Technologie filtrů WMI ve skupinových zásadách (GPO) umožňuje flexibilnější aplikaci zásad na klienty pomocí různých pravidel, která vám umožňují specifikovat požadavky WMI a vytvářet kritéria pro výběr počítačů, které budou ovlivněny skupinovou politikou. Například pomocí filtrů WMI GPO můžete použít zásadu přiřazenou OU pouze v počítačích se systémem Windows 10 (v jiných verzích systému Windows nebude taková zásada s filtrem použita).
Obsah:
- K čemu se používají filtry WMI GPO??
- Jak vytvořit nový filtr WMI a navázat jej na GPO?
- Příklady dotazů pro filtry WMI GPO
- Testování WMI filtru pomocí PowerShell
K čemu se používají filtry WMI GPO??
Technologie filtrování WMI obvykle pomocí WMI (Windows Řízení Instrumentace) používá se v situacích, kdy jsou doménové objekty (uživatelé nebo počítače) v ploché struktuře AD, a ne ve vyhrazené organizační jednotce, nebo pokud potřebujete použít zásady, v závislosti na verzi operačního systému, jeho nastavení sítě, přítomnosti určitého nainstalovaného softwaru nebo jiných kritériích, která lze vybrat pomocí WMI. Při zpracování takové skupinové zásady klientem systém Windows zkontroluje svůj stav podle zadaného dotazu WMI v jazyce WQL (jazyk dotazu WMI), a pokud jsou splněny podmínky filtru, bude takový GPO použit na počítač.
Filtry zásad skupiny WMI se poprvé objevily v systému Windows XP a jsou k dispozici až do nejnovějších verzí systému Windows (Windows Server 2019, 2016, Windows 10, 8.1).
Jak vytvořit nový filtr WMI a navázat jej na GPO?
Chcete-li vytvořit nový filtr WMI, otevřete GPMC Skupina Zásady Řízení (gpmc.msc) a přejděte do části Forest -> Domains -> winitpro.ru -> Wmi Filtry. Tato část obsahuje všechny filtry domény WMI. Vytvořit nový filtr WMI (Nové).
Na poli Jméno do pole zadejte název filtru Popisy jeho popis (nepovinný). Chcete-li přidat požadavek do filtru WMI, klikněte na tlačítko Přidat, zadejte název oboru názvů WMI (výchozí root \ CIMv2) a zadejte kód požadavku WMI.
Požadavek WMI má následující formát:
Vyberte * z WHERE =
V našem příkladu chcete vytvořit filtr WMI, který vám umožní použít zásady skupiny pouze v počítačích se systémem Windows 10. Kód požadavku WMI může vypadat takto:
Vyberte * z Win32_OperatingSystem, kde Verze jako "10.%" a ProductType = "1"
Filtry vytvořené WMI jsou uloženy v objektech třídy msWMI-Som domény Active Directory v sekci DC = ..., CN = System, CN = WMIPolicy, CN = SOM, můžete je najít a upravit pomocí konzoly adsiedit.msc..
Po vytvoření filtru WMI jej můžete svázat s konkrétním objektem GPO. Vyhledejte požadované zásady v konzole GPMC a na kartě Oblast působnosti v rozbalovací nabídce sekce Wmi Filtrování Vyberte dříve vytvořený filtr WMI. V tomto příkladu chci použít zásadu automatického přiřazení tiskárny pouze pro počítače se systémem Windows 10.
Počkejte, až se tato zásada použije na klienty, nebo ji aktualizujte pomocí gpupdate / force. Při analýze použitých zásad na klientovi použijte příkaz gpresult /r. Pokud zásada působí na klienta, ale není použita kvůli filtru WMI, bude mít tato zásada ve zprávě stav Filtrování: Odepřeno (filtr WMI) a bude uveden název filtru WMI..
Příklady dotazů pro filtry WMI GPO
Zvažte různé příklady nejčastěji používaných filtrů WMI GPO..
Pomocí filtru WMI můžete vybrat typ operačního systému:
- ProductType = 1 - jakýkoli klientský operační systém
- ProductType = 2 - řadič domény AD
- ProductType = 3 - OS server (Windows Server)
Verze Windows:
- Windows Server 2016 a Windows 10 - 10%
- Windows Server 2012 R2 a Windows 8.1 - 6,3%
- Windows Server 2012 a Windows 8 - 6,2%
- Windows Server 2008 R2 a Windows 7 - 6,1%
- Windows Server 2008 a Windows Vista - 6,0%
- Windows Server 2003 - 5,2%
- Windows XP - 5,1%
- Windows 2000 - 5,0%
Podmínky vzorkování můžete v požadavku WMI kombinovat pomocí logických operátorů A a NEBO. Chcete-li použít zásadu pouze na servery se systémem Windows Server 2016, kód požadavku WMI by byl:
vyberte * z Win32_OperatingSystem WHERE Version LIKE "10.%" AND (ProductType = "2" nebo ProductType = "3")
Vyberte 32bitové verze systému Windows 8.1:
vyberte * z Win32_OperatingSystem KDE Verze jako "6.3%" AND ProductType = "1" AND OSArchitecture = "32-bit"
Použít zásadu pouze na 64bitový operační systém:
Vyberte * z Win32_Processor, kde AddressWidth = "64"
Vyberte Windows 10 s konkrétním sestavením, například Windows 10 1803:vyberte verzi z Win32_OperatingSystem KDE Verze jako „10.0.17134“ A ProductType = ”1"
Použít zásadu pouze na virtuální stroje VMWare:
VÝBĚR modelu Z Win32_ComputerSystem WHERE Model = „VMWare Virtual Platform“
Použijte zásadu pouze na notebooky (viz článek wmi o výběru notebooku v SCCM:
vyberte * z Win32_SystemEnclosure kde ChassisTypes = "8" nebo ChassisTypes = "9" nebo ChassisTypes = "10" nebo ChassisTypes = "11" nebo ChassisTypes = "12" nebo ChassisTypes = "14" nebo ChassisTypes = "18" nebo ChassisTypes = " 21 "
Filtr WMI, který se vztahuje pouze na počítače, jejichž názvy začínají „msk-pc“ (například blokování připojení jednotek USB na těchto zařízeních):VYBRAT Jméno Z Win32_ComputerSystem KDE Jméno LÍBÍ 'msk-pc%'
Příklad použití filtru WMI k doladění skupinových zásad do podsítí je popsán v článku WMI Filter pro mapování GPO na podsítě IP. Chcete-li například použít zásadu na klienty ve více podsítích IP, použijte filtr:
Vyberte * Z Win32_IP4RouteTable WHERE (Maska = '255.255.255.255' AND (Like Like '192.168.1.%' NEBO Destination Like '192.168.2.%'))
Použít zásadu na počítače s více než 1 GB RAM:
Vyberte * z WIN32_ComputerSystem kde TotalPhysicalMemory> = 1073741824
Filtr WMI pro kontrolu dostupnosti v aplikaci Internet Explorer 11:
VYBRAT cestu, název souboru, příponu, verzi OD CIM_DataFile WHERE path = "\\ Program Files \\ Internet Explorer \\" AND filename = "iexplore" AND extension = "exe" AND version> "11.0"
Testování WMI filtru pomocí PowerShell
Při psaní dotazů WMI je někdy nutné získat v počítači hodnoty různých parametrů. Odváží se vám je dát pomocí rutiny cmdlet Jdi-Wmiobject. Například odvozte atributy WMI a hodnoty třídy Win32_OperatingSystem:
Get-WMIObject Win32_OperatingSystem
SystemDirectory: C: \ WINDOWS \ system32
Organizace:
Číslo sestavy: 17134
RegistrovanýUživatel: Uživatel systému Windows
Sériové číslo: 00331-10000-00001-AA494
Verze: 10.0.17134
Postup zobrazení všech dostupných parametrů třídy:
Get-WMIObject Win32_OperatingSystem | Vyberte *
Pomocí PowerShell můžete testovat filtry WMI v počítačích. Předpokládejme, že jste napsali složitý požadavek WMI a chcete jej zkontrolovat (odpovídá počítač tomuto požadavku nebo ne). Například jste v počítači vytvořili filtr WMI IE 11. V cílovém počítači můžete tento požadavek WMI provést pomocí rutiny cmdlet dostat-wmiobject:
get-wmiobject -query 'SELECT * FROM CIM_DataFile WHERE cesta = "\\ Program Files \\ Internet Explorer \\" AND filename = "iexplore" AND extension = "exe" AND version LIKE "11.%"'
Pokud tento příkaz něco vrátí, počítač splňuje podmínky požadavku. Pokud příkaz get-wmiobject nevrací nic, počítač neodpovídá požadavku.
Například spuštěním zadaného požadavku v počítači se systémem Windows 10 a IE 11 se příkaz vrátí:Komprimováno: Falešné
Encrypted: False
Velikost:
Skryté: Falešné
Název: c: \ program files \ internet explorer \ iexplore.exe
Čitelný: Pravda
Systém: Falešný
Verze: 11.0.17134.1
Zapisovatelný: Pravda
To znamená, že v počítači je nainstalován IE 11 a na tento počítač bude použit GPO s takovým WMI filtrem.
Přišli jsme tedy na to, jak pomocí filtrů WMI použít skupinové zásady pouze pro počítače, na které se vztahují podmínky dotazu. Při analýze důvodů, pro které se zásada v počítači nepoužívá, je třeba vzít v úvahu přítomnost filtrů WMI.
