Articles

Wie man WMI-Filterung verwendet: Just the Basics

Wenn Sie eine Gruppenrichtlinie (GPO) für Benutzer oder Systeme erstellen, gehören diese normalerweise zu einer bestimmten Organisationseinheit (OU) innerhalb von Active Directory. Beispiel: Kategorisierung von Vertrieb und Personalwesen.

Standardmäßig kann ein von Ihnen zugewiesenes GPO auch dann eingesetzt werden, wenn Sie es nicht wünschen, wenn mehrere OUs und GPOS vorhanden sind. Zum Beispiel können Sie GPOs haben, die an den Benutzer, an eine Gruppe, der der Benutzer angehört, und an das System, auf das er zugreift, gebunden sind.

Angenommen, Sie haben eine Gruppenrichtlinie, die Drucker und Laufwerksfreigaben einem Benutzer zuordnet. Sie haben dieses GPO erstellt, um den Benutzer bei der Anmeldung an Arbeitsstationen zu unterstützen. Dieser Benutzer meldet sich jedoch auch bei Servern an. Sie möchten nicht, dass dieses GPO angewendet wird, wenn sich der Benutzer am Server anmeldet. Um dieses Problem zu beheben, würden Sie die WMI-Filterung verwenden.

Zu diesem Zweck entwerfen Sie die WMI-Filterzeichenfolge, um die Systeme zu identifizieren, die Sie ausschließen möchten. Ihre WMI-Filter gelten nur für die übrigen Systeme, die Sie nicht identifiziert haben. Wenn Sie zum Beispiel nur den W32-Produkttyp „1“ definieren, wird das GPO auf Systeme mit dem W32-Produkttyp „Typ „2“ und „3“ angewendet.

Was ist ein Produkttyp? So wird der OS-Modus definiert:

ProductType=“1″ ist Client-Betriebssystem

ProductType=“2″ ist Domänencontroller

ProductType=“3″ ist Server, die keine Domänencontroller sind

WMI Win32_OperatingSystem Versionsnummern:

5.1 – Windows XP (Sie sollten diese Nummer nicht verwenden müssen)

5.2 – Windows Server 2003

5.2.3 – Windows Server 2003 R2

6.0 – Windows Vista & Windows Server 2008

6.1 – Windows 7 & Windows Server 2008 R2

6.2 – Windows 8 & Windows Server 2012

6.3 – Windows 8.1 & Windows Server 2012 R2

Für weitere Details dazu gibt es hier einen guten Artikel.

So erstellen Sie den WMI-Filter. Öffnen Sie die Gruppenrichtlinienverwaltung und erweitern Sie Wald, Domänen und die Domäne. Klicken Sie mit der rechten Maustaste auf WMI-Filter und wählen Sie „Neu“:

WMI filteringBenennen Sie den WMI-Filter, füllen Sie die Beschreibung aus und wählen Sie dann „Hinzufügen“, um Ihre spezifische Abfrage hinzuzufügen, wie im folgenden Beispiel gezeigt:

WMI filteringUnd speichern:

WMI filteringWenn Ihre Abfrage einen Fehler enthält, wird möglicherweise eine Warnung angezeigt.

Wenn Sie nun GPOs bearbeiten, wird der neu erstellte WMI-Filter in der Dropdown-Liste unten auf der Registerkarte „Bereich“ angezeigt.

WMI filteringNachdem Sie nun das Konzept verstanden haben, können Sie Ihre WMI-Filter folgendermaßen testen.

In diesem Beispiel schließt der Filter Domänencontroller und Server aus.

Hier ist ein Testbeispiel mit PowerShell:

$query = „select * from Win32_OperatingSystem WHERE (ProductType<>’2′ AND ProductType<>’3′)“

Get-WMIObject -Query $query

Wenn der WMI-Filter ein Ergebnis zurückgibt, dann wird die Richtlinie angewendet. Wenn er nichts zurückgibt, wird die Richtlinie nicht angewendet. In dem Beispiel, das ich auf meiner Workstation angewendet habe, würde die Ausgabe wie folgt aussehen:

WMI filteringDas war’s! Probieren Sie es einfach aus.