3
WMI-Filter wird nicht angewendet
Hallo an alle WMI-Profis,
in einer Domäne die ich mit betreue hat es sich ergeben, dass die Struktur sagen wir Mal sehr speziell ist.
Dadurch macht das Verknüpfen von GPOs zum Teil wirklich keinen Spaß - zig OUs mit einer exotischen Struktur.
Vielleicht ist es auch noch wichtig zu sagen, dass es 5 DCs gibt - die machen aber soweit Ihren Job. Nichts außergewöhnliches.
Nun muss ich bestimmte Computer mit einem GPO mit sehr granularen und dynamischen Anforderungen verknüpfen.
Mein Ansatz - Gruppen anlegen und das GPO via WMI Filter nur da walten lassen, wo es auch soll.
Problem: Hab alles nach Best Practice eingerichtet - GPO angelegt, in die OU gepackt, WMI-Filter angelegt, die beiden verheiratet und Computer in Gruppe geschmissen.
gpresult bestätigt mir die Gruppenzugehörigkeit und das verknüpfte Gruppenrichtlinienobjekt - obwohl das laut dem WMI Filter eigentlich ausgeschlossen werden soll.
SELECT * FROM Win32_Group WHERE Name = "Gruppenname"
Laut Suchmaschine meines Vertrauens passt das auch so.
Ein WMI-Validator-Tool gibt mir aber für "WHERE" und "WHERE NOT" jeweils des Wert TRUE zurück - Warum??
Das variiert auch sporadisch bei anderen Computern/VMs die ich teste...
Auch wenn ich mit falschen Eingaben ein FALSE provoziere wird die GPO angewendet - zumindest sagt gpresult das.
gpresult sollte im besten Fall ja sagen "Wird nicht angewendet weil bliblablub..." oder liege ich da falsch?
Stehe ich hier komplett auf dem Schlauch oder übersehe ich evtl. nur ne Kleinigkeit... Danke für Eure Erfahrungen.
Gruß Plekk
in einer Domäne die ich mit betreue hat es sich ergeben, dass die Struktur sagen wir Mal sehr speziell ist.
Dadurch macht das Verknüpfen von GPOs zum Teil wirklich keinen Spaß - zig OUs mit einer exotischen Struktur.
Vielleicht ist es auch noch wichtig zu sagen, dass es 5 DCs gibt - die machen aber soweit Ihren Job. Nichts außergewöhnliches.
Nun muss ich bestimmte Computer mit einem GPO mit sehr granularen und dynamischen Anforderungen verknüpfen.
Mein Ansatz - Gruppen anlegen und das GPO via WMI Filter nur da walten lassen, wo es auch soll.
Problem: Hab alles nach Best Practice eingerichtet - GPO angelegt, in die OU gepackt, WMI-Filter angelegt, die beiden verheiratet und Computer in Gruppe geschmissen.
gpresult bestätigt mir die Gruppenzugehörigkeit und das verknüpfte Gruppenrichtlinienobjekt - obwohl das laut dem WMI Filter eigentlich ausgeschlossen werden soll.
SELECT * FROM Win32_Group WHERE Name = "Gruppenname"
Laut Suchmaschine meines Vertrauens passt das auch so.
Ein WMI-Validator-Tool gibt mir aber für "WHERE" und "WHERE NOT" jeweils des Wert TRUE zurück - Warum??
Das variiert auch sporadisch bei anderen Computern/VMs die ich teste...
Auch wenn ich mit falschen Eingaben ein FALSE provoziere wird die GPO angewendet - zumindest sagt gpresult das.
gpresult sollte im besten Fall ja sagen "Wird nicht angewendet weil bliblablub..." oder liege ich da falsch?
Stehe ich hier komplett auf dem Schlauch oder übersehe ich evtl. nur ne Kleinigkeit... Danke für Eure Erfahrungen.
Gruß Plekk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3954993149
Url: https://administrator.de/contentid/3954993149
Printed on: May 5, 2024 at 15:05 o'clock
3 Comments
Latest comment
Du willst nach Gruppen filtern? Was spricht gegen Sicherheitsfilterung?
Vielleicht ist die Gruppenmitgliedschaft noch nicht aktiv? Sie wird beim booten aktiv (wenn neue Kerberos Tickets angefordert werden) .
Alternativ
Um die vorhandenen Tickets zu löschen und danach
Um neue Tickets anzufordern und die GPOs abzuarbeiten.
Vielleicht ist die Gruppenmitgliedschaft noch nicht aktiv? Sie wird beim booten aktiv (wenn neue Kerberos Tickets angefordert werden) .
Alternativ
klist.exe -li 0x3e7 purge gpupdate /target:computer
1
Moin
Da deine Gruppe laut deiner Beschreibung überhaupt nicht beachtet wird, klingt das fast nach meiner Beobachtung, falls der Hinweis von @chaot1coz nichts ändert. Dann würde ich dir raten, dass du einfach einen Tag wartest und schaust was da passiert. Mich hat es nämlich damals irre gemacht als ich das Druckermapping in der Firma auf GPO-Gruppen umgestellt hat und die Drucker nicht verteilt wurden, obwohl alles richtig war. Bin dann genervt nach Hause gegangen und am nächsten Tag lief alles wie von Zauberhand.
Gruß
Doskias
Zitat von @chaot1coz:
Du willst nach Gruppen filtern? Was spricht gegen Sicherheitsfilterung?
Schuss ins Blaue: Bei einigen wenigen GPOs gibt es keine Sicherheitsfilterung.Du willst nach Gruppen filtern? Was spricht gegen Sicherheitsfilterung?
Vielleicht ist die Gruppenmitgliedschaft noch nicht aktiv? Sie wird beim booten aktiv (wenn neue Kerberos Tickets angefordert werden) .
Alternativ
Um die vorhandenen Tickets zu löschen und danach
Um neue Tickets anzufordern und die GPOs abzuarbeiten.
Ich hatte es schon mehrfach, dass die Gruppenmitlgiedschaft erst am nächsten Tag gegriffen hat, trotz dem was @chaot1coz schreibt. Ich habe den Grund dafür noch nicht ermitteln können, aber es kommt bei mir häufiger vor, dass neu angelegte Gruppen (und ausschließlich neu angelegte Gruppen), zwar sofort zur Konfiguration zur Verfügung stehen, aber erst am nächsten Tag verarbeitet werden. Und das ganze Trotz Neustart der Clients und der DCs. Leg ich Sie auf DC1 an, sind sie sofort auf DC2 verfügbar und kann für Gruppenrichtlinien, Mailverteiler, Freigaben, etc. verwendet werden. Aus irgendeinem mir bislang nicht bekannten Grund greifen diese Einstellungen aber erst am nächsten Tag. Laut einigen MS-MVPs sollte dies nicht so sein.Alternativ
klist.exe -li 0x3e7 purge gpupdate /target:computerDa deine Gruppe laut deiner Beschreibung überhaupt nicht beachtet wird, klingt das fast nach meiner Beobachtung, falls der Hinweis von @chaot1coz nichts ändert. Dann würde ich dir raten, dass du einfach einen Tag wartest und schaust was da passiert. Mich hat es nämlich damals irre gemacht als ich das Druckermapping in der Firma auf GPO-Gruppen umgestellt hat und die Drucker nicht verteilt wurden, obwohl alles richtig war. Bin dann genervt nach Hause gegangen und am nächsten Tag lief alles wie von Zauberhand.
Gruß
Doskias
1
Vielen Dank für eure Antworten.
Leider auch nach eigentlich genug verstrichener Zeit und dem Ticket-Flush keine Lösung meines Problems.
WMI gibt den Wert TRUE zurück - ob ich in der Gruppe bin oder nicht.
gpresult dagegen gibt die Infos zurück, die laut AD auch eingerichtet sind -> bzgl. Gruppenmitgleidschaft sehe ich hier also wenig Optimierungspotenzial.
Eine Sicherheitsfilterung richte ich eigentlich ungern ein - wenn es sich aber sonst nicht lösen lässt werde ich wohl darauf zurückgreifen müssen -> Kunde droht mit Auftrag.
Gruß
Plekk
Leider auch nach eigentlich genug verstrichener Zeit und dem Ticket-Flush keine Lösung meines Problems.
WMI gibt den Wert TRUE zurück - ob ich in der Gruppe bin oder nicht.
gpresult dagegen gibt die Infos zurück, die laut AD auch eingerichtet sind -> bzgl. Gruppenmitgleidschaft sehe ich hier also wenig Optimierungspotenzial.
Eine Sicherheitsfilterung richte ich eigentlich ungern ein - wenn es sich aber sonst nicht lösen lässt werde ich wohl darauf zurückgreifen müssen -> Kunde droht mit Auftrag.
Gruß
Plekk
