StefanWe 14 Geschrieben 1. September 2010 Melden Teilen Geschrieben 1. September 2010 Hi, ich möchte ganz gerne eine Benutzergruppenrichtlinie nur auf Systemen wirken lassen, welche Version 6.1 haben. ( Win 2008 R2 ) Dazu habe ich einen WMI Filter erstellt und als abfragetext folgendes eingefügt. select * from Win32_OperatingSystem where Version like "6.1%" Doch leider wird die Gruppenrichtlinie auf meinem Win 2008 R2 Terminalserver nicht ausgeführt. Nehme ich den WMI Filter wieder heraus, funktioniert alles soweit. Jemand eine Idee ? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 2. September 2010 Melden Teilen Geschrieben 2. September 2010 Was bekommst Du denn ausgegeben, wenn Du den Befehl in ein VB-Script packst und das aufrufst? Die Syntax passt lt.: Create the WMI Filters Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 2. September 2010 Autor Melden Teilen Geschrieben 2. September 2010 Also mein VB Script sieht so aus: ' Disk.vbs ' Sample VBScript to interrogate a disk through WMI ' Author Guy Thomas Windows Server 2008, Exchange advice. Help solving computer problems. VBScript ' Version 1.5 - November 2005 ' --------------------------------------------------------------' Option Explicit Dim objWMIService, objItem, colItems, strComputer, intDrive ' On Error Resume Next strComputer = "." intDrive = 0 ' WMI connection to Root CIM Set objWMIService = GetObject("winmgmts:\\" _ & strComputer & "\root\cimv2") Set colItems = objWMIService.ExecQuery(_ "Select * from Win32_OperatingSystem") ' Classic For Next Loop For Each objItem in colItems intDrive = intDrive + 1 Wscript.Echo "DiskDrive " & intDrive & vbCr & _ "Caption: " & objItem.Version Next WSCript.Quit ' End of Sample Disk VBScript Und als Ausgabe auf dem Terminalserver erhalte ich 6.1.7600. Was soweit ja richtig für den Win 2008 R2 Server ist. Doch trotzdem greift die GPO nicht. Ich habe allerdings noch einen SecurityFilter auf der GPO. Das die GPO nur von Benutzern in einer bestimmten Gruppe ausgeführt werden soll. Aber dies sollte ja kein Problem sein ? Im WMI Filter unterhalb von Delegation stehen nur die Admins drin. Aber das sollte soweit ja auch richtig sein. Achja, Einstellungen die mit der GPO getätigt werden sollen, sind User Settings. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 2. September 2010 Melden Teilen Geschrieben 2. September 2010 Also mein VB Script sieht so aus: Das steht aber so nicht im WMI-Filter, oder? Und als Ausgabe auf dem Terminalserver erhalte ich 6.1.7600. Was soweit ja richtig für den Win 2008 R2 Server ist. Doch trotzdem greift die GPO nicht. Ich habe allerdings noch einen SecurityFilter auf der GPO. Das die GPO nur von Benutzern in einer bestimmten Gruppe ausgeführt werden soll. Aber dies sollte ja kein Problem sein ? Stell die Security auf Default, also nur die Authentifizierten Benutzer. Gehts dann? Wenn ja, die nächste Aktion. Nur so kannst Du sicherstellen, dass auch innerhalb der GPO die richtige Ausgabe kommt. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 2. September 2010 Autor Melden Teilen Geschrieben 2. September 2010 OK, interessant. Trag ich wieder die Authentifizierten Benutzer ein, dann greift der WMI Filter. Doch, wieso nicht, wenn ich nur meine Gruppe drin habe, die die GPO auch bekommen sollen? Oder kann MS nur entweder WMI Filter oder Security Filter ? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 3. September 2010 Melden Teilen Geschrieben 3. September 2010 OK, interessant. Trag ich wieder die Authentifizierten Benutzer ein, dann greift der WMI Filter. Ist es eine Computer oder Benutzer GPO? Wenn Computer GPO mußt Du natürlich die entsprechenden Maschinen oder eine Gruppe eintragen. In den Authentifizierten Benutzern sind auch die Computerkonten enthalten. Bei einer Benutzer GPO muß natürlich der Benutzer in der richtigen Gruppe sein. Doch, wieso nicht, wenn ich nur meine Gruppe drin habe, die die GPO auch bekommen sollen? Oder kann MS nur entweder WMI Filter oder Security Filter ? Probiers aus. Nimm deine Gruppe auf und den WMI-Filter raus. Gehts dann? Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 3. September 2010 Autor Melden Teilen Geschrieben 3. September 2010 Also das ganze funktioniert nun. Es lag am Caching der Gruppenrichtlinien. Ein erneutes gpupdate /force hat dann zum Erfolg geführt. Interessanterweise werden Benutzer GPOs ja immer neu geladen beim Benutzer Logon. OK, danke für das Nachdenken ;) Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 3. September 2010 Melden Teilen Geschrieben 3. September 2010 Also das ganze funktioniert nun. Es lag am Caching der Gruppenrichtlinien. Ein erneutes gpupdate /force hat dann zum Erfolg geführt. Na wunderbar. ;) Interessanterweise werden Benutzer GPOs ja immer neu geladen beim Benutzer Logon. Natürlich, weshalb auch nicht? Die Computer GPOs werden ja auch bei jedem Start des Rechners übernommen. Du findest auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials bestimmt tiefere Hinweise. ;) OK, danke für das Nachdenken ;) Bitte, gern geschehen. ;) Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 3. September 2010 Autor Melden Teilen Geschrieben 3. September 2010 Natürlich, weshalb auch nicht? Die Computer GPOs werden ja auch bei jedem Start des Rechners übernommen. Du findest auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials bestimmt tiefere Hinweise. Naja, nicht unbedingt. Ms hat ja ab XP dieses beschleunigte Logon eingeführt. Dadurch werden Gruppenrichtlinien, gerade die Computer Settings nicht immer neu geladen, sondern erst beim 2. Neustart. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 3. September 2010 Melden Teilen Geschrieben 3. September 2010 Naja, nicht unbedingt. Ms hat ja ab XP dieses beschleunigte Logon eingeführt. Dadurch werden Gruppenrichtlinien, gerade die Computer Settings nicht immer neu geladen, sondern erst beim 2. Neustart. Das stellt man sofort ab. GPO-FAQ No. 36: FAQ-GPO Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 3. September 2010 Melden Teilen Geschrieben 3. September 2010 Hi, noch zwei Anmerkungen dazu: a) Gruppenrichtlinien werden nicht per se bei jedem Logon oder Neustart angewendet. Erst wenn die Versionsnummer der GPO, ein WMI Filter, Gruppenmitgliedschaften usw. verändert wurden, findet eine neue Anwendung statt. Ansonsten passiert "nichts". Warum es mit dem WMI Filter ohne "gpupdate /force" nicht funktioniert hat, muß also an etwas anderem liegen. Ein GPO-caching im eigentlichen Sinne gibt es nicht. b) Da WMI Filter recht teuer werden können, sollten sie effizient geschrieben werden. Es ist also zu empfehlen, anstatt des "gib mir alles" nur die Werte vorauszuwählen, die man tatsächlich benötigt. Also in Deinem Beispiel: select [b][color="Red"]Version[/color][/b] from Win32_OperatingSystem where Version like "6.1%" Viele Grüße olc Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 3. September 2010 Autor Melden Teilen Geschrieben 3. September 2010 das heißt ich könnte dann in auch folgendes schreiben: select Version, ProductType from .... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 3. September 2010 Melden Teilen Geschrieben 3. September 2010 Hi, genau, wenn es in Bezug auf die weiteren Kriterien Sinn macht schon. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.