Създайте WMI филтри за групови политики (GPO) в AD домейн

Технологията на WMI филтрите в груповите политики (GPO) позволява по-гъвкаво прилагане на политики към клиенти, чрез използването на различни правила, които ви позволяват да укажете WMI заявки за формиране на критерии за избор на компютри, които ще бъдат засегнати от груповата политика. Например, използвайки WMI GPO филтри, можете да приложите политика, възложена на OU само на компютри, работещи под Windows 10 (в други версии на Windows такава политика с филтър няма да се прилага).

Съдържание:

  • За какво се използват WMI GPO филтри??
  • Как да създадете нов WMI филтър и да го свържете с GPO?
  • Примери за заявки за WMI GPO филтри
  • Тестване на WMI филтър с PowerShell

За какво се използват WMI GPO филтри??

Обикновено WMI филтрираща технология, използваща WMI (Windows управление инструментация) използва се в ситуации, когато обектите на домейни (потребители или компютри) са в плоска AD-структура, а не в специален OU или ако трябва да прилагате политики, в зависимост от версията на ОС, нейните мрежови настройки, наличието на определен инсталиран софтуер или други критерии, които може да бъде избран с помощта на WMI. Когато обработва такава групова политика от клиента, Windows ще провери състоянието му спрямо определената WMI заявка на езика WQL (WMI език на заявките) и ако са изпълнени условията за филтриране, такъв GPO ще бъде приложен към компютъра.

Филтрите за групови правила на WMI за първи път се появиха в Windows XP и са достъпни до най-новите версии на Windows (Windows Server 2019, 2016, Windows 10, 8.1).

Как да създадете нов WMI филтър и да го свържете с GPO?

За да създадете нов WMI филтър, отворете GPMC група политика управление (gpmc.msc) и отидете в секцията Forest -> Domains -> winitpro.ru -> WMI Филтри. Този раздел съдържа всички филтри за домейни на WMI. Създайте нов WMI филтър (нов).

На полето име посочете името на филтъра в полето Описания неговото описание (незадължително). За да добавите заявка към WMI филтъра, щракнете върху бутона Добави, посочете името на пространството от имена на WMI (по подразбиране корен \ CIMv2) и посочете кода на заявката на WMI.

Заявката за WMI има следния формат:

Изберете * от WHERE =

В нашия пример искате да създадете WMI филтър, който ви позволява да прилагате групова политика само на компютри, работещи под Windows 10. Кодът на заявка за WMI може да изглежда така:

Изберете * от Win32_OperatingSystem, където версия като „10.%“ и ProductType = „1“

Филтрите, създадени от WMI, се съхраняват в обекти от класа msWMI-Som на домейна Active Directory в секцията DC = ..., CN = Система, CN = WMIPolicy, CN = SOM, можете да ги намерите и редактирате с помощта на конзолата adsiedit.msc.

След като създадете WMI филтър, можете да го свържете към конкретен GPO. Намерете желаното правило в конзолата GPMC и в раздела обхват в падащото меню на секцията WMI филтриране Изберете предварително създадения WMI филтър. В този пример искам политиката за автоматично задаване на принтер да се прилага само за компютри, работещи под Windows 10.

Изчакайте тази политика да се приложи към клиентите или я актуализирайте, като използвате gpupdate / force. Когато анализирате приложените политики на клиента, използвайте командата GPResult /R. Ако политиката действа върху клиента, но не се прилага поради WMI филтъра, такава политика в отчета ще има статус Филтриране: Denied (WMI Filter) и името на WMI филтъра.

Примери за заявки за WMI GPO филтри

Разгледайте различните примери на WMI GPO филтри, които се използват най-често..

Използвайки WMI филтъра, можете да изберете типа на ОС:

  • ProductType = 1 - всяка клиентска ОС
  • ProductType = 2 - AD контролер на домейна
  • ProductType = 3 - ОС на сървъра (Windows Server)

Версии на Windows:

  • Windows Server 2016 и Windows 10 - 10.%
  • Windows Server 2012 R2 и Windows 8.1 - 6,3%
  • Windows Server 2012 и Windows 8 - 6.2%
  • Windows Server 2008 R2 и Windows 7 - 6,1%
  • Windows Server 2008 и Windows Vista - 6,0%
  • Windows Server 2003 - 5,2%
  • Windows XP - 5,1%
  • Windows 2000 - 5,0%

Можете да комбинирате условия за дискретизация в WMI заявка, като използвате логически оператори И и ИЛИ. За да приложите правилото само към сървъри, работещи под Windows Server 2016, кодът на заявката за WMI ще бъде:

изберете * от Win32_OperatingSystem WHERE Версия ДОПЪЛНИТЕЛНО "10.%" И (ProductType = "2" или ProductType = "3")

Изберете 32 битови версии на Windows 8.1:

изберете * от Win32_OperatingSystem WHERE Версия като "6.3%" И ProductType = "1" И OSArchitecture = "32-битов"

Приложете правилото само за 64-битова ОС:

Изберете * от Win32_Processor, където AddressWidth = "64"

Изберете Windows 10 с конкретна конструкция, например Windows 10 1803:
изберете Версия от Win32_OperatingSystem WHERE Версия като "10.0.17134" И ProductType = "1"

Прилагайте политиката само към виртуалните машини на VMWare:

ИЗБЕРЕТЕ Модел ОТ Win32_ComputerSystem WHERE Model = „VMWare Virtual Platform“

Прилагайте правилото само към лаптопи (вижте статията wmi, изискваща избор на лаптоп в SCCM:

изберете * от Win32_SystemEnclosure, където ChassisTypes = "8" или ChassisTypes = "9" или ChassisTypes = "10" или ChassisTypes = "11" или ChassisTypes = "12" или ChassisTypes = "14" или ChassisTypes = "18" или ChassisTypes = " 21 "

WMI филтър, който се прилага само за компютри, чиито имена започват с „msk-pc“ (например за блокиране на връзката на USB устройства на тези устройства):
ИЗБЕРЕТЕ ИМЕ ОТ Win32_ComputerSystem, КЪДЕ ИМЕ ПОДОБНО 'msk-pc%'

Пример за използване на WMI филтър за фина настройка на груповата политика към IP подмрежите е описан в статията на WMI Filter за картографиране на GPO в IP подмрежи. Например, за да приложите политика към клиенти на множество IP подмрежи, използвайте филтър:

Изберете * ОТ Win32_IP4RouteTable WHERE (маска = '255.255.255.255' И (Дестинация като '192.168.1.%' ИЛИ ​​Дестинация като '192.168.2.%'))

Приложете правилото към компютри с повече от 1 GB RAM:

Изберете * от WIN32_ComputerSystem, където TotalPhysicalMemory> = 1073741824

WMI филтър за проверка на наличността в Internet Explorer 11:

ИЗБЕРЕТЕ път, име на файл, разширение, версия ОТ CIM_DataFile WHERE path = "\\ Program Files \\ Internet Explorer \\" AND filename = "iexplore" AND extension = "exe" И версия> "11.0"

Тестване на WMI филтър с PowerShell

Когато пишете WMI заявки, понякога трябва да получите стойностите на различни параметри на компютъра. Смееш да ги получиш с помощта на командлета получавам-WMIObject. Например, извлечете атрибутите и стойностите на WMI на класа Win32_OperatingSystem:

Get-WMIObject Win32_OperatingSystem

SystemDirectory: C: \ WINDOWS \ system32
Организация:
BuildNumber: 17134
RegisteredUser: Потребител на Windows
Пореден номер: 00331-10000-00001-AA494
Версия: 10.0.17134

За да покажете всички налични параметри на класа:

Get-WMIObject Win32_OperatingSystem | Изберете *

Можете да използвате PowerShell за тестване на WMI филтри на компютри. Да предположим, че сте написали сложна WMI заявка и искате да я проверите (компютърът отговаря ли на тази заявка или не). Например, създадохте WMI IE 11 филтър на вашия компютър. На целевия компютър можете да изпълните тази WMI заявка, като използвате командлета GET-wmiobject:

get-wmiobject -query 'SELECT * FROM CIM_DataFile WHERE path = "\\ Program Files \\ Internet Explorer \\" AND filename = "iexplore" AND extension = "exe" И версия LIKE "11.%"'

Ако тази команда върне нещо, компютърът отговаря на условията на заявката. Ако командата get-wmiobject не върне нищо, компютърът не съответства на заявката.
Например, изпълнявайки зададената заявка на компютър с Windows 10 и IE 11, командата ще върне:
Сгъстен: Неправилен
Шифровано: Неверно
Размер:
Скрит: Фалшив
Име: c: \ програмни файлове \ Internet Explorer \ iexplore.exe
Четено: Вярно
Система: Фалшива
Версия: 11.0.17134.1
Записване: Вярно

Това означава, че IE 11 е инсталиран на компютъра и GPO с такъв WMI филтър ще бъде приложен към този компютър.

Така че разбрахме как да използваме WMI филтри, за да прилагаме групови политики само към компютри, които попадат в условията на заявката. Необходимо е да се вземе предвид наличието на WMI филтри при анализиране на причините, поради които политиката на компютъра не се прилага.