Използваме WMI филтър, за да свържем GPO към IP подмрежата

Този път имаше нужда от прилагане на GPO към компютри в конкретна IP подмрежа. В най-простия случай, когато тази подмрежа е включена в отделен сайт на Active Directory (а в сайта има само една подмрежа), можете да зададете политика на сайта на AD (има пример за обвързване на политика към сайт тук), това е прост и удобен метод. В нашия случай не можем да зададем политика на целия сайт, защото Към сайта на AD има няколко IP подмрежи. Трябва да се възползвате от възможностите за филтриране на политики, използвайки WMI филтри.

По-рано разгледахме пример за използване на WMI филтри за прилагане на конкретна групова политика само към определени версии на Windows. В този случай по същия начин трябва да създадете WMI филтър и да промените заявката, така че да съдържа условие за проверка на IP адреси.

  1. Отворете конзолата за редактор GPMC.msc (група политика Management) и намерете секцията WMI Филтри.
  2. Създайте нов филтър. За целта кликнете върху секцията RMB и изберете в контекстното меню нов.
  3. Посочете името на филтъра, неговото описание.
  4. За да добавите заявка за извличане на WMI, щракнете Добави.
  5. Оставете стойността като пространство на имената корен \ CIMv2, и копирайте следния код в прозореца на заявката.
    Изберете * ОТ Win32_IP4RouteTable
    WHERE (маска = '255.255.255.255'
    И (Дестинация като '191.168.55.%' ИЛИ ​​Дестинация като '191.168.56.%'))

    забележка. В този пример създадохме филтър, който ви позволява да насочвате политиката към клиенти с модели на IP адреси, които съответстват на маските 191.168.55.x и 191.168.56.x. Заменете IP подмрежите със свои.
  6. Запазване на заявка.
  7. Сега в конзолата на GPMC трябва да изберете политиката, която искате да приложите за клиенти.
  8. В настройките за тази политика в раздела WMI филтриране в падащия списък изберете създадения филтър и задайте политика на ОУ с компютри.
забележка. В някои случаи е по-удобно да насочвате правилата към конкретни клиентски подмрежи - използвайте насочването към предпочитания за групови правила, при което можете да посочите набор от IP адреси в един от филтрите.

Сега трябва да актуализирате правилата за клиентите (gpupdate / force) и да проверите тяхното приложение (можете да използвате стандартната команда gpresult, за да проверите назначаването на GPO).

Така че, използвайки обикновен WMI филтър, можем да зададем политика на клиентите, разположени в конкретни IP подмрежи или диапазон от IP адреси.