How to Use WMI Filtering: Just the Basics
Gdy tworzysz zasady grupy (GPO) dla użytkowników lub systemów, są one zazwyczaj w określonej jednostce organizacyjnej (OU) w Active directory. Na przykład: kategoryzacja sprzedaży kontra HR.
Domyślnie przypisane GPO może zostać wdrożone, gdy nie jest to wymagane, jeśli istnieje wiele OU i GPOS. Na przykład, możesz mieć GPO związane z użytkownikiem, z grupą, do której należy użytkownik i inne z systemem, do którego ma dostęp.
Na przykład masz zasady grupy, które mapują drukarki i udziały w dyskach związane z użytkownikiem. Utworzyłeś to GPO, aby pomóc użytkownikowi, gdy loguje się na stacje robocze. Użytkownik ten loguje się jednak również na serwery. Nie chcemy, aby GPO miało zastosowanie, gdy użytkownik loguje się na serwer. Aby rozwiązać ten problem, należy użyć filtrowania WMI.
W tym celu należy zaprojektować łańcuch filtrów WMI, aby zidentyfikować systemy, które mają być wykluczone. Filtry WMI mają zastosowanie tylko do pozostałych systemów, których nie zidentyfikowałeś. Na przykład, jeśli zdefiniujesz tylko W32 Product Type „1”, to GPO zostanie zastosowane do systemów z W32 Product Type „Type „2” i „3”.
Co to jest Product Type? Tak definiowany jest tryb OS:
ProductType=”1″ to system operacyjny klienta
ProductType=”2″ to kontrolery domeny
ProductType=”3″ to serwery, które nie są kontrolerami domeny
WMI Win32_OperatingSystem Version Numery:
5.1 – Windows XP (nie powinieneś być zmuszony do używania tej wersji)
5.2 – Windows Server 2003
5.2.3 – Windows Server 2003 R2
6.0 – Windows Vista & Windows Server 2008
6.1 – Windows 7 & Windows Server 2008 R2
6.2 – Windows 8 & Windows Server 2012
6.3 – Windows 8.1 & Windows Server 2012 R2
Więcej szczegółów na ten temat można znaleźć w dobrym artykule.
Oto jak utworzyć filtr WMI. Otwórz Group Policy Management i rozwiń Forest, Domains i domenę. Kliknij prawym przyciskiem myszy na Filtry WMI i wybierz „Nowy”:
Nadaj nazwę filtrowi WMI, wypełnij Opis, a następnie wybierz „Dodaj”, aby dodać specyficzne zapytanie, jak pokazano w poniższym przykładzie:
I zapisz:
Jeśli w zapytaniu jest błąd, może pojawić się ostrzeżenie.
Teraz, gdy edytujesz GPO, nowy filtr WMI, który utworzyłeś, będzie wyświetlany w rozwijanej liście na dole karty Zakres.
Teraz, gdy już rozumiesz koncepcję, oto jak testujesz swoje filtry WMI.
W tym przykładzie filtr wyklucza kontrolery domeny i serwery.
Tutaj znajduje się przykład testowy z użyciem PowerShell:
$query = „select * from Win32_OperatingSystem WHERE (ProductType<>’2′ AND ProductType<>’3′)”
Get-WMIObject -Query $query
Jeśli filtr WMI zwraca wynik, to stosuje politykę. Jeśli nie zwróci nic, wtedy nie zastosuje polityki. W przykładzie zastosowanym na mojej stacji roboczej, wynik wyglądałby następująco:
Tutaj masz to! Śmiało i spróbuj.