Technologia filtrów WMI w zasadach grupy (GPO) pozwala na bardziej elastyczne stosowanie zasad do klientów, poprzez zastosowanie różnych reguł, które pozwalają określić żądania WMI w celu utworzenia kryteriów wyboru komputerów, na które mają wpływ zasady grupy. Na przykład, używając filtrów GPO WMI, możesz zastosować zasadę przypisaną do jednostki organizacyjnej tylko do komputerów z systemem Windows 10 (w innych wersjach systemu Windows taka zasada z filtrem nie zostanie zastosowana).
Treść
- Do czego służą filtry WMI GPO??
- Jak utworzyć nowy filtr WMI i powiązać go z obiektem zasad grupy?
- Przykłady zapytań dla filtrów GPO WMI
- Testowanie filtra WMI za pomocą programu PowerShell
Do czego służą filtry WMI GPO??
Zazwyczaj technologia filtrowania WMI przy użyciu WMI (Windows Zarządzanie Oprzyrządowanie) używane w sytuacjach, w których obiekty domeny (użytkownicy lub komputery) mają płaską strukturę AD, a nie w dedykowanej jednostce organizacyjnej, lub jeśli konieczne jest zastosowanie zasad, w zależności od wersji systemu operacyjnego, ustawień sieciowych, obecności określonego zainstalowanego oprogramowania lub innych kryteriów, które można wybrać za pomocą WMI. Podczas przetwarzania takich zasad grupy przez klienta, Windows sprawdzi swój status względem określonego zapytania WMI w języku WQL (WMI Query Language), a jeśli warunki filtru zostaną spełnione, taki obiekt GPO zostanie zastosowany na komputerze.
Filtry zasad grupy WMI pojawiły się po raz pierwszy w systemie Windows XP i są dostępne do najnowszych wersji systemu Windows (Windows Server 2019, 2016, Windows 10, 8.1).
Jak utworzyć nowy filtr WMI i powiązać go z obiektem zasad grupy?
Aby utworzyć nowy filtr WMI, otwórz konsolę GPMC Grupa Zasady Zarządzanie (gpmc.msc) i przejdź do sekcji Las -> Domeny -> winitpro.ru -> Wmi Filtry. Ta sekcja zawiera wszystkie filtry domen WMI. Utwórz nowy filtr WMI (Nowy).
W terenie Imię podaj nazwę filtra w polu Opisy jego opis (opcjonalnie). Aby dodać żądanie do filtra WMI, kliknij przycisk Dodaj, podaj nazwę przestrzeni nazw WMI (domyślnie root \ CIMv2) i podaj kod żądania WMI.
Żądanie WMI ma następujący format:
Wybierz * z GDZIE =
W naszym przykładzie chcesz utworzyć filtr WMI, który umożliwia stosowanie zasad grupy tylko na komputerach z systemem Windows 10. Kod żądania WMI może wyglądać następująco:
Wybierz * z Win32_OperatingSystem, gdzie wersja taka jak „10.%” i ProductType = „1”
Utworzone filtry WMI są przechowywane w obiektach klasy msWMI-Som w domenie Active Directory w sekcji DC = ..., CN = System, CN = WMIPolicy, CN = SOM, można je znaleźć i edytować za pomocą konsoli adsiedit.msc.
Po utworzeniu filtru WMI możesz powiązać go z określonym obiektem zasad grupy. Znajdź żądaną zasadę w konsoli GPMC i na karcie Zakres w menu rozwijanym sekcji Wmi Filtrowanie Wybierz wcześniej utworzony filtr WMI. W tym przykładzie chcę, aby zasada automatycznego przypisywania drukarki miała zastosowanie tylko do komputerów z systemem Windows 10.
Poczekaj, aż ta zasada zostanie zastosowana do klientów lub zaktualizuj ją za pomocą gpupdate / force. Analizując zastosowane zasady na kliencie, użyj polecenia gpresult /r. Jeśli zasada działa na kliencie, ale nie została zastosowana z powodu filtra WMI, taka zasada w raporcie będzie miała status Filtrowanie: Odmowa (Filtr WMI) i zostanie wyświetlona nazwa filtru WMI.
Przykłady zapytań dla filtrów GPO WMI
Rozważ różne przykłady najczęściej używanych filtrów GPO WMI..
Za pomocą filtru WMI możesz wybrać typ systemu operacyjnego:
- ProductType = 1 - dowolny system operacyjny klienta
- ProductType = 2 - kontroler domeny AD
- ProductType = 3 - system operacyjny serwera (Windows Server)
Wersje Windows:
- Windows Server 2016 i Windows 10 - 10%
- Windows Server 2012 R2 i Windows 8.1 - 6,3%
- Windows Server 2012 i Windows 8 - 6,2%
- Windows Server 2008 R2 i Windows 7 - 6,1%
- Windows Server 2008 i Windows Vista - 6,0%
- Windows Server 2003 - 5,2%
- Windows XP - 5,1%
- Windows 2000 - 5,0%
Możesz łączyć warunki próbkowania w żądaniu WMI przy użyciu operatorów logicznych I i LUB. Aby zastosować zasadę tylko do serwerów z systemem Windows Server 2016, kod żądania WMI będzie:
wybierz * z Win32_OperatingSystem GDZIE Wersja LIKE „10.%” AND (ProductType = „2” lub ProductType = „3”)
Wybierz 32-bitowe wersje systemu Windows 8.1:
wybierz * z Win32_OperatingSystem GDZIE wersja, np. „6,3%” AND ProductType = „1” AND OSArchitecture = „32-bit”
Zastosuj zasadę tylko do 64-bitowego systemu operacyjnego:
Wybierz * z Win32_Processor, gdzie AddressWidth = "64"
Wybierz Windows 10 z określoną kompilacją, na przykład Windows 10 1803:wybierz wersję z Win32_OperatingSystem GDZIE wersja, np. „10.0.17134” AND ProductType = ”1”
Zastosuj zasady tylko do maszyn wirtualnych VMWare:
WYBIERZ Model Z Win32_ComputerSystem WHERE Model = „VMWare Virtual Platform”
Zastosuj zasady tylko do laptopów (zobacz artykuł wmi z prośbą o wybór laptopa w SCCM:
wybierz * z Win32_SystemEnclosure, gdzie ChassisTypes = "8" lub ChassisTypes = "9" lub ChassisTypes = "10" lub ChassisTypes = "11" lub ChassisTypes = "12" lub ChassisTypes = "14" lub ChassisTypes = "18" lub ChassisTypes = " 21 "
Filtr WMI, który dotyczy tylko komputerów, których nazwy rozpoczynają się od „msk-pc” (na przykład, aby zablokować połączenie napędów USB na tych urządzeniach):WYBIERZ Nazwa Z Win32_ComputerSystem GDZIE Nazwa JAK „msk-pc%”
Przykład użycia filtra WMI w celu dostrojenia zasad grupy do podsieci IP opisano w artykule Filtr WMI do mapowania obiektów zasad grupy na podsieci IP. Na przykład, aby zastosować zasadę do klientów w wielu podsieciach IP, użyj filtra:
Wybierz * FROM Win32_IP4RouteTable GDZIE (maska = „255.255.255.255” ORAZ (cel podobny do „192.168.1.%” LUB cel podobny do „192.168.2.%”))
Zastosuj zasadę do komputerów z więcej niż 1 GB pamięci RAM:
Wybierz * z WIN32_ComputerSystem, gdzie TotalPhysicalMemory> = 1073741824
Filtr WMI do sprawdzania dostępności w Internet Explorerze 11:
WYBIERZ ścieżkę, nazwę pliku, rozszerzenie, wersję FROM CIM_DataFile GDZIE ścieżka = "\\ Program Files \\ Internet Explorer \\" AND filename = "iexplore" AND extension = "exe" AND version> "11.0"
Testowanie filtra WMI za pomocą programu PowerShell
Podczas pisania zapytań WMI czasami trzeba uzyskać wartości różnych parametrów na komputerze. Odważysz się je otrzymać za pomocą polecenia cmdlet Zdobądź-Wmiobject. Na przykład uzyskaj atrybuty i wartości WMI klasy Win32_OperatingSystem:
Get-WMIObject Win32_OperatingSystem
SystemDirectory: C: \ WINDOWS \ system32
Organizacja:
BuildNumber: 17134
Zarejestrowany użytkownik: użytkownik systemu Windows
Numer seryjny: 00331-10000-00001-AA494
Wersja: 10.0.17134
Aby wyświetlić wszystkie dostępne parametry klasy:
Get-WMIObject Win32_OperatingSystem | Wybierz *
Za pomocą programu PowerShell można testować filtry WMI na komputerach. Załóżmy, że napisałeś złożone żądanie WMI i chcesz je sprawdzić (czy komputer odpowiada temu żądaniu, czy nie). Na przykład utworzyłeś filtr WMI IE 11 na swoim komputerze. Na komputerze docelowym można wykonać to żądanie WMI za pomocą polecenia cmdlet dostać-wmiobject:
get-wmiobject -query 'WYBIERZ * Z CIM_DataFile GDZIE ścieżka = "\\ Program Files \\ Internet Explorer \\" AND filename = "iexplore" AND extension = "exe" AND version LIKE "11.%"'
Jeśli to polecenie coś zwróci, komputer spełnia warunki żądania. Jeśli polecenie get-wmiobject niczego nie zwraca, komputer nie odpowiada żądaniu.
Na przykład po uruchomieniu określonego żądania na komputerze z systemem Windows 10 i IE 11 polecenie zwróci:Skompresowany: Fałsz
Szyfrowane: fałszywe
Rozmiar:
Ukryty: fałszywy
Nazwa: c: \ program files \ internet explorer \ iexplore.exe
Czytelny: prawda
System: Fałsz
Wersja: 11.0.17134.1
Do zapisu: prawda
Oznacza to, że IE 11 jest zainstalowany na komputerze, a obiekt GPO z takim filtrem WMI zostanie zastosowany na tym komputerze.
Tak więc wymyśliliśmy, jak używać filtrów WMI do stosowania zasad grupy tylko do komputerów, które spełniają warunki zapytania. Podczas analizowania przyczyn, dla których zasada na komputerze nie jest stosowana, należy wziąć pod uwagę obecność filtrów WMI.
