Toon posts:

[GPO+WMI] GPO Applien alleen als er via RDP word ingelogd.

Pagina: 1
Acties:
  • 164 views sinds 30-01-2008
  • Reageer

donderdag 12 januari 2006 13:48

Acties:
  • Tylen
  • Registratie: September 2000
  • Laatst online: 02:44

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Topicstarter
Ik heb hier draaien een Windows 2003 Server.

Ik heb hieraan gekoppeld een GPO met bepaalde gebruikers settings.
Nu wil ik de GPO alleen applien als en via RDP word ingelogd. (ook aan domain admins)
Als er op de console word aangelogd wil ik dit niet.

Nu heb ik voor deze GPO een WMI filter gemaakt die er als volgt uitziet.

code:
1

Select * FROM Win32_LogonSession Where LogonType = 10


Dit werkt dus niet. (ook met LogonType = 2 geprobeerd) Ik zelf heb het idee dat WMI filtering alleen op de Computer GPO's gebeurt (Tijdens opstarten dus) Maar ik kan dat nergens vinden.

Iemand een idee hoe het op te lossen is, of iemand die kan bevestigen dat WMI Filtering alleen gebeurd op Computer niveau (niet user niveau)

“Choose a job you love, and you will never have to work a day in your life.”

donderdag 12 januari 2006 13:54

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

group maken met rdp users

ou maken met group erin

gpo toepassen op ou?

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

donderdag 12 januari 2006 13:59

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-02 14:25

Taigu

Interessante kwestie. Voor de anderen hier info over win32_logonsession.

In diverse bronnen lees ik :
In Windows 2003, you can use WMI Filters in addition to group filtering. WMI filters contain the WQL based queries, which are evaluated dynamically at the computer startup or user logon, and depending on their outcome, allow or disallow the GPO settings to be applied. As you can imagine, the number of possibile conditions is huge, since you can test value of any property available via WMI.
Heb je logging voor GPO's op zn allerhoogst staan ? Zo niet, check dan even dit. Misschien dat de logs wat meer aanwijzingen geven, op het eerste gezicht doe je het goed en logontype2 en 10 lijken me de meest logische opties.

Edit: Dirk, ik denk dat we kunnen aannemen dat het om gebruikers gaan die zowel fysiek achter de pc aanmelden als via RDP. Dirk Jan heeft gelijk Laat maar :)

[ Voor 11% gewijzigd door Taigu op 12-01-2006 14:03 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

donderdag 12 januari 2006 13:59

Acties:
  • Tylen
  • Registratie: September 2000
  • Laatst online: 02:44

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Topicstarter
Sterker nog het gaat om een Terminal Server.

Dus de GPo hangt aan de OU waar ook het Computer Account van de Server in staat.

Op de Computer Policy is vervolgens Loopback Processing mode aangezet.


Nog meer info.

Als ik de WMI filter eraf haal. Werkt alles goed hoor. Dit is alleen om te voorkomen dat Admins via RDP de server uit kunnen zetten. Normaal apply ik nooit de Users GPO aan Domain Admins, maar deze klant wilt het wel. Opzich een erg mooie oplossing, als het werkt, en ik ga hem zeker in de toekomst vaker gebruiken. (als het uberhaubt werkt)

“Choose a job you love, and you will never have to work a day in your life.”

donderdag 12 januari 2006 14:10

Acties:
  • Tylen
  • Registratie: September 2000
  • Laatst online: 02:44

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Topicstarter
buddhole schreef op donderdag 12 januari 2006 @ 13:59:
Interessante kwestie. Voor de anderen hier info over win32_logonsession.

In diverse bronnen lees ik :

[...]


Heb je logging voor GPO's op zn allerhoogst staan ? Zo niet, check dan even dit. Misschien dat de logs wat meer aanwijzingen geven, op het eerste gezicht doe je het goed en logontype2 en 10 lijken me de meest logische opties.

Edit: Dirk, ik denk dat we kunnen aannemen dat het om gebruikers gaan die zowel fysiek achter de pc aanmelden als via RDP. Dirk Jan heeft gelijk Laat maar :)
Thanks. Ja het lijkt mij inderdaad ook dat op user niveau dit gefilterd kan worden.

Thanks ook. Voor de links naar die verbose logging voor GPO's. Ik zet hem aan en hou mijn eventvwier even in de gaten.

Meer info.. ALTIJD WELKOM...

“Choose a job you love, and you will never have to work a day in your life.”

donderdag 12 januari 2006 15:14

Acties:
  • Tylen
  • Registratie: September 2000
  • Laatst online: 02:44

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Topicstarter
Het lijkt erop dat mijn Domain Users de waarde 0 krijgen als LogonType. Opzich erg raar want dit is gebruikt voor het System Account.

Nou word er als user variable SESSIONNAME=RDP-tcp#<nummer> aangemaakt als er via RDP word ingelogt.
Als er via console word ingelogd staat er: SESSIONNAME=Console

Helaas heb ik geen WMI Class kunnen vinden welke UserVariables uit kan lezen. Computer variables wel (Win32_Environment)

Als iemand deze heeft voor mij kan ik het denk ik oplossen. Dus de vraag is.
Met welke WMI Class kan ik User Variables uitlezen?

“Choose a job you love, and you will never have to work a day in your life.”

donderdag 12 januari 2006 15:18

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-02 14:25

Taigu

Kun je hier of hier wat mee ?

[ Voor 26% gewijzigd door Taigu op 12-01-2006 15:19 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

donderdag 12 januari 2006 15:25

Acties:
  • Abom
  • Registratie: September 2000
  • Laatst online: 20-02 18:06

Abom

Jeroen_Tielen schreef op donderdag 12 januari 2006 @ 13:59:
...
Dit is alleen om te voorkomen dat Admins via RDP de server uit kunnen zetten.
Voor zover ik weet is dit standaard bij Windows 2003. Je moet altijd inloggen op het console van een server (rdp connecten naar '<machinename> /console') om een shutdown uit te kunnen voeren.

donderdag 12 januari 2006 15:30

Acties:
  • Tylen
  • Registratie: September 2000
  • Laatst online: 02:44

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Topicstarter
@BuddHole: Had die site's ook al gevonden. :( Damn. Dit moet toch gewoon kunnen. :(

@Abom: Ja ik weet het. Oke ik heb gelogen. Ik wil helemaal GEEN policies als ik via de Console inlog maar wel via RDP ;)

Ik zoek nuog even verder. :(

“Choose a job you love, and you will never have to work a day in your life.”

zaterdag 14 januari 2006 00:45

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 02:52

Rolfie

Ik weet niet of je hier iets mee kunt?

Terminal Services WMI Provider Reference

zaterdag 14 januari 2006 01:11

Acties:
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 01:01

Dennis

Abom schreef op donderdag 12 januari 2006 @ 15:25:
Voor zover ik weet is dit standaard bij Windows 2003. Je moet altijd inloggen op het console van een server (rdp connecten naar '<machinename> /console') om een shutdown uit te kunnen voeren.
Dat is iig zeker niet zo. Je krijgt wel altijd een bevestigingswaarschuwing.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq