Při vytváření zásad skupiny (GPO) pro uživatele nebo systémy se obvykle nacházejí v určité organizační jednotce (OU) v rámci adresáře Active directory. Například: kategorizace prodeje oproti HR.

Přiřazený objekt GPO se může ve výchozím nastavení nasadit, i když si to nepřejete, pokud existuje více OU a GPOS. Například můžete mít objekty GPO vázané na uživatele, na skupinu, ve které je uživatel, a další na systém, ke kterému přistupuje.

Řekněme, že máte zásady skupiny, které mapují tiskárny a sdílené jednotky vázané na uživatele. Tento objekt zásad skupiny jste vytvořili, aby pomáhal uživateli při přihlašování k pracovním stanicím. Tento uživatel se však také přihlašuje k serverům. Nechcete, aby se tento objekt zásad skupiny použil, když se uživatel přihlásí na server. Chcete-li tento problém vyřešit, použijte filtrování WMI.

Pro tento účel navrhněte řetězec filtru WMI tak, aby identifikoval systémy, které chcete vyloučit. Vaše filtry WMI se použijí pouze na zbývající systémy, které jste neidentifikovali. Pokud například definujete pouze typ produktu W32 „1“, pak bude objekt GPO APLIKOVÁN na systémy s typem produktu W32 „2“ a „3“.

Co je to typ produktu? Takto je definován režim operačního systému:

ProductType=“1″ je Klientský operační systém

ProductType=“2″ jsou Řadiče domény

ProductType=“3″ jsou Servery, které nejsou řadiči domény

Čísla verzí rozhraní WMI Win32_OperatingSystem:

5. Proč?1 – Windows XP (tento byste neměli používat)

5.2 – Windows Server 2003

5.2.3 – Windows Server 2003 R2

6.0 – Windows Vista & Windows Server 2008

6.1 – Windows 7 & Windows Server 2008 R2

6.2 – Windows 8 & Windows Server 2012

6.3 – Windows 8.1 & Windows Server 2012 R2

Podrobněji se o tom dočtete v tomto článku.

Tady je návod, jak vytvořit filtr WMI. Otevřete nástroj Správa zásad skupiny a rozbalte položku Doménová struktura, Domény a doménu. Klikněte pravým tlačítkem myši na Filtry WMI a vyberte možnost „Nový“:

Nazvěte filtr WMI, vyplňte Popis a poté výběrem možnosti „Přidat“ přidejte svůj konkrétní dotaz, jak je uvedeno v příkladu níže:

A uložte:

Pokud je v dotazu chyba, může se zobrazit varování.

Při úpravách objektů GPO se nyní nově vytvořený filtr WMI zobrazí v rozevíracím seznamu ve spodní části karty Obor.

Takže nyní, když jste pochopili koncept, zde je návod, jak otestovat filtry WMI.

V tomto příkladu filtr vylučuje řadiče domény a severy.

Tady je testovací příklad pomocí prostředí PowerShell:

$query = „select * from Win32_OperatingSystem WHERE (ProductType<>’2′ AND ProductType<>’3′)“

Get-WMIObject -Query $query

Pokud filtr WMI vrátí výsledek, pak použije zásady. Pokud nevrátí nic, pak zásadu nepoužije. V příkladu aplikovaném na mé pracovní stanici by výstup vypadal takto:

Tady to máte! Pokračujte a vyzkoušejte to.