WMI Filter für lokale Admins erstellen

[buedi 10]

Hallo zusammen,

habe eine Frage an die WMI Experten. Ich möchte in einer GPO einen WMI Filter setzen, damit die lokalen Administratoren diese Policy nicht bei der Anmeldung am System ausführen.

 

Dies kann nur über einen WMI Filter erfolgen, da man in den Security Einstellungen einer GPO keine Möglichkeit hat, auf lokale Admingruppen zuzugreifen - ist ja auch irgendwie logisch.

 

Kann mir jemand bei dem WMI Filter behilflich sein? Suche schon die ganze Zeit in dem Bereich "select * from win32_UserAccount" rum, aber da scheine ich doch an der falschen Stelle zu sein.

 

Bin um jede Hilfe dankbar.

 

Viele Grüße

Thomas

[Sunny61 806]

Wenn Du in den Sicherheitsfilterungen der GPO die Benutzer oder eine Gruppe aus der Domain einträgst, bekommen die lokalen Admins davon nichts mit.

[buedi 10]

Das ist ja genau das was ich sage, deswegen möchte ich ja auch einen WMI Filter einsetzen, da dieser ja auf der lokalen Maschine ausgeführt wird.

[Stephan Betken 43]

Da die GPO bei der Anmeldung des lokalen Administrators eh nicht verarbeitet (zumindest die Benutzereinstellungen), braucht man ja keinen WMI-Filter.

Oder meinst Du Domänen-Benutzer, die lokale Admin-Rechte haben?

[buedi 10]

Hallo Stephan,

 

ja genau das meine ich. Ich habe Domänenbenutzer die lokale Administratoren auf einzelnen Maschinen sind und für diese Leute sollten die Richtlinien nicht angewendet werden. Und das es immer unterschiedliche Leute auf unterschiedlichen Systemen sind, es aber nur eine Policy betrifft, kann ich nicht mit Securityfiltern arbeiten.

 

Ich benötige daher einen WMI Filter, der auf die lokalen Admingruppen der jeweiligen Maschinen geht.

[NilsK 2.938]

Moin,

 

zumindest die naheliegenden WMI-Klassen Win32_User und Win32_Group funktionieren nicht, denn beide haben keine Daten über Gruppenmitgliedschaften. Eine schnelle Google-Abfrage hat mir deine Frage auch nur ohne Lösung ausgegeben.

 

Da dürfte es schwierig sein, denn wenn ich mich recht erinnere, können GPO-WMI-Filter nur auf den Namespace CIMV2 zugreifen. Da fällt mir jetzt keine andere Klasse ins Auge, die solche Daten enthalten könnte. Zumal du ja eigentlich ein "IfMember" brauchst, also die Information, ob der gerade angemeldete User Mitglied der Gruppe ist - die WMI-Klasse müsste genau diese Verbindung schon selbst herstellen, denn mit Variablen kannst du in dem Filter ja nicht arbeiten.

 

Was genau soll denn für lokale Admins nicht angewendet werden?

 

Gruß, Nils

[vmorbit 10]

was macht denn die user zu lokalen admins?

entweder sie sind domain admins, du hast per restricted groups die user in die lokale admin gruppe eingefügt oder sie manuell zu mitgliedern der lok. admin-gruppe gemacht.

 

je nachdem wie du das gemacht hast, kommen wir vielleicht so auf eine lösung.

[buedi 10]

Sorry, dass ich mich erst wieder so spät melde, aber ich habe mal ein paar Tage (Wochen) Urlaub genossen. Aber spätestens jetzt holt mich die Realität wieder ein. Also zu Deiner Frage:

 

Meine lokalen Admins sind KEINE Domänenadmins sondern werden über Domänengruppen in die lokale Admingruppe auf dem entsprechenden System eingefügt. Als Beispiel: Domänengruppe A ist Mitglied in der lokalen Admingruppe auf System A. Der Benutzer A ist Mitglied der Domänengruppe A.

[NilsK 2.938]

Moin,

 

wenn du wirklich auf Lokale Admins prüfen willst, dürfte das m.E. mit WMI-Filtern in GPOs nicht gehen. Diese haben keinen Zugriff auf die nötigen lokalen Gruppen.

 

Der einzige Weg, den ich sehe, ist eine Designänderung: Definiert Domänengruppen, die ausschließlich für lokale Adminrechte zuständig sind. Die könnt ihr dann direkt zur Filterung einsetzen.

 

Gruß, Nils