- \n
- Sicherheitsfilterung, einer Sicherheitsgruppe oder einem einzelnen Objekt wird das Recht „\u00fcbernehmen“ zugeteilt.<\/li>\n<\/ul>\n
- \n
- WMI Queries, eine Abfrage meistens die Hardware oder das Betriebsystem betreffend, das eine Konfiguration abfragt<\/li>\n<\/ul>\n
- \n
- ILT – Item Level Targeting, Zielgruppenadressierung auf Elementebene, innerhalb einer Richtlinie eine Filterung einer einzelnen Einstellung.<\/li>\n<\/ul>\n
\n
Die OU als Filter<\/h3>\n
Diese definiert den Verwaltungsbereich einer Richtlinie, den sogenannten Scope of Management (SOM). Jedes Objekt das die Richtlinie \u00fcbernehmen soll, muss im Verwaltungsbereich der Richtlinien liegen. Es ist genau wie im Dateisystem. Soll eine Datei dieselben Berchtigungen anwenden, wie die, die auf D:\\Daten definiert sind, dann muss die Datei in dem Ordner oder einem Ordner darunter liegen. In D:\\Vertrieb k\u00f6nnen anderen Rechte definiert sein, eine Datei unterhalb von D:\\Daten wird nicht von diesen Rechten\u00a0betroffen sein. Wird eine Datei von D:\\Daten nach D:\\Vertrieb\u00a0verlegt, dann sollten die Rechte ge\u00e4ndert werden. Wenn man m\u00f6chte, da\u00df f\u00fcr D:\\Daten und D:\\Vertrieb dieselben Rechte gelten, dann m\u00fcssen\u00a0 die Rechte\u00a02mal, \u00a0auf beiden Ordner gesetzt werden. Oder man definiert die Rechte schon auf D:\\, einer „Treppenstufe“ dar\u00fcber.
\nDie OU ist als Filter eher eine grobe Zuordnung,\u00a0da ein Objekt nur in einer OU liegen kann. Es gibt f\u00fcr \u00fcbergreifende Regeln nur bedingt M\u00f6glichkeiten, diese Ausnahmen oder Sonderw\u00fcnsche mit einer OU abzubilden. Diese Ausnahmen sind eher genereller Natur, also fast schon keine Ausnahmen mehr.\n<\/p>\nDie Sicherheitsgruppe als Filter<\/h3>\n
Wenn das Objekt im Verwaltungsbereich der Richtlinie liegt, dann muss es das Recht „\u00fcbernehmen“ haben, um die Richtlinien auch anwenden zu d\u00fcrfen. „Lesen“ alleine reicht nicht aus. „\u00dcbernehmen“ ist ein eigenes Recht, das es im AD genau f\u00fcr diesen Zeck gibt.<\/p>\n
Ihr seht die Gruppen, die das Recht haben die Richtlinie zu \u00fcbernehmen auf dem Reiter „Bereich“ im mittleren Abschnitt „Sicherheitsfilterung“. Ich empfehle euch einen kleinem Umweg \u00fcber den Reiter „Delegation“ dann unten rechts auf die Schaltfl\u00e4che „Erweitert“. Da wird es wesentlich deutlicher, was man tut und man kann an dieser Stelle im Gegensatz zum Reiter Bereich sogar mit „Verweigern“ arbeiten, was ich aber sehr sparsam als Recht verwenden w\u00fcrde.<\/p>\n
![\"\"](\"http:\/\/www.gruppenrichtlinien.de\/fileadmin\/user_upload\/bilder\/Filter01.png\")
<\/a>‚
\n(klick-vergr\u00f6\u00dfern)<\/p>\nGanz wichtig ist jetzt bei der Filterung, das die Reihenfolge der Richtlinien stimmt, wenn\u00a0 beide Richtlinien auf derselben Ebene definiert sind. \u00dcber die Schaltfl\u00e4chen kann diese Reihenfolge manipuliert werden und die Richtlinien k\u00f6nnen „von oben nach unten“ sortiert werden. Das Konzept basiert auf LAST WRITER WINS. Der letzte, der den Wert schreibt bestimmt den Wert. Leider ist die GPMC dieser Regel in der Ansicht auf den ersten Blick nicht gefolgt. Der Entwickler hat es wie im Sport definiert: Wer auf Platz 1 (also ganz oben) steht gewinnt und diese Richtlinie bestimmt somit den Wert.\u00a0Das bedeutet aber leider, das der „Letzte“ in der gedachten Reihenfolge nich „unten“ erscheint, sondern eben „oben“.
\nDie Liste muss von unten nach oben betrachtet werden um die Ablaufreihenfolge zu sehen. Wie gesagt: Es\u00a0ist wie im Sport.<\/p>\n![\"\"](\"http:\/\/www.gruppenrichtlinien.de\/fileadmin\/user_upload\/bilder\/Filter02.png\")
<\/a>
\n(klick-vergr\u00f6\u00dfern)<\/p>\nBeispiel:
\nIn meinem Beispiel geht es wie immer um den Bildschirmschoner. Dieser soll f\u00fcr alle gelten und nach 10 Minuten mit Kennwortschutz aktiviert sein. Es gibt aber in meinem Unternehmen immer wieder\u00a0Situationen\u00a0bei denen\u00a0der Bildschirmschoner nicht angewendet werden darf oder er einfach nur st\u00f6rt: Produktionsmaschinen, \u00dcberwachungsmonitore, Leitsysteme, Pr\u00e4sentationsmaschinen, Wegweiser usw. Diese Anwender stecke ich in eine eigene Sicherheitsgruppe „BS_Ausnahme“ und diese kriegen\u00a0keinen Bildschirmschoner.<\/p>\nL\u00f6sung a)
\nIch verweigere das „\u00dcbernehmen“ f\u00fcr die Gruppe „BS_Ausnahme“ auf der GPO „B_Bildschirmschoner 10 Minuten aktiv“. Geht prima, aber\u00a0Ich mag verweigern nicht … man sieht es nicht in der Oberfl\u00e4che und es setzt sich immer durch, was zu beides zu Folgefehlern f\u00fchren kann.<\/p>\nL\u00f6sung b)
\nIch arbeite mit 2 Richtlinien.\u00a0Jeder bekommt einen Bildschirmschoner, aber ich schalte ihn nachtr\u00e4glich \u00fcber die 2te Regel\u00a0wieder aus, wenn ich Mitglied der Sicherheitsgruppe „BS_Ausnahme“ bin. Das gef\u00e4llt mir pers\u00f6nlich besser.<\/p>\nTodo:<\/p>\n
- \n
- Erstelle und Verlinke die Richtlinie „B_Bildschirmschoner 10 Minuten aktiv“<\/li>\n<\/ul>\n
- \n
- Erstelle und Verlinke die Richtlinie „AUSN-SEC-B_Bildschirmschoner aus“ an derselben OU<\/li>\n<\/ul>\n
- \n
- Auf der OU -> Reiter „Verkn\u00fcpfte Gruppenrichtlinienobjekte“ -> Sortiere die „AUSN-SEC-B_Bildschirmschoner aus“\u00a0 nach „oben“ damit sie gewinnt<\/li>\n<\/ul>\n
- \n
- Auf der GPO „AUSN-SEC-B_Bildschirmschoner aus“ – Reiter „Delegation“ -> Schaltfl\u00e4che „Erweitert“<\/li>\n<\/ul>\n
- \n
- Benutzergruppe „Authentifizierte Benutzer“ ausw\u00e4hlen -> Checkbox „Zulassen“ bei „\u00dcbernehmen“ entfernen<\/li>\n<\/ul>\n
- \n
- Benutzergruppe „BS_Ausnahme“ hinzuf\u00fcgen -> Checkbox „Zulassen“ bei „\u00dcbernehmen“ setzen<\/li>\n<\/ul>\n
\nIm Bereich der Sicherheitsfilterung seht ihr jetzt nur noch die „BS_Ausnahme“ und die „Authentifizierten Benutzer“ stehen nicht mehr auf der Liste.<\/p>\n
![\"\"](\"http:\/\/www.gruppenrichtlinien.de\/fileadmin\/user_upload\/bilder\/Filter03.png\")
<\/a>
\n(klick-vergr\u00f6\u00dfern)\n<\/p>\nWMI als Filter<\/h3>\n
Wenn das Objekt im Verwaltungsbereich der Richtlinie liegt und es das Recht hat, die Richtlinien zu \u00fcbernehmen, dann kann die \u00dcbernahme noch einmal aufgrund einer Hardwarevorraussetzung, Betriebsystemkondition oder jedes anderen beliebigen Werts, der \u00fcber WMI zu finden ist gefiltert werden.\n<\/p>\n
- \n
- Der Filter muss immer TRUE ergeben, wenn die Richtlinien \u00fcbernommen werden soll, wenn es also ein bestimmter Wert explizit nicht sein darf, dann muss ich die Query entsprechend formulieren.<\/li>\n<\/ul>\n
- \n
- Queries k\u00f6nnen mit „(“ „)“ ineinander verschachtelt werden und mit AND und\/oder OR verkn\u00fcpft sein.<\/li>\n<\/ul>\n
- \n
- Mehrere Queries in demselben WMI Filter in der GPMC sind immer mit AND verkn\u00fcpft, es gibt leider kein OR<\/li>\n<\/ul>\n
\nDie gr\u00f6\u00dfte Schwierigkeit ist nun: Wie ist die Syntax und wo kriege ich die Werte her<\/p>\n
<\/div>\n\nDie einfachste Antwort: Verwendet den WMICodeCreator von Microsoft. Uralt, aber gut.<\/p>\n<\/div>\n
\nWMI Code Creator v1.0
\nhttp:\/\/www.microsoft.com\/en-us\/download\/details.aspx?id=8572
\n<\/a>
\nTodo:<\/p>\n- \n
- im WMICodeCreator: root\\CIMv2 nehmen, Class ausw\u00e4hlen, nach Properties suchen, den Value anklicken und die Zeile mit dem SELECT Befehl kopieren<\/li>\n<\/ul>\n
- \n
- GPMC \u00f6ffnen -> Knoten WMI Filter -> Neu: Neuer WMI mit Namen und Kommentar angeben<\/li>\n<\/ul>\n
- \n
- Abfrage hinzuf\u00fcgen -> die SELECT Zeile einf\u00fcgen<\/li>\n<\/ul>\n
- \n
- Der WMI Filter steht nun auf jedem Richtlinien Objekt im Dropdown der WMI Filterung zur Verf\u00fcgung<\/li>\n<\/ul>\n
\n
![\"\"](\"http:\/\/www.gruppenrichtlinien.de\/fileadmin\/user_upload\/bilder\/Filter04.png\")
\n(klick-vergr\u00f6\u00dfern)<\/p>\nEin paar klassische WMI Abfragen:<\/p>\n
- \n
- Es ist ein Windows XP oder 2003
\nSELECT * FROM Win32_OperatingSystem WHERE BuildNumber\u00a0< ‚4000‘\u00a0<\/span><\/li>\n<\/ul>\n- \n
- Es ist ein Windows Vista oder h\u00f6her
\nSELECT * FROM Win32_OperatingSystem WHERE BuildNumber\u00a0>\u00a0‚5000‘<\/span><\/li>\n<\/ul>\n- \n
- Es ist eine Workstation (ProductType = 1), DomainController (=2) oder\u00a0MemberServer (=3),\u00a0OS unabh\u00e4ngig).
\nSELECT * FROM Win32_OperatingSystem WHERE ProductType\u00a0=\u00a0‚1‘<\/span><\/li>\n- 32 Bit oder 64 Bit adressieren:
\nSELECT * FROM Win32_OperatingSystem WHERE OSArchitecture = ’32-Bit‘
\nSELECT * FROM Win32_OperatingSystem WHERE OSArchitecture = ’64-Bit‘<\/span><\/li>\n<\/ul>\n- \n
- Die Kombination: Eine deutsche oder englische\u00a0Windows 7 Workstation mit 64-Bit
\nSELECT * FROM Win32_OperatingSystem WHERE\u00a0BuildNumber > ‚5000‘ AND ProductType = ‚1‘ AND\u00a0OSArchitecture = ’64-Bit‘ AND\u00a0(CountryCode = ’49‘ OR CountryCode = ’01‘)<\/span><\/li>\n- Der Compuername beginnt mit „VPC-*“
\nSELECT * FROM Win32_ComputerSystem WHERE Name LIKE ‚vpc-%‘<\/span><\/li>\n<\/ul>\n- \n
- Es ist ein Deutsches Betriebsystem
\nSELECT * FROM Win32_OperatingSystem WHERE CountryCode = ’49‘<\/span><\/li>\n<\/ul>\n- \n
- Der Benutzer verwendet ein deutsches Tastaturlayout:
\nSELECT * FROM Win32_Keyboard WHERE Layout = ‚00000407‘<\/span><\/li>\n<\/ul>\n- \n
- Es ist mindesten der IE8 installiert, egal ob auf Windows XP oder Windows 7
\nSELECT * FROM CIM_DataFile WHERE Filename = ‚iexplore‘ AND version > ‚8.0‘ AND (path = ‚\\\\programme\\\\Internet Explorer\\\\‘ OR path = ‚\\\\program files\\\\Internet Explorer\\\\‘ )<\/span><\/li>\n<\/ul>\n- \n
- Das System hat eine Intel Netzwerkarte:
\nSELECT * FROM Win32_NetworkAdapter WHERE MACAddress LIKE ’00:13:E8%‘<\/span><\/li>\n<\/ul>\n\n
ILT – Item Level Targeting – Zielgruppenadressierung auf Elementebene als Filter<\/h3>\n
Das ist eine neue Funktion, die nur innerhalb der Group Policy Preferences existiert und die M\u00f6glichkeit bietet innerhalb einer einzige Richtlinie PRO Eintrag einer Preference Filter \u00fcber WMI und andere Techniken zu setzen. Die Client Side Extension der GPPs, kennt schon diverse Eckdaten des Systems und kann sie mit eigenen Variablen oder direkten Abfragen adressieren und abfragen.<\/p>\n
Todo:<\/p>\n
- \n
- \u00dcber den Reiter „Geimsam“ -> Checkbox „Zielgruppenadressierung auf Elemetebene“<\/li>\n<\/ul>\n
\n
![\"\"](\"http:\/\/www.gruppenrichtlinien.de\/fileadmin\/user_upload\/bilder\/Filter05.png\")
<\/a>
\n(klick-vergr\u00f6\u00dfern)<\/p>\nHier k\u00f6nnen nicht nur einzelne Abfragen stattfinden, z.B.: nach der Sicherheitsgruppe, sondern es k\u00f6nnen mehrere Filter mit AND und OR kombiniert werden und mit „IST“ und „IST NICHT“ eingestellt werden, Zus\u00e4tzlich gibt es noch die M\u00f6glichkeit eine Sammlung zu erstellen, Eine Sammlung bietet praktisch eine Klammer „(„“)“ um die definierten Filter, die widerum in Summe auf „IST“ und „IST NICHT“ definiert werden kann.\u00a0Einzelne Filter und Sammlungen k\u00f6nnen auch mit „AND“ und „OR“ kombiniert werden. Hier ist praktisch die Ausnahme in der Ausnahme mit einer Ausnahme m\u00f6glich.<\/p>\n
Quelle:\u00a0http:\/\/www.gruppenrichtlinien.de\/artikel\/filtern-von-gruppenrichtlinien-anhand-von-benutzergruppen-wmi-und-zielgruppenadressierung\/<\/a><\/pre>\n","protected":false},"excerpt":{"rendered":"
Gruppenrichtlinien werden nur von einem Benutzer- oder einem Computerobjekt \u00fcbernommen. Sicherheitsgruppen k\u00f6nnen als Filter verwendet werden, um unterschiedliche Richtlinien etwas dynamischer gestaltet aufgrund Mitgliedschaft eines Benutzers oder eines Computers dieser Gruppe anzuwenden. Die OU\/Dom\u00e4ne\/Site, der Einh\u00e4ngepunkt der Richtlinien und von da „nach unten“ Sicherheitsfilterung, einer Sicherheitsgruppe oder einem einzelnen Objekt wird das Recht „\u00fcbernehmen“ zugeteilt. […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,5,6,27],"tags":[],"class_list":["post-505","post","type-post","status-publish","format-standard","hentry","category-betriebssysteme","category-windows-server-2003","category-windows-server-2008","category-windows-server-2012"],"_links":{"self":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts\/505","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=505"}],"version-history":[{"count":1,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts\/505\/revisions"}],"predecessor-version":[{"id":506,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts\/505\/revisions\/506"}],"wp:attachment":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=505"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=505"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=505"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- \u00dcber den Reiter „Geimsam“ -> Checkbox „Zielgruppenadressierung auf Elemetebene“<\/li>\n<\/ul>\n
- Das System hat eine Intel Netzwerkarte:
- Es ist mindesten der IE8 installiert, egal ob auf Windows XP oder Windows 7
- Der Benutzer verwendet ein deutsches Tastaturlayout:
- Der Compuername beginnt mit „VPC-*“
- 32 Bit oder 64 Bit adressieren:
- Es ist eine Workstation (ProductType = 1), DomainController (=2) oder\u00a0MemberServer (=3),\u00a0OS unabh\u00e4ngig).
- Es ist ein Windows Vista oder h\u00f6her
- Es ist ein Windows XP oder 2003
- Der WMI Filter steht nun auf jedem Richtlinien Objekt im Dropdown der WMI Filterung zur Verf\u00fcgung<\/li>\n<\/ul>\n
- Abfrage hinzuf\u00fcgen -> die SELECT Zeile einf\u00fcgen<\/li>\n<\/ul>\n
- GPMC \u00f6ffnen -> Knoten WMI Filter -> Neu: Neuer WMI mit Namen und Kommentar angeben<\/li>\n<\/ul>\n
- im WMICodeCreator: root\\CIMv2 nehmen, Class ausw\u00e4hlen, nach Properties suchen, den Value anklicken und die Zeile mit dem SELECT Befehl kopieren<\/li>\n<\/ul>\n
- Mehrere Queries in demselben WMI Filter in der GPMC sind immer mit AND verkn\u00fcpft, es gibt leider kein OR<\/li>\n<\/ul>\n
- Queries k\u00f6nnen mit „(“ „)“ ineinander verschachtelt werden und mit AND und\/oder OR verkn\u00fcpft sein.<\/li>\n<\/ul>\n
- Der Filter muss immer TRUE ergeben, wenn die Richtlinien \u00fcbernommen werden soll, wenn es also ein bestimmter Wert explizit nicht sein darf, dann muss ich die Query entsprechend formulieren.<\/li>\n<\/ul>\n
- Benutzergruppe „BS_Ausnahme“ hinzuf\u00fcgen -> Checkbox „Zulassen“ bei „\u00dcbernehmen“ setzen<\/li>\n<\/ul>\n
- Benutzergruppe „Authentifizierte Benutzer“ ausw\u00e4hlen -> Checkbox „Zulassen“ bei „\u00dcbernehmen“ entfernen<\/li>\n<\/ul>\n
- Auf der GPO „AUSN-SEC-B_Bildschirmschoner aus“ – Reiter „Delegation“ -> Schaltfl\u00e4che „Erweitert“<\/li>\n<\/ul>\n
- Auf der OU -> Reiter „Verkn\u00fcpfte Gruppenrichtlinienobjekte“ -> Sortiere die „AUSN-SEC-B_Bildschirmschoner aus“\u00a0 nach „oben“ damit sie gewinnt<\/li>\n<\/ul>\n
- Erstelle und Verlinke die Richtlinie „AUSN-SEC-B_Bildschirmschoner aus“ an derselben OU<\/li>\n<\/ul>\n
- Erstelle und Verlinke die Richtlinie „B_Bildschirmschoner 10 Minuten aktiv“<\/li>\n<\/ul>\n
- ILT – Item Level Targeting, Zielgruppenadressierung auf Elementebene, innerhalb einer Richtlinie eine Filterung einer einzelnen Einstellung.<\/li>\n<\/ul>\n
- WMI Queries, eine Abfrage meistens die Hardware oder das Betriebsystem betreffend, das eine Konfiguration abfragt<\/li>\n<\/ul>\n
![\"\"](\"http:\/\/www.gruppenrichtlinien.de\/index.php?eID=tx_cms_showpic&file=fileadmin%2Fuser_upload%2Fbilder%2FFilter01.png&md5=0d443af97a328cfd5c56d9b55def132db05fbf34¶meters[0]=YTo0OntzOjU6IndpZHRoIjtzOjQ6IjgwMG0iO3M6NjoiaGVpZ2h0IjtzOjQ6IjYw¶meters[1]=MG0iO3M6NzoiYm9keVRhZyI7czo0MToiPGJvZHkgc3R5bGU9Im1hcmdpbjowOyBi¶meters[2]=YWNrZ3JvdW5kOiNmZmY7Ij4iO3M6NDoid3JhcCI7czozNzoiPGEgaHJlZj0iamF2¶meters[3]=YXNjcmlwdDpjbG9zZSgpOyI%2BIHwgPC9hPiI7fQ%3D%3D\")
<\/a>‚