Articles

Hoe WMI-Filtering te gebruiken: Just the Basics

Wanneer u een groepsbeleid (GPO) maakt voor gebruikers of systemen, bevinden deze zich doorgaans in een bepaalde organisatorische eenheid (OU) binnen Active directory. Bijvoorbeeld: het categoriseren van verkoop versus HR.

Het is mogelijk dat een GPO die u toewijst, wordt geïmplementeerd terwijl u dat niet wilt als er meerdere OU’s en GPO’s aanwezig zijn. U kunt bijvoorbeeld GPO’s hebben die zijn gekoppeld aan de gebruiker, aan een groep waarin de gebruiker is opgenomen en aan het systeem waartoe de gebruiker toegang heeft.

Stel dat u een groepsbeleid hebt dat printers en stationshares toewijst die zijn gekoppeld aan een gebruiker. U hebt dat GPO gemaakt om de gebruiker te helpen wanneer deze zich aanmeldt op werkstations. Die gebruiker logt echter ook in op servers. U wilt niet dat die GPO wordt toegepast wanneer de gebruiker zich aanmeldt op de server. Om dat probleem op te lossen, kunt u WMI-filtering gebruiken.

Om dit te doen, ontwerpt u de WMI-filterstring om de systemen te identificeren die u wilt uitsluiten. Uw WMI filters zijn alleen van toepassing op de resterende systemen die u niet hebt geïdentificeerd. Als u bijvoorbeeld alleen W32 Product Type “1” definieert, wordt de GPO toegepast op systemen met W32 Product Type “Type “2” en “3”.

Wat is een Product Type? Zo wordt de OS-modus gedefinieerd:

ProductType=”1″ is Client-besturingssysteem

ProductType=”2″ is Domeincontrollers

ProductType=”3″ is Servers die geen domeincontrollers zijn

WMI Win32_OperatingSystem Version Numbers:

5.1 – Windows XP (deze zou u niet hoeven te gebruiken)

5.2 – Windows Server 2003

5.2.3 – Windows Server 2003 R2

6.0 – Windows Vista & Windows Server 2008

6.1 – Windows 7 & Windows Server 2008 R2

6.2 – Windows 8 & Windows Server 2012

6.3 – Windows 8.1 & Windows Server 2012 R2

Voor meer details hierover, is hier een goed artikel.

Hier volgt hoe u het WMI-filter maakt. Open Group Policy Management en vouw Forest, Domains en het domein uit. Klik met de rechtermuisknop op WMI Filters en selecteer “Nieuw”:

WMI filteringNaam het WMI-filter, vul de beschrijving in en selecteer vervolgens “Toevoegen” om uw specifieke query toe te voegen, zoals in het onderstaande voorbeeld:

WMI filteringEn sla op:

WMI filteringAls er een fout in uw query zit, kan er een waarschuwing verschijnen.

Nu wordt bij het bewerken van GPO’s het nieuwe WMI-filter dat u hebt gemaakt, weergegeven in de vervolgkeuzelijst onder aan het tabblad Bereik.

WMI filteringDus nu u het concept begrijpt, kunt u uw WMI-filters als volgt testen.

In dit voorbeeld sluit het filter domeincontrollers en severs uit.

Hier is een testvoorbeeld met PowerShell:

$query = “select * from Win32_OperatingSystem WHERE (ProductType<>’2′ AND ProductType<>’3′)”

Get-WMIObject -Query $query

Als de WMI-filter een resultaat retourneert, dan wordt het beleid toegepast. Als het niets oplevert, wordt het beleid niet toegepast. In het voorbeeld dat op mijn werkstation is toegepast, zou de uitvoer er als volgt uitzien:

WMI filteringDaar heb je het! Ga je gang en probeer het eens.