How to Use WMI Filtering: Just the Basics
ユーザーまたはシステムに対してグループ ポリシー (GPO) を作成する場合、それらは通常 Active Directory 内の特定の組織単位 (OU) に属していることが多いものです。
デフォルトでは、複数のOUとGPOSが配置されている場合、割り当てたGPOが不要なときに展開されることがあります。 たとえば、ユーザー、ユーザーが所属するグループ、およびユーザーがアクセスするシステムに関連付けられた GPO があるかもしれません。
たとえば、プリンターとドライブ共有をマップするグループ ポリシーがユーザーに関連付けられたとします。 その GPO は、ユーザーがワークステーションにログオンするときに役立つように作成されました。 しかし、そのユーザーはサーバーにもログオンします。 この場合、ユーザーがサーバーにログオンしたときにGPOが適用されないようにする必要があります。 この問題を解決するには、WMIフィルタリングを使用します。
これを行うには、除外したいシステムを識別するためにWMIフィルタリング文字列を設計します。 WMI フィルターは、特定しなかった残りのシステムにのみ適用されます。 たとえば、W32 製品タイプ「1」のみを定義すると、W32 製品タイプ「タイプ「2」および「3」のシステムに GPO が適用されます。
製品タイプとは何ですか? OS モードが定義されている方法です。
ProductType=”1″ はクライアント オペレーティング システム
ProductType=”2″ はドメイン コントローラー
ProductType=”3″ はドメインコントローラーではないサーバー
WMI Win32_OperatingSystem Version Numbers:
5.1 – Windows XP (これを使用する必要はありません)
5.2 – Windows Server 2003
5.2.3 – Windows Server 2003 R2
6.0 – Windows Vista & Windows Server 2008
6.1 – Windows 7 & Windows Server 2008 R2
6.0 – Windows Vista
Windows Server 2003
6.2 – Windows Server 2003
6.3 – Windows 7 6.12 – Windows 8 & Windows Server 2012
6.3 – Windows 8.1 & Windows Server 2012 R2
これについて詳しくは、こちらの記事を参照してください。
WMI フィルターを作成する方法について説明します。 グループポリシー管理を開き、[フォレスト]、[ドメイン]、およびドメインを展開します。 WMI フィルターを右クリックして、「新規」を選択します。
WMI フィルターに名前を付け、説明を記入し、「追加」を選択して、以下の例に示すように特定のクエリを追加します。
And Save:
あなたのクエリーにエラーがある場合、警告をポップアップすることがあります。
これで、GPO を編集するときに、作成した新しい WMI フィルターが [スコープ] タブの下部にあるドロップダウンに表示されるようになります。
では、概念を理解した上で、WMI フィルターをテストする方法を説明します。
この例では、フィルターはドメイン コントローラーおよびサーバーを除外します。
以下は、PowerShell を使用したテスト例です。
$query = “select * from Win32_OperatingSystem WHERE (ProductType<>’2′ AND ProductType<>’3′)”
Get-WMIObject -Query $query
WMI フィルターが結果を返したら、ポリシーは適用されます。 何も返されない場合、ポリシーは適用されません。 私のワークステーションに適用した例では、出力は次のようになります:
これです! 試してみてください。