-Objekt das Lesen verweigern nicht einem Userobjekt ...
Deine Aussagen widersprechen sich dann aber. Bzw. Deine Herangehensweise.
Wenn Du davon ausgehst, dass sich ein Benutzer zu 99,99% immer nur an ein und demselben Client anmeldet, dann willst Du doch tatsächlich diese GPO nicht per Client filtern sondern defacto per User. Dann tu es doch einfach.
Man kann es auch über Verweigerungen machen, aber das kann ich GPO-Anfängern (Du bist offensichtlich einer) nicht empfehlen.
Wenn Du davon ausgehst, dass sich ein Benutzer zu 99,99% immer nur an ein und demselben Client anmeldet, dann willst Du doch tatsächlich diese GPO nicht per Client filtern sondern defacto per User. Dann tu es doch einfach.
- Nimm den WMI-Filter raus,
- entferne die standardmäßig enthaltenenen "Autentifizierte Benutzer" aus der Sicherheitsfilterung
- und füge statt dessen die betreffenden Benutzer bzw. (viel besser!) die betreffenden Benutzergruppen hinzu. Nichts weiter.
Man kann es auch über Verweigerungen machen, aber das kann ich GPO-Anfängern (Du bist offensichtlich einer) nicht empfehlen.
Also muss du dem Computer-Objekt das Lesen verweigern nicht einem Userobjekt ...
Nein, er will doch eine GPO mit Benutzereinstellungen verteilen, bloß eben abhängig vom Computer.Zitat von @emeriks:
Deine Aussagen widersprechen sich dann aber. Bzw. Deine Herangehensweise.
Wenn Du davon ausgehst, dass sich ein Benutzer zu 99,99% immer nur an ein und demselben Client anmeldet, dann willst Du doch tatsächlich diese GPO nicht per Client filtern sondern defacto per User. Dann tu es doch einfach.
Deine Aussagen widersprechen sich dann aber. Bzw. Deine Herangehensweise.
Wenn Du davon ausgehst, dass sich ein Benutzer zu 99,99% immer nur an ein und demselben Client anmeldet, dann willst Du doch tatsächlich diese GPO nicht per Client filtern sondern defacto per User. Dann tu es doch einfach.
Genau, für mich ist es in diesem Fall egal ob ich per Client oder per User filtere.
# Nimm den WMI-Filter raus,
- entferne die standardmäßig enthaltenenen "Autentifizierte Benutzer" aus der Sicherheitsfilterung
- und füge statt dessen die betreffenden Benutzer bzw. (viel besser!) die betreffenden Benutzergruppen hinzu. Nichts weiter.
Danke!
So werde ich es nun Testen.
