Technológia filtrov WMI v skupinových politikách (GPO) umožňuje flexibilnejšie uplatňovanie politík na klientov prostredníctvom použitia rôznych pravidiel, ktoré vám umožňujú špecifikovať požiadavky WMI na vytvorenie kritérií pre výber počítačov, na ktoré sa bude vzťahovať skupinová politika. Napríklad pomocou filtrov WMI GPO môžete použiť politiku priradenú organizácii OU iba na počítače so systémom Windows 10 (v iných verziách systému Windows sa takáto politika s filtrom neuplatní).
obsah:
- Na čo sa používajú filtre WMI GPO??
- Ako vytvoriť nový filter WMI a prepojiť ho s GPO?
- Príklady dopytov pre filtre WMI GPO
- Testovanie filtra WMI pomocou PowerShell
Na čo sa používajú filtre WMI GPO??
Technológia filtrovania WMI obvykle používa WMI (windows management inštrumentácie) používa sa v situáciách, keď sú doménové objekty (používatelia alebo počítače) v plochej AD štruktúre, a nie vo vyhradenom OU, alebo ak potrebujete uplatniť politiky, v závislosti na verzii OS, jeho sieťových nastaveniach, prítomnosti určitého nainštalovaného softvéru alebo akýchkoľvek iných kritériách, ktoré možno vybrať pomocou služby WMI. Pri spracovaní takejto skupinovej politiky klientom systém Windows skontroluje svoj stav oproti zadanému dotazu WMI v jazyku WQL (jazyk dotazu WMI) a ak sú splnené podmienky filtra, takáto GPO sa použije na počítač.
Filtre skupinových zásad WMI sa prvýkrát objavili v systéme Windows XP a sú k dispozícii až po najnovšie verzie systému Windows (Windows Server 2019, 2016, Windows 10, 8.1).
Ako vytvoriť nový filter WMI a prepojiť ho s GPO?
Ak chcete vytvoriť nový filter WMI, otvorte GPMC skupina politika management (gpmc.msc) a prejdite do časti Forest -> Domains -> winitpro.ru -> WMI filtre. Táto časť obsahuje všetky filtre domén WMI. Vytvorte nový filter WMI (nový).
V teréne názov do poľa zadajte názov filtra popisy jeho opis (voliteľné). Ak chcete pridať požiadavku do filtra WMI, kliknite na tlačidlo pridať, zadajte názov priestoru názvov WMI (predvolené) root \ CIMv2) a zadajte kód žiadosti WMI.
Požiadavka WMI má nasledujúci formát:
Vyberte * z WHERE =
V našom príklade chcete vytvoriť filter WMI, ktorý vám umožní aplikovať skupinovú politiku iba na počítačoch so systémom Windows 10. Kód žiadosti WMI môže vyzerať takto:
Vyberte * z Win32_OperatingSystem, kde verzia ako "10%" a ProductType = "1"
Filtre vytvorené službou WMI sú uložené v objektoch triedy msWMI-Som domény Active Directory v časti DC = ..., CN = System, CN = WMIPolicy, CN = SOM. Nájdete ich a upravte pomocou konzoly adsiedit.msc..
Po vytvorení filtra WMI ho môžete prepojiť s konkrétnym objektom GPO. Požadovanú politiku nájdete v konzole GPMC a na karte rozsah v rozbaľovacej ponuke sekcií WMI filtrovanie Vyberte predtým vytvorený filter WMI. V tomto príklade chcem, aby sa zásada automatického priradenia tlačiarne vzťahovala iba na počítače so systémom Windows 10.
Počkajte, kým sa toto pravidlo použije na klientov, alebo ho aktualizujte pomocou gpupdate / force. Pri analýze aplikovaných politík na klientovi použite príkaz GPResult /r. Ak politika pôsobí na klienta, ale neaplikuje sa z dôvodu filtra WMI, takáto politika v prehľade bude mať stav Filtrovanie: zamietnutý (filter WMI) a bude uvedený názov filtra WMI..
Príklady dopytov pre filtre WMI GPO
Zvážte rôzne príklady najčastejšie používaných filtrov WMI GPO..
Pomocou filtra WMI môžete vybrať typ OS:
- ProductType = 1 - akýkoľvek klientsky OS
- ProductType = 2 - radič domény AD
- ProductType = 3 - OS server (Windows Server)
Verzie systému Windows:
- Windows Server 2016 a Windows 10 - 10.%
- Windows Server 2012 R2 a Windows 8.1 - 6,3%
- Windows Server 2012 a Windows 8 - 6,2%
- Windows Server 2008 R2 a Windows 7 - 6,1%
- Windows Server 2008 a Windows Vista - 6,0%
- Windows Server 2003 - 5,2%
- Windows XP - 5,1%
- Windows 2000 - 5,0%
Podmienky vzorkovania môžete kombinovať v požiadavke WMI pomocou logických operátorov A a OR. Ak chcete použiť politiku iba na servery so systémom Windows Server 2016, kód žiadosti WMI by bol:
vyberte * z Win32_OperatingSystem WHERE Version LIKE "10.%" AND (ProductType = "2" alebo ProductType = "3")
Vyberte 32-bitové verzie systému Windows 8.1:
vyberte * z Win32_OperatingSystem KDE Verzia ako "6.3%" A ProductType = "1" AND OSArchitecture = "32-bit"
Použiť politiku iba na 64-bitové OS:
Vyberte * z Win32_Processor, kde AddressWidth = "64"
Vyberte systém Windows 10 so špecifickou zostavou, napríklad Windows 10 1803:vyberte verziu z Win32_OperatingSystem KDE Verzia ako „10.0.17134“ A ProductType = ”1"
Použiť politiku iba na virtuálne počítače VMWare:
VYBERTE Model Z Win32_ComputerSystem KDE Model = „Virtuálna platforma VMWare“
Použiť túto zásadu iba na notebooky (pozri článok WMI, v ktorom sa vyžaduje výber prenosných počítačov v SCCM:
vyberte * z Win32_SystemEnclosure, kde ChassisTypes = "8" alebo ChassisTypes = "9" alebo ChassisTypes = "10" alebo ChassisTypes = "11" alebo ChassisTypes = "12" alebo ChassisTypes = "14" alebo ChassisTypes = "18" alebo ChassisTypes = "18" 21 "
Filter WMI, ktorý sa vzťahuje iba na počítače, ktorých názvy začínajú na „msk-pc“ (napríklad na zablokovanie pripojenia jednotiek USB na týchto zariadeniach):VYBERTE Názov Z Win32_ComputerSystem KDE Meno LIKE 'msk-pc%'
Príklad použitia filtra WMI na jemné doladenie skupinovej politiky na podsiete IP je opísaný v článku WMI Filter na mapovanie GPO na podsiete IP. Ak chcete napríklad uplatniť politiku na klientov vo viacerých podsieťach IP, použite filter:
Vyberte * Z Win32_IP4RouteTable WHERE (maska = '255.255.255.255' AND (Like Like '192.168.1.%' ALEBO Destination Like '192.168.2.%'))
Použiť politiku na počítače s viac ako 1 GB pamäte RAM:
Vyberte * z WIN32_ComputerSystem kde TotalPhysicalMemory> = 1073741824
Filter WMI na kontrolu dostupnosti v programe Internet Explorer 11:
VYBERTE cestu, názov súboru, príponu, verziu OD CIM_DataFile WHERE path = "\\ Program Files \\ Internet Explorer \\" AND filename = "iexplore" AND extension = "exe" AND version> "11.0"
Testovanie filtra WMI pomocou PowerShell
Pri písaní dopytov WMI je niekedy potrebné získať v počítači hodnoty rôznych parametrov. Odvažujete sa ich dostať pomocou rutiny cmdlet dostať-WMIObject. Napríklad odvodiť atribúty a hodnoty WMI triedy Win32_OperatingSystem:
Get-WMIObject Win32_OperatingSystem
SystemDirectory: C: \ WINDOWS \ system32
organizácie:
Číslo zostavy: 17134
RegistrovanýUžívateľ: Používateľ systému Windows
Sériové číslo: 00331-10000-00001-AA494
Verzia: 10.0.17134
Postup zobrazenia všetkých dostupných parametrov triedy:
Get-WMIObject Win32_OperatingSystem | Vyberte *
Na testovanie filtrov WMI v počítačoch môžete použiť PowerShell. Predpokladajme, že ste napísali komplexnú požiadavku WMI a chcete ju skontrolovať (zhoduje sa s touto požiadavkou počítač). Vo svojom počítači ste napríklad vytvorili filter WMI IE 11. V cieľovom počítači môžete vykonať túto požiadavku WMI pomocou rutiny cmdlet get-wmiobject:
get-wmiobject -query 'SELECT * FROM CIM_DataFile WHERE cesta = "\\ Program Files \\ Internet Explorer \\" AND filename = "iexplore" AND extension = "exe" A version LIKE "11.%"'
Ak tento príkaz niečo vráti, počítač spĺňa podmienky žiadosti. Ak príkaz get-wmiobject nevráti nič, počítač nezodpovedá žiadosti.
Napríklad pri spustení zadanej požiadavky na počítači so systémom Windows 10 a IE 11 sa príkaz vráti:Stlačené: Falošné
Encrypted: False
rozmery:
Skryté: Nepravdivé
Názov: c: \ program files \ internet explorer \ iexplore.exe
Čítateľné: Pravda
Systém: Falošné
Verzia: 11.0.17134.1
Zapisovateľný: Pravda
To znamená, že v počítači je nainštalovaný IE 11 a na tento počítač sa použije GPO s takýmto filtrom WMI.
Preto sme prišli na to, ako používať filtre WMI na aplikovanie skupinovej politiky iba na počítače, ktoré spadajú pod podmienky dotazu. Pri analýze dôvodov, pre ktoré sa politika v počítači neuplatňuje, je potrebné zohľadniť filtre WMI.
