rep 10 Geschrieben 9. Dezember 2013 Melden Teilen Geschrieben 9. Dezember 2013 Irgendwie bekomme ich das einfach nicht hin... Ich möchte einen WMI-Filter für eine GPO schreiben, bekomme es aber einfach nicht hin. Er soll greifen wenn in der Registry ein Eintrag mit einem Wert vorhanden ist, ich bin nun zum Testen schon so weit Runter, dass es mir erst mal Reicht auf einen Schlüssel zu prüfen. Zum Testen habe ich eine Schlüssel "HKLM\Software\tmpGPOs" angelegt. Darin sollte dann eigentlich noch der Eintrag GPOs (DWORD) mit dem Wert 1 oder 0 abgefragt werden. Bisher nach eigenem Wissen und Googlen kommt dabei folgendes rum SELECT * FROM Win32_RegistryAction WHERE Key = 'Software\\tmpGPOs' Wenn ich das über cscript.exe testes, dann dauert das ewig und die CPU geht hoch. Funktioniert aber auch nicht... Ziel sollte es eigentlich sein, das ich einige GPOs über Werte in der Registry steuern kann, Primär zum Testen oder Übergangsweise.... Gruß rep Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 9. Dezember 2013 Melden Teilen Geschrieben 9. Dezember 2013 Mit Hilfe der Zielgruppenadressierung kannst Du auch Registrywerte und Schlüssel abfragen. Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 9. Dezember 2013 Autor Melden Teilen Geschrieben 9. Dezember 2013 Das macht man dann aber für jeden Eintrag, nicht die gesamte Richtlinie. Oder habe ich das falsch verstanden? Gibt es da keinen WMI-Filter oder eine andere Möglichkeit die es für die ganze Richtlinie möglich macht? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 9. Dezember 2013 Melden Teilen Geschrieben 9. Dezember 2013 Das macht man dann aber für jeden Eintrag, nicht die gesamte Richtlinie. Oder habe ich das falsch verstanden? Richtig. Gibt es da keinen WMI-Filter oder eine andere Möglichkeit die es für die ganze Richtlinie möglich macht? Was genau soll denn das GPO machen? Mir schwebt da gerade etwas anderes vor. Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 10. Dezember 2013 Autor Melden Teilen Geschrieben 10. Dezember 2013 Aktuell ist es einfach nur ein Test ohne die Struktur und Organisation im AD zu komplex zu machen (bzw. zu ändern) und flexibel zu gestalten. Ich habe beispielsweise eine Kleine Richtlinie die einen Registry Key setzt um IPv6 abzuschalten (DisabledComponents = ff), zum testen will ich aber einzelne Rechner wieder freigeben (DisabledComponents = 21). Da ich noch nicht lange mit den Gruppenrichtlinien arbeite, habe ich bisher sehr wenige, und nur einheitliche Richtlinien. Das hält mich davon ab, Dinge einzustellen die bei Rechnern/Benutzern unterschiedlich sind. Ebenfalls können hier nicht alle Mitarbeiter im Support (oder sollen) diese Editieren. Vorstellbar ist aber (und Probleme hatte ich auch schon) Startseiten im Internet Explorer oder ähnliche Dinge einzustellen, Die "Chefkarte" (ja dazu gibt es auch Diskussionen) wird dann gezogen und wegen mangelnder Kenntnisse hält mich das dann aktuell davon ab gewisse Dinge einzustellen. Kurz könnte man sagen: Ich beschäftige mich gerade mit der Art und Weise was möglich ist. Und gerne lerne ich nun von Dir was ich machen kann ;-) Aktuell gehe ich davon aus das die Registry nicht geht, und ich Dateien in "C:\Program Files (x86)\tmpGPOs" anlegen muss. Filter für Windows Versionen und Co sind ja keine wirkliche Ausnahme wie ich sie meine... der Wille der Benutzer ist oft das Problem :) Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 10. Dezember 2013 Melden Teilen Geschrieben 10. Dezember 2013 Sicherheitsgruppenfilterung ist dir ein Begriff? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 10. Dezember 2013 Melden Teilen Geschrieben 10. Dezember 2013 Kurz könnte man sagen: Ich beschäftige mich gerade mit der Art und Weise was möglich ist. Und gerne lerne ich nun von Dir was ich machen kann ;-) OK, wenn es etwas komplexer sein darf greife ich selbst gern in die Programmierung ein. Mit VB 2008/2010 lässt sich so einiges 'basteln'. Und die Express-Versionen sind kostenlos zu bekommen. Zusätzlich kann man so eine EXE dann über den WPP und dem WSUS den Clients zur Verfügung stellen. HowTos zu diesem Thema gibt es genug: http://www.wsus.de/lup http://www.gruppenrichtlinien.de/artikel/wsus-package-publisher-software-ueber-windows-server-update-service-bereitstellen/ Sieh dir das einfach mal in Ruhe an, da kommen dir sicherlich ein paar Ideen. Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 10. Dezember 2013 Autor Melden Teilen Geschrieben 10. Dezember 2013 (bearbeitet) Ja, Softwareverteilung (auf die unterschiedlichsten Arten) ist immer ein Thema... Es ist streng genommen eine Mischung aus allem. Mache viel mit CMD, PowerShell oder AutoIt. Aber alles noch im Anfangsstadium. Die Sicherheitsgruppenfilterung habe ich mir ebenfalls angesehen. Ist auch eine Art, jedoch zum Testen für mich ungeeignet. Ich kann mit WMI auf die Art wie ich sie beschrieben habe an einem Rechner eine Richtlinie ziehen, egal welcher Benutzer und welcher Computer, es wird "vor Ort" entschieden. Genau daher sind das natürlich auch keine Sicherheitsrelevanten Einstellungen. Danke aber für den Tipp mit den Sicherheitsgruppen... Meine Idee war aber, alles was ich will nach Möglichkeit mit einem Weg umzusetzen um sowohl eine Dokumentation als auch die Stellen die zu prüfen sind so klein Wie möglich zu halten. Ich gebe zu, ich bin noch in der Findungsphase, daher ist auch jeder Tipp Willkommen, aber irgendwie sind die Dateien bisher am einfachsten. Für Benutzereinstellungen (Also die Startseite) wird auf dauer eher die Sicherheitsgruppen die erste Wahl sein... Danke für alle die bisher schon mitgedacht haben... weiterer Input immer Willkommen. Gruß rep bearbeitet 10. Dezember 2013 von rep Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 10. Dezember 2013 Melden Teilen Geschrieben 10. Dezember 2013 Softwareverteilung via GPO ist ein Graus. EIn großes PRoblem ist zu überprüfen, ob die Software auch installiert wurde. Bei kleineren Installationen nutzen wir inzwischen den WSUS Package Publisher. Ansonsten kenne ich bei Kunden diverse Softwareverteilungen, teilweise Opensource oder Kaufware. Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 10. Dezember 2013 Autor Melden Teilen Geschrieben 10. Dezember 2013 Kenne auch viel Softwareverteilungen, sehr Umfangreich, dementsprechend Schulung nötig und teuer obendrein. OpenSource finde ich klasse, in dem Bereich sind aber oft zu viele Fragen offen geblieben... Fast jede Software ist mit Registryeinträgen, INI Dateien und entsprechenden Parametern heute einfach ohne Ein/Ausgabe zu installieren. Eine einfach eigene Verwaltung ist daher eher das was ich priorisieren würde. Bei der Umsetzung und den Paketen die man auch bei anderen Herstellern selbst kenne und teilweise erstellen muss, lernt man dabei noch viel über die eingesetzten Programme und Windows selbst. Unterm Strich gehe ich davon aus, dass es an identischem Zeitaufwand bleibt. Das liegt aber letztlich an dem Netzwerk und den genauen Anforderungen. Für relativ spezielle, aber überschaubare Anforderungen sind viele Softwareverwaltungen in meinen Augen zu teuer! Ich habe schon viele Skripte mit CMD und PowerSsell geschrieben, bekomme diese aber oft nicht Remote ausgeführt. Mit fehlen hier Infos welche Variablen vorhanden sind in der RemoteShell etc. Aber ich teste hier immer ab und zu. Die Registry auslesen und Dateien ob eine Software korrekt installiert wurde ist denke ich das kleinste Problem. Aber wir driften vom Thema ab... Softwareverteilung ist aber ein großes Thema... :-) bin seit 1 Jahr heiß drauf... da Adobe und Co ja nun fast jeden Monat Updates raus bringen... Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 11. Dezember 2013 Melden Teilen Geschrieben 11. Dezember 2013 Softwareverteilung ist aber ein großes Thema... :-) bin seit 1 Jahr heiß drauf... da Adobe und Co ja nun fast jeden Monat Updates raus bringen... Genau deshalb gibt es hier den WPP in Kombination mit dem WSUS. - Zentrales Reporting in der WSUS.MSC - Import von System Center Update Katalogen (Adobe Reader, Flash Player, u.a. DELL BIOS und HP Treiber) - Nutzung des BITS, für kleinere Außenstellen ohne DC und Server sehr wichtig - Verteilung von allen möglichen und unmöglichen 3rd Party Anwendungen im Minutenbereich Norbert hat sogar ein HowTo für das BIOS Update von DEL PCs erstellt, sehr gut das alles: http://www.wsus.de/veroeffentlichen_von_hardwareupdates_mit_hilfe_von_wsus_package_publisher Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 16. Dezember 2013 Autor Melden Teilen Geschrieben 16. Dezember 2013 Ich habe mal eben ein paar VMs in eine Testumgebung gesetzt, mein WSUS 3.0 mit dem Tool ausgestattet und ausprobiert... da fehlen mir noch ein paar Zusammenhänge, ansonsten sieht es sehr gut aus, Für die Prüfung auf Version und ob ein Update gelaufen ist (ReturnCode) gibt es da Tools oder Empfehlungen? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 16. Dezember 2013 Melden Teilen Geschrieben 16. Dezember 2013 Für die Prüfung auf Version und ob ein Update gelaufen ist (ReturnCode) gibt es da Tools oder Empfehlungen? In der WSUS-Konsole sieht man recht schnell ob ein Update installiert worden ist oder nicht. Das sieht man auch in der Konsole vom WPP. Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 18. Dezember 2013 Autor Melden Teilen Geschrieben 18. Dezember 2013 Ich gebe dem mal in der Testumgebung eine Chance :-) Wieder ein Punkt für die Tage zwischen den Tagen.... mal sehen ob die Liste nicht schon zu lang ist ;-) Trotzdem danke an alle.... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.