Фильтрация групповых политик с помощью WMI фильтров

В этой статье мы поговорим о технологии WMI (Windows Management Interface) фильтрации в групповых политиках. Данная технология позволяет создать различные правила, на основании которых можно выбрать к каким объектам домена AD или конкретного OU будет применяться групповая политика, а к каким не будет.

Обычно технология WMI фильтрации групповых политик может применяться в ситуациях, когда множественные объекты (пользователи или компьютеры) находятся в плоской структуре AD, а не в выделенном OU, либо если необходимо применить политики, основываясь, например, на роли ОС, ее версии, сетевой конфигурации или любом другом критерии, который можно задать с помощью параметров   Windows Management Instrumentation.  При обработке групповых политик клиентом система Windows будет проверять себя на соответствие заданному WMI  фильтру и в случае, если она соответствует фильтру, политика будет применена.

Напомню, что WMI фильтры групповых политик впервые появились в Windows XP, и в последующих версиях Windows (Windows Server 2003, Windows 7 Windows Server 2008), эта технология продолжала применяться и развиваться. WMI фильтрация GPO не работает для   ОС семейства Windows 2000, так что придется обновится! ( я думаю 12 лет это достаточный срок для того, чтобы обновить старую версию ОС на более новую).

WMI фильтры – это один из видов объектов Active Directory, хранятся они  в разделе CN=System, CN=WMIPolicy, CN=SOM.

Попробуем попрактиковаться в применении WMI фильтров групповых политик. Тестовое задание будет следующим: необходимо применить групповую политику на все сервера, на которых установлена ОС Windows Server 2008 R2

Создать WMI  фильтр можно с помощью консоли управления групповыми политиками (Group Policy Management Console) и перейти в раздел «WMI filters». С помощью контекстного меню создайте новый WMI фильтр. В появившемся окне укажите его имя, описание и сам WMI запрос.

WMI запрос, позволяющий выбрать все сервера на Windows Server 2008 R2, будет выглядеть так:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE “6.1%” AND (ProductType = “2″ OR ProductType = “3″)

Если вас интересуют другие версии ОС Windows, воспользуйтесь следующим значениями  WMI параметра Version:

• Windows Server 2012 и Windows 8 – 6.2%
• Windows Server 2008 R2 и Windows 7 – 6.1%
• Windows Server 2008 и Windows Vista – 6.0%
• Windows Server 2003 – 5.2%
• Windows XP – 5.1%
• Windows 2000 – 5.0%

В зависимости от того, является ли целевой компьютер клиентом или сервером, нужно указать следующее значение параметра ProductType:

• Клиент: ProductType=1

• Контроллер домена: ProductType=2

• Сервер: ProductType=3

Чтобы отфильтровать все компьютеры с Windows 8, WMI запрос будет таким:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.2%" AND ProductType = "1"

Если нужны все сервера с Windows Server 2012, запрос будет таким:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.2%" AND ( ProductType = "2" OR ProductType = "3" )

После того, как мы создали WMI фильтр, нужно привязать его к групповой политике, для чего найдите интересующую вас групповую политику и в разделе “WMI Filtering” в выпадающем меню выбрать созданный ранее фильтр.

На тестовых клиентах необходимо дождаться применения политик или же запустить принужительное обновление командой gpupdate /force. И проверить, что политика применяется только на серверас с Windows Server 2008 R2 (для просмотра примененных политик воспользуйтесь командой gpresult /r).

Приведу еще рад WMI запросов, которые можно использовать для создания WMI фильтров групповых политик:

Выбрать все машины, на которых установлен Internet Explorer 8

SELECT path,filename,extension,version FROM CIM_DataFile WHERE path="\\Program Files\\Internet Explorer\\" AND filename="iexplore" AND extension="exe" AND version>"8.0"

Выбрать 32 битные ОС:

SELECT * FROM Win32_Processor WHERE AddressWidth = "32"

Выбрать 64 битные ОС:

SELECT * FROM Win32_Processor WHERE AddressWidth = "64"

Компьютеры, с количество оперативной памяти на которых больше 1 Гб

SELECT * FROM WIN32_ComputerSystem WHERE TotalPhysicalMemory >= 1073741824

Источник: http://winitpro.ru/index.php/2012/01/13/filtraciya-gruppovyx-politik-s-pomoshhyu-wmi-filtrov/

В этой статье мы поговорим о технологии WMI (Windows Management Interface) фильтрации в групповых политиках. Данная технология позволяет создать различные правила, на основании которых можно выбрать к каким объектам домена AD или конкретного OU будет применяться групповая политика, а к каким не будет.

Обычно технология WMI фильтрации групповых политик может применяться в ситуациях, когда множественные объекты (пользователи или компьютеры) находятся в плоской структуре AD, а не в выделенном OU, либо если необходимо применить политики, основываясь, например, на роли ОС, ее версии, сетевой конфигурации или любом другом критерии, который можно задать с помощью параметров   Windows Management Instrumentation.  При обработке групповых политик клиентом система Windows будет проверять себя на соответствие заданному WMI  фильтру и в случае, если она соответствует фильтру, политика будет применена.

Напомню, что WMI фильтры групповых политик впервые появились в Windows XP, и в последующих версиях Windows (Windows Server 2003, Windows 7 Windows Server 2008), эта технология продолжала применяться и развиваться. WMI фильтрация GPO не работает для   ОС семейства Windows 2000, так что придется обновится! ( я думаю 12 лет это достаточный срок для того, чтобы обновить старую версию ОС на более новую).

WMI фильтры – это один из видов объектов Active Directory, хранятся они  в разделе CN=System, CN=WMIPolicy, CN=SOM.

Попробуем попрактиковаться в применении WMI фильтров групповых политик. Тестовое задание будет следующим: необходимо применить групповую политику на все сервера, на которых установлена ОС Windows Server 2008 R2

Создать WMI  фильтр можно с помощью консоли управления групповыми политиками (Group Policy Management Console) и перейти в раздел «WMI filters». С помощью контекстного меню создайте новый WMI фильтр. В появившемся окне укажите его имя, описание и сам WMI запрос.

WMI запрос, позволяющий выбрать все сервера на Windows Server 2008 R2, будет выглядеть так:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE “6.1%” AND (ProductType = “2″ OR ProductType = “3″)

Если вас интересуют другие версии ОС Windows, воспользуйтесь следующим значениями  WMI параметра Version:

• Windows Server 2012 и Windows 8 – 6.2%
• Windows Server 2008 R2 и Windows 7 – 6.1%
• Windows Server 2008 и Windows Vista – 6.0%
• Windows Server 2003 – 5.2%
• Windows XP – 5.1%
• Windows 2000 – 5.0%

В зависимости от того, является ли целевой компьютер клиентом или сервером, нужно указать следующее значение параметра ProductType:

• Клиент: ProductType=1

• Контроллер домена: ProductType=2

• Сервер: ProductType=3

Чтобы отфильтровать все компьютеры с Windows 8, WMI запрос будет таким:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.2%" AND ProductType = "1"

Если нужны все сервера с Windows Server 2012, запрос будет таким:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.2%" AND ( ProductType = "2" OR ProductType = "3" )

После того, как мы создали WMI фильтр, нужно привязать его к групповой политике, для чего найдите интересующую вас групповую политику и в разделе “WMI Filtering” в выпадающем меню выбрать созданный ранее фильтр.

На тестовых клиентах необходимо дождаться применения политик или же запустить принужительное обновление командой gpupdate /force. И проверить, что политика применяется только на серверас с Windows Server 2008 R2 (для просмотра примененных политик воспользуйтесь командой gpresult /r).

Приведу еще рад WMI запросов, которые можно использовать для создания WMI фильтров групповых политик:

Выбрать все машины, на которых установлен Internet Explorer 8

SELECT path,filename,extension,version FROM CIM_DataFile WHERE path="\\Program Files\\Internet Explorer\\" AND filename="iexplore" AND extension="exe" AND version>"8.0"

Выбрать 32 битные ОС:

SELECT * FROM Win32_Processor WHERE AddressWidth = "32"

Выбрать 64 битные ОС:

SELECT * FROM Win32_Processor WHERE AddressWidth = "64"

Компьютеры, с количество оперативной памяти на которых больше 1 Гб

SELECT * FROM WIN32_ComputerSystem WHERE TotalPhysicalMemory >= 1073741824

Источник: http://winitpro.ru/index.php/2012/01/13/filtraciya-gruppovyx-politik-s-pomoshhyu-wmi-filtrov/