Come usare il filtraggio WMI: Just the Basics
Quando crei un criterio di gruppo (GPO) per utenti o sistemi, essi sono tipicamente in una certa unità organizzativa (OU) in Active directory. Per esempio: categorizzare le vendite rispetto alle risorse umane.
Per impostazione predefinita, una GPO che assegnate può essere distribuita quando non volete che lo faccia se sono presenti più OU e GPOS. Per esempio, potreste avere GPO legati all’utente, a un gruppo in cui l’utente si trova, e un altro al sistema a cui sta accedendo.
Si supponga di avere un criterio di gruppo che mappa le stampanti e le condivisioni di unità legate a un utente. Avete creato quel GPO per assistere l’utente quando accede alle stazioni di lavoro. Quell’utente, tuttavia, accede anche ai server. Non volete che quel GPO sia applicato quando l’utente accede al server. Per risolvere questo problema, usereste il filtraggio WMI.
Per fare questo, progettate la stringa del filtro WMI per identificare i sistemi che volete escludere. I tuoi filtri WMI si applicano solo ai sistemi rimanenti che non hai identificato. Per esempio, se definisci solo W32 Product Type “1” allora applicherà il GPO ai sistemi con W32 Product Type “2” e “3”.
Cos’è un Product Type? Ecco come viene definita la modalità OS:
ProductType=”1″ è il sistema operativo client
ProductType=”2″ è Domain Controllers
ProductType=”3″ è Servers che non sono domain controllers
WMI Win32_OperatingSystem Version Numbers:
5.1 – Windows XP (non dovrebbe essere necessario usare questo)
5.2 – Windows Server 2003
5.2.3 – Windows Server 2003 R2
6.0 – Windows Vista & Windows Server 2008
6.1 – Windows 7 & Windows Server 2008 R2
6.2 – Windows 8 & Windows Server 2012
6.3 – Windows 8.1 & Windows Server 2012 R2
Per maggiori dettagli su questo, ecco un buon articolo.
Ecco come creare il filtro WMI. Aprire Gestione criteri di gruppo ed espandere Foresta, Domini e il dominio. Fai clic destro su Filtri WMI e seleziona “Nuovo”:
Nomina il filtro WMI, compila la Descrizione, quindi seleziona “Aggiungi” per aggiungere la tua query specifica come mostrato nell’esempio sottostante:
E salva:
Se c’è un errore nella tua query, potrebbe apparire un avviso.
Ora, quando modifichi i GPO, il nuovo filtro WMI che hai creato verrà visualizzato nel menu a tendina in fondo alla scheda Scope.
Ora che avete capito il concetto, ecco come testare i vostri filtri WMI.
In questo esempio, il filtro esclude i controller di dominio e i severs.
Ecco un esempio di test usando PowerShell:
$query = “select * from Win32_OperatingSystem WHERE (ProductType<>’2′ AND ProductType<>’3′)”
Get-WMIObject -Query $query
Se il filtro WMI ritorna un risultato, allora applica la policy. Se non restituisce nulla, allora non applica la policy. Nell’esempio applicato sulla mia stazione di lavoro, l’output sarebbe come questo:
Ecco qui! Andate avanti e provate.