Articles

Comment utiliser le filtrage WMI : Juste les bases

Lorsque vous créez une stratégie de groupe (GPO) pour les utilisateurs ou les systèmes, ils sont généralement dans une certaine unité d’organisation (OU) dans Active directory. Par exemple : catégoriser les ventes par rapport aux RH.

Par défaut, une GPO que vous attribuez peut se déployer alors que vous ne le souhaitez pas si plusieurs OU et GPOS sont en place. Par exemple, vous pouvez avoir des GPO liées à l’utilisateur, à un groupe auquel l’utilisateur appartient et une autre au système auquel il accède.

Disons que vous avez une stratégie de groupe qui mappe les imprimantes et les partages de lecteurs liés à un utilisateur. Vous avez créé cette GPO pour aider l’utilisateur lorsqu’il se connecte à des postes de travail. Cet utilisateur, cependant, se connecte également à des serveurs. Vous ne voulez pas que cette GPO s’applique lorsque l’utilisateur se connecte au serveur. Pour résoudre ce problème, vous utiliseriez le filtrage WMI.

Pour ce faire, concevez la chaîne de filtre WMI pour identifier les systèmes que vous souhaitez exclure. Vos filtres WMI ne s’appliquent qu’aux autres systèmes que vous n’avez pas identifiés. Par exemple, si vous définissez uniquement le type de produit W32 « 1 », alors il appliquera la GPO aux systèmes avec le type de produit W32 « Type « 2 » et « 3 ».

Qu’est-ce qu’un type de produit ? C’est ainsi que le mode d’OS est défini:

ProductType= »1″ est le système d’exploitation du client

ProductType= »2″ est les contrôleurs de domaine

ProductType= »3″ est les serveurs qui ne sont pas des contrôleurs de domaine

WMI Win32_OperatingSystem Version Numbers:

5.1 – Windows XP (vous ne devriez pas avoir à utiliser celui-ci)

5.2 – Windows Server 2003

5.2.3 – Windows Server 2003 R2

6.0 – Windows Vista & Windows Server 2008

6.1 – Windows 7 & Windows Server 2008 R2

6.2 – Windows 8 & Windows Server 2012

6.3 – Windows 8.1 & Windows Server 2012 R2

Pour plus de détails à ce sujet, voici un bon article.

Voici comment créer le filtre WMI. Ouvrez la gestion des stratégies de groupe et développez la forêt, les domaines et le domaine. Faites un clic droit sur Filtres WMI et sélectionnez « Nouveau »:

WMI filteringNommez le filtre WMI, remplissez la description, puis sélectionnez « Ajouter » pour ajouter votre requête spécifique comme indiqué dans l’exemple ci-dessous:

WMI filteringEt enregistrez:

WMI filteringS’il y a une erreur dans votre requête, il peut faire apparaître un avertissement.

Maintenant, lorsque vous modifiez des GPO, le nouveau filtre WMI que vous avez créé s’affichera dans la liste déroulante en bas de l’onglet Scope.

WMI filteringAlors, maintenant que vous comprenez le concept, voici comment tester vos filtres WMI.

Dans cet exemple, le filtre exclut les contrôleurs de domaine et les severs.

Voici un exemple de test utilisant PowerShell :

$query = « select * from Win32_OperatingSystem WHERE (ProductType<>’2′ AND ProductType<>’3′) »

Get-WMIObject -Query $query

Si le filtre WMI renvoie un résultat, alors il applique la politique. S’il ne renvoie rien, alors il n’applique pas la politique. Dans l’exemple appliqué sur ma station de travail, la sortie ressemblerait à ceci:

WMI filteringVoilà ! Allez-y et essayez-le.