ユーザーまたはシステムに対してグループ ポリシー (GPO) を作成する場合、それらは通常 Active Directory 内の特定の組織単位 (OU) に属していることが多いものです。

デフォルトでは、複数のOUとGPOSが配置されている場合、割り当てたGPOが不要なときに展開されることがあります。 たとえば、ユーザー、ユーザーが所属するグループ、およびユーザーがアクセスするシステムに関連付けられた GPO があるかもしれません。

たとえば、プリンターとドライブ共有をマップするグループ ポリシーがユーザーに関連付けられたとします。 その GPO は、ユーザーがワークステーションにログオンするときに役立つように作成されました。 しかし、そのユーザーはサーバーにもログオンします。 この場合、ユーザーがサーバーにログオンしたときにGPOが適用されないようにする必要があります。 この問題を解決するには、WMIフィルタリングを使用します。

これを行うには、除外したいシステムを識別するためにWMIフィルタリング文字列を設計します。 WMI フィルターは、特定しなかった残りのシステムにのみ適用されます。 たとえば、W32 製品タイプ「1」のみを定義すると、W32 製品タイプ「タイプ「2」および「3」のシステムに GPO が適用されます。

製品タイプとは何ですか? OS モードが定義されている方法です。

ProductType=”1″ はクライアント オペレーティング システム

ProductType=”2″ はドメイン コントローラー

ProductType=”3″ はドメインコントローラーではないサーバー

WMI Win32_OperatingSystem Version Numbers:

5.1 – Windows XP (これを使用する必要はありません)

5.2 – Windows Server 2003

5.2.3 – Windows Server 2003 R2

6.0 – Windows Vista & Windows Server 2008

6.1 – Windows 7 & Windows Server 2008 R2

6.0 – Windows Vista

Windows Server 2003

6.2 – Windows Server 2003

6.3 – Windows 7 6.12 – Windows 8 & Windows Server 2012

6.3 – Windows 8.1 & Windows Server 2012 R2

これについて詳しくは、こちらの記事を参照してください。

WMI フィルターを作成する方法について説明します。 グループポリシー管理を開き、[フォレスト]、[ドメイン]、およびドメインを展開します。 WMI フィルターを右クリックして、「新規」を選択します。

WMI フィルターに名前を付け、説明を記入し、「追加」を選択して、以下の例に示すように特定のクエリを追加します。

And Save:

あなたのクエリーにエラーがある場合、警告をポップアップすることがあります。

これで、GPO を編集するときに、作成した新しい WMI フィルターが [スコープ] タブの下部にあるドロップダウンに表示されるようになります。

では、概念を理解した上で、WMI フィルターをテストする方法を説明します。

この例では、フィルターはドメイン コントローラーおよびサーバーを除外します。

以下は、PowerShell を使用したテスト例です。

$query = “select * from Win32_OperatingSystem WHERE (ProductType<>’2′ AND ProductType<>’3′)”

Get-WMIObject -Query $query

WMI フィルターが結果を返したら、ポリシーは適用されます。 何も返されない場合、ポリシーは適用されません。 私のワークステーションに適用した例では、出力は次のようになります:

これです! 試してみてください。