Filtrowanie GPO dla wybranych obiektów


 

W tym artykule pokażę jak można wykorzystać funkcjonalność filtrowania zasad grup (GPO), by te spłynęły na wybrane komputery lub konta użytkowników w obrębie OU. Użyjemy filtrowania po obiektach oraz WMI.

Group Policy spływa na całe drzewo lub wskazany kontener (OU), a dokładniej na obiekty, które tam się znajdują. Czasami jednak, nawet mając idealnie rozplanowane drzewo domeny, możemy chcieć zaaplikować dane ustawienia tylko dla wybranych użytkowników, grupy lub komputery. Często zgromadzenie ich w oddzielnym OU nie wchodzi w grę. W takich sytuacjach niecenioną pomoc niesie funkcjonalność filtrów.

Jak działa filtrowanie po grupach i/lub użytkownikach?

Stwórzmy sobie przykładową politykę GPO. W moim przykładzie jest to polityka o nazwie „IE Policy”, która obejmuje ustawienia Internet Explorera. To, jakie zasady grup wybrałem jest nieistotne. Równie dobrze może to być ustawienia aktualizacji, czy też automatycznego blokowania komputera. Jak wiemy, politykę trzeba gdzieś „podlinkować”. U mnie jest to całe drzewo domeny „lab” w lesie o tej samej nazwie. W praktyce oznacza to, że każde konto użytkownika (ustawienia IE są per użytkownik) będzie objęte moja polityką.

Po zaznaczeniu tejże polityki widzimy 4 zakładki, z których interesuje nas ta pierwsza, czyli „Scope” (Zakres).

Nietrudno dostrzec część o nazwie „Security Filtering”. Domyślnie znajdziemy tam grupę o nazwie „Authenticated users” (Użytkownicy uwierzytelnieni), która obejmuje wszystkie konta w domenie. W tym właśnie miejscu możemy dodać grupę lub użytkownika, którego ma objąć polityka. Wystarczy użyć przycisku „Remove” aby usunąć „Authenticated users”, a następnie „Add”, aby dodać obiekty jakie nas interesują.

Filtry WMI
Istnieje możliwość utworzenia filtru na podstawie atrybutów komputera – wykorzystamy do tego filtry WMI. Wybrane filtry WMI widać również w zakładce „Scope” (zakres).

W zakładce GPMC po lewej stronie znajdziemy „WMI FIlters” (Filtry usługi WMI).

Nowy filtr dodamy przez PPM i wybranie „New WMI Filter” (Nowy filtr WMI). Następnie nadajemy mu nazwę, opis i definiujemy kryteria. Dla przykładu utworzyłem filtr, który zadziała tylko na maszynie o nazwie „Spec1”:

WMI daje nam niezliczone możliwości wybierania kryteriów. Oto parę przykładów.

Wszystkie komputery z systemem Windows 7:

select * from Win32_OperatingSystem WHERE Version like „6.1%” AND ProductType=”1″

Windows XP

select * from Win32_OperatingSystem WHERE Version LIKE „5.1%”

Windows 8

select * from Win32_OperatingSystem WHERE Version LIKE „6.2%” and ProductType = „1”

Windows Server 2003 R2

select * from Win32_OperatingSystem WHERE Version LIKE „5.2%”

Windows Server 2008

select * from Win32_OperatingSystem WHERE Version LIKE „6.0%” AND ( ProductType = „2” or ProductType = „3” )

Windows Server 2008 R2

select * from Win32_OperatingSystem WHERE Version LIKE „6.1%” AND ( ProductType = „2” or ProductType = „3” )

Windows Server 2012

select * from Win32_OperatingSystem WHERE Version LIKE „6.2%” AND ( ProductType = „2” or ProductType = „3” )

Wszystkie komputery danej marki:

Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = “Toshiba”

Wszystkie komputery mające minimum wolnego miejsca na dysku:

SELECT * FROM Win32_LogicalDisk WHERE (Name = ” C:”) AND DriveType = 3 AND FreeSpace >200000 AND FileSystem = ” NTFS”

Opisane dwie metody filtrowania zasad grup działają równie skutecznie i to, którą wybierzecie zależy od Was i od tego jak dokładnie chcecie sprecyzować grupę obiektów. Filtrowanie zwiększa funkcjonalność Group Policy i usprawnia zarządzanie komputerami w domenie dlatego wszystkich, którzy jeszcze z GPO nie korzystają – zachęcam do testowania.


Podobne Tematy:

  • bns

    A jak to się ma do Windows 8 i następnymi w którym WMI oznaczony jest jako legacy? :)

  • Piotr

    Chciałbym się zapytać, jak wygląda sytuacja z aplikowaniem GPO dla konkretnych komputerów, ale nie stosując filtrów WMI tylko korzystając z „Security Filtering”? :)

    • Jak najbardziej można dodawać konta komputerów do „Security Filtering”. W ten sposób filtrujemy polityki „COMPUTER”, a nie „USER”.

  • Tadeusz

    Witam. Mam problem z załadowaniem GPO dla danej grupy zabezpieczeń. W raporcie „gpresult” wyświetla informację, że zasada została odrzucona. Przyczyna odmowy: niedostepny