Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Grundlagen von Gruppenrichtlinien 191
dem das Computer- oder Benutzerkonto des gewünschten Ziels liegt. Falls ich computerspezifische
Sicherheitsrichtlinien auf allen Computern in der Marketingabteilung meiner Organisation
bereitstellen will, verknüpfe ich mein GPO mit der Organisationseinheit Marketing.
Falls ein Teil der Computer innerhalb der Organisationseinheit Marketing eine andere Sicherheitsrichtlinie
haben muss, (etwa weil sie unter einem anderen Betriebssystem laufen), kann
ich die Sicherheitsgruppenfilterung bei einem zweiten GPO verwenden, das ebenfalls mit
der Organisationseinheit Marketing verknüpft ist, um diese Computer auszusondern. Es ist
egal, ob die Sicherheitsgruppe, mit der ich filtere, in einer Organisationseinheit liegt, die
außerhalb der Organisationseinheit Marketing angeordnet ist. Vergessen Sie nicht, dass
Gruppenrichtlinien nur von Benutzer- und Computerkonten verarbeitet werden. Daher kann
eine Sicherheitsgruppe an beliebiger Stelle in Active Directory liegen, aber trotzdem eingesetzt
werden, um Gruppenrichtlinien für die Computer oder Benutzer einer bestimmten
Organisationseinheit zu filtern. Spätestens jetzt dürfte Ihnen aber bewusst werden, dass die
Verwendung von Sicherheitsgruppen für bestimmte Arten der Filterung (etwa Filterung
anhand des Betriebssystems) etwas umständlich ist. Für solche Zwecke sollten wir die
WMI-Filterung verwenden.
WMI-Filterung für GPOs
Bisher habe ich beschrieben, wie GPOs verknüpft werden, um zu steuern, welche Benutzer
und Computer sie verarbeiten, und ich habe erklärt, wie Sie mithilfe der Sicherheitsgruppenfilterung
flexibler steuern können, auf welche Ziele innerhalb der verknüpften Standorte,
Domänen und Organisationseinheiten ein GPO angewendet wird. Jetzt sehen wir uns den
letzten Mechanismus an, mit dem Sie steuern, wie Gruppenrichtlinien verarbeitet werden:
WMI-Filter.
WMI-Filterung wurde erstmals in Windows Server 2003 und Windows XP eingeführt. Im
Unterschied zur Sicherheitsgruppenfilterung, die voraussetzt, dass Sie Benutzer und Computer
in Gruppen zusammenfassen, greift die WMI-Filterung auf das integrierte WMI-Framework
(Windows Management Instrumentation) zurück, das seit Windows XP in das Betriebssystem
eingebaut ist. Sie können damit die Anwendung von Gruppenrichtlinien dynamisch
filtern, abhängig von der Hardware- und Softwarekonfiguration des Computers und
Benutzers.
Um die WMI-Filterung nutzen zu können, müssen Sie WQL (WMI Query Language) beherrschen.
In Active Directory erstellen Sie mit der Konsole Gruppenrichtlinienverwaltung
WMI-Filter, die eine WQL-Anweisung enthalten. Diese Anweisung kann zum Beispiel folgende
Fragen stellen: »Läuft das System, das diese Richtlinie verarbeitet, unter Windows
XP Service Pack 2? Läuft es unter Windows Vista? Läuft es unter Windows Vista Business
Edition?« Wenn Sie einen solchen Filter erstellt haben, können Sie ihn mit einem GPO verknüpfen,
auch das tun Sie wieder in der Konsole Gruppenrichtlinienverwaltung. Anschließend
wertet der Computer oder Benutzer, der das GPO verarbeitet, die WQL-Anweisung
aus. Falls die Anweisung das Ergebnis True ergibt, wird das GPO angewendet. Falls die
Anweisung das Ergebnis False liefert, wird das GPO nicht angewendet. Indem Sie WMI-
Filter auf diese Weise verwenden, können Sie die Verarbeitung von Gruppenrichtlinien anhand
der Hardware oder Software filtern, die auf einem Computer installiert ist.
WMI-Filteranweisungen müssen immer die Form einer Abfrage haben, die das Ergebnis
True oder False liefert, wenn sie auf dem Computer ausgeführt werden, der diesen Filter
verarbeitet. Abbildung 7.4 zeigt ein Beispiel für einen WMI-Filter, der untersucht, ob auf
dem Zielsystem Windows XP mit Service Pack 2 läuft.