Tehnologija WMI filtera u grupnoj politici (GPO) omogućava fleksibilniju primjenu pravila klijentima, korištenjem različitih pravila koja vam omogućuju da odredite WMI zahtjeve za formiranje kriterija za odabir računala na koja će utjecati grupna politika. Na primjer, pomoću WMI GPO filtera možete primijeniti pravilo dodijeljeno OU-u samo na računalima sa sustavom Windows 10 (na ostalim verzijama sustava Windows takva se politika s filtrom neće primijeniti).
sadržaj:
- Za što se koriste WMI GPO filteri??
- Kako stvoriti novi WMI filter i vezati ga za GPO?
- Primjeri upita za WMI GPO filtere
- Testiranje WMI filtera pomoću PowerShell-a
Za što se koriste WMI GPO filteri??
Tehnologija filtriranja WMI obično koristi WMI (Windows upravljanje instrumentacija) koristi se u situacijama kada su objekti domene (korisnici ili računala) u ravnoj AD strukturi, a ne u namjeravanom OU, ili ako trebate primijeniti pravila, ovisno o verziji OS-a, mrežnim postavkama, prisutnosti određenog instaliranog softvera ili bilo kojim drugim kriterijima koji može se odabrati pomoću WMI. Prilikom obrade takve grupne politike od strane klijenta, Windows će provjeriti njegov status u odnosu na navedeni WMI upit na WQL jeziku (WMI jezik upita), a ako su ispunjeni uvjeti filtriranja, takav GPO primijenit će se na računalo.
Filtri za pravila grupe WMI prvi put su se pojavili u sustavu Windows XP i dostupni su do najnovijih verzija sustava Windows (Windows Server 2019, 2016, Windows 10, 8.1).
Kako stvoriti novi WMI filter i vezati ga za GPO?
Za stvaranje novog WMI filtra otvorite GPMC grupa politika upravljanje (gpmc.msc) i idite na odjeljak Šuma -> Domene -> winitpro.ru -> WMI filteri. Ovaj odjeljak sadrži sve filtre domena WMI. Napravite novi WMI filter (novi).
U polju ime navedite naziv filtra u polju opisi njegov opis (izborno). Da biste dodali zahtjev u WMI filter, kliknite gumb dodati, odredite naziv prostora WMI imena (zadano root \ CIMv2) i odredite WMI zahtjev za kod.
WMI zahtjev ima sljedeći format:
Odaberite * od WHERE =
U našem primjeru želite stvoriti WMI filter koji vam omogućuje primjenu Grupnih pravila samo na računalima sa sustavom Windows 10. Kôd zahtjeva WMI može izgledati ovako:
Odaberite * iz Win32_OperatingSystem gdje je verzija poput "10.%" i ProductType = "1"
Stvoreni WMI filtri pohranjuju se u objekte klase msWMI-Som u domeni Active Directory u odjeljku DC = ..., CN = Sustav, CN = WMIPolicy, CN = SOM, možete ih pronaći i urediti pomoću konzole adsiedit.msc.
Nakon stvaranja WMI filtra, možete ga povezati za određeni GPO. Pronađite željena pravila u GPMC konzoli i na kartici djelokrug u padajućem izborniku odjeljka WMI filtriranje Odaberite prethodno stvoreni WMI filter. U ovom primjeru želim da se pravila o automatskom dodjeljivanju pisača primjenjuju samo na računala koja koriste Windows 10.
Pričekajte da se ovo pravilo primijeni na klijente ili je ažurirajte pomoću gpupdate / force
. Kada analizirate primijenjene politike na klijentu, koristite naredbu gpresult /r. Ako pravilo djeluje na klijenta, ali se ne primjenjuje zbog WMI filtra, takvo pravilo u izvješću imat će status Filtriranje: odbijeno (WMI filter) i navest će se naziv WMI filtra.
Primjeri upita za WMI GPO filtere
Razmotrimo različite primjere WMI GPO filtera koji se najčešće koriste..
Pomoću WMI filtera možete odabrati vrstu OS-a:
- ProductType = 1 - bilo koji klijentski operativni sistem
- ProductType = 2 - AD kontroler domene
- ProductType = 3 - poslužiteljski OS (Windows Server)
Verzije sustava Windows:
- Windows Server 2016 i Windows 10 - 10.%
- Windows Server 2012 R2 i Windows 8.1 - 6,3%
- Windows Server 2012 i Windows 8 - 6,2%
- Windows Server 2008 R2 i Windows 7 - 6,1%
- Windows Server 2008 i Windows Vista - 6,0%
- Windows Server 2003 - 5,2%
- Windows XP - 5,1%
- Windows 2000 - 5.0%
Možete kombinirati uvjete uzorkovanja u WMI zahtjevu pomoću logičkih operatora I i ILI. Da biste to pravilo primijenili samo na poslužitelje sa sustavom Windows Server 2016, WMI zahtjev koda bio bi:
odaberite * iz Win32_OperatingSystem GDJE Verzija LIKE "10.%" AND (ProductType = "2" ili ProductType = "3")
Odaberite 32-bitne verzije sustava Windows 8.1:
odaberite * iz Win32_OperatingSystem WHERE verzija poput "6.3%" AND ProductType = "1" AND OSArchitecture = "32-bit"
Primijenite pravilo samo na 64-bitni OS:
Odaberite * od Win32_Processor gdje je AddressWidth = "64"
Odaberite Windows 10 s određenom izvedbom, na primjer Windows 10 1803:odaberite Verziju iz Win32_OperatingSystem GDJE Verzija poput "10.0.17134" I ProductType = "1"
Primijenite pravila samo na VMWare virtualne strojeve:
ODABIR Model IZ Win32_ComputerSystem WHERE Model = "VMWare Virtual Platform"
Primjenite pravilo samo na prijenosna računala (pogledajte wmi članak koji zahtijeva odabir prijenosnog računala u SCCM-u:
odaberite * iz Win32_SystemEnclosure gdje ChassisTypes = "8" ili ChassisTypes = "9" ili ChassisTypes = "10" ili ChassisTypes = "11" ili ChassisTypes = "12" ili ChassisTypes = "14" ili ChassisTypes = "18" ili ChassisTypes = " 21 "
WMI filter, koji se odnosi samo na računala čija imena počinju s "msk-pc" (na primjer, da blokiraju vezu USB pogona na ovim uređajima):ODABIR NAZIVA IZ Win32_ComputerSystem GDJE Ime LIKE 'msk-pc%'
Primjer upotrebe WMI filtra za prilagođavanje pravila Grupe IP podmrežama opisan je u članku WMI Filter za mapiranje GPO-ova u IP podmreže. Na primjer, da biste primijenili pravilo na klijente na više IP podmreža, koristite filtar:
Odaberite * FROM Win32_IP4RouteTable WHERE (maska = '255.255.255.255' AND (odredište poput '192.168.1.%' ILI odredište poput '192.168.2.%'))
Primijenite to pravilo na računala s više od 1 GB RAM-a:
Odaberite * iz WIN32_ComputerSystem gdje je TotalPhysicalMemory> = 1073741824
WMI filter za provjeru dostupnosti na Internet Explorer-u 11:
ODABIR put, ime datoteke, proširenje, verzija OD CIM_DataFile GDJE staza = "\\ programske datoteke \\ Internet Explorer \\" AND filename = "iexplore" AND extension = "exe" AND version> "11.0"
Testiranje WMI filtera pomoću PowerShell-a
Pri pisanju WMI upita ponekad morate dobiti vrijednosti različitih parametara na računalu. Usudite se dobiti ove pomoću cmdleta dobiti-WMIObject. Na primjer, izvedite WMI atribute i vrijednosti klase Win32_OperatingSystem:
Get-WMIObject Win32_OperatingSystem
SystemDirectory: C: \ WINDOWS \ system32
organizacija:
BuildNumber: 17134
Registrirani korisnik: Korisnik Windows-a
Serijski broj: 00331-10000-00001-AA494
Verzija: 10.0.17134
Za prikaz svih dostupnih parametara klase:
Get-WMIObject Win32_OperatingSystem | Odaberite *
PowerShell možete koristiti za testiranje WMI filtera na računalima. Pretpostavimo da ste napisali složeni WMI zahtjev i želite ga provjeriti (odgovara li računalo ovom zahtjevu ili ne). Na primjer, na računalu ste stvorili WMI IE 11 filter. Na ciljnom računalu možete izvršiti ovaj WMI zahtjev pomoću cmdleta get-wmiobject:
get-wmiobject -query 'SELECT * FROM CIM_DataFile WHERE path = "\\ Program Files \\ Internet Explorer \\" AND filename = "iexplore" AND extension = "exe" AND version LIKE "11.%"'
Ako ova naredba nešto vrati, računalo ispunjava uvjete zahtjeva. Ako naredba get-wmiobject ne vrati ništa, računalo ne odgovara zahtjevu.
Na primjer, pokretanje navedenog zahtjeva na računalu sa sustavom Windows 10 i IE 11, naredba će vratiti:Komprimirano: Lažno
Šifrirano: lažno
Veličina:
Skriveno: Lažno
Naziv: c: \ programske datoteke \ Internet Explorer \ iexplore.exe
Čitljivo: Točno
Sustav: Lažno
Verzija: 11.0.17134.1
Moguće je upisati: Točno
To znači da je IE 11 instaliran na računalo, a GPO s takvim WMI filtrom bit će primijenjen na ovo računalo.
Dakle, smislili smo kako pomoću WMI filtara primijeniti grupna pravila samo na računala koja spadaju u uvjete upita. Potrebno je uzeti u obzir prisutnost WMI filtera prilikom analize razloga zbog kojih se politika na računalu ne primjenjuje.