配置组策略筛选

Microsoft?Windows?Management Instrumentation (WMI) 大概是我们已知的 Microsoft 保存最好的秘密。尽管如此,但毫无疑问,WMI 是 Microsoft 主要的针对 Windows 的管理支持技术。

在Windows Server 2008的组策略高级管理中,对于将所添加设置的各种策略对象应用在组织单位上,除了一般常见的全部应用之外,还可以进一步结合WMI(Windows Management Instrumentation)筛选器,更进一步地将组策略只应用在组织单位中特定的计算机类别或用户属性上。

6.3.1什么是Windows 管理规范 (WMI)过虑器

图 6-58 WMI过滤器

关于WMI筛选器内容的设置,如图658-所示,可以应用在特定目标计算机的硬件规格(例如,CPU规格、内存大小、硬盘剩余空间)、所安装的软件列表、所安装的补丁程序(例如,Windows Vista Service Pack 1、Windows XP Service Pack 3)、操作系统的配置文件(例如,登录文件设置、驱动程序、网络配置设置值)等。

一个WMI筛选器可以包括一个或多个查询条件的建立,并且是采用SQL语法来完成建立,在建立多个条件下,可以使用AND与OR的逻辑表达式来表示,而每一个所建立的WMI筛选器都可以连接不同的现有组策略对象,一旦产生关联与应用之后,只要组织单位中的目标计算机符合WMI筛选器所设置的条件,那么这项组策略对象将会生效。

一个WMI过虑器连接到一个GPO,当你应用这个GPO到一个计算机,活动目录将会在目标计算机上评估该过虑器。一个WMI过虑器包含一个或多个查询,活动目录评估目标计算机那些属性。如果查询的结果与过虑器设置的属性值不相同,活动目录将不对该计算机应用这个GPO。WMI 筛选器是用 WMI 查询语言 (WQL) 编写的。查询语言类似SQL查询。

每一个组策略只能有一个WMI过虑器,你可以将一个过虑器连接到多个组策略。你可以针对网络上不同的类型的对象将WMI过滤器连接到GPO。下面的列出了WMI过虑器使用的一些例子。

u Services. 运行了DHCP服务的服务器

u Hardware Inventory. 有Pentium III处理器和至少128MB的内存的计算机。

u Software configuration. 启用多播软件的计算机。

对于运行Windows 2000的客户机,活动目录忽略WMI过滤器总是应用GPO。

关于WMI筛选器的使用,有以下3点注意事项需要特别留意。

1. 关于WMI筛选器与组策略对象的连接必须位于相同的域中。

2. 目前支持WMI筛选器组策略管理功能的Windows操作系统只有Windows XP、Windows Server 2003、Windows Vista及Windows Server 2008,如果是更旧版的Windows 2000的计算机,则将会忽略WMI筛选器的设置。

3. WMI筛选器的使用必须在有Windows Server 2003或Windows Server 2008域控器的域才可以,如果整个域中只有旧版的Window 2000 Server的域控制器,则在GPMC(Group Policy Management Console)界面中将看不到有关WMI筛选器的项目节点。

6.3.2示例:使用WMI筛选

您使用组策略为培训部计算机部署了画图软件,因为部署的软件默认安装在c:\program files文件夹下,有些计算机C盘的剩余空间如果不够大,安装部署的软件有可能将C盘空间用完。

你可以创建WMI筛选,只将部署软件的组策略应用到C盘有足够剩余空间的计算机。本例将会验证WMI筛选对计算机应用组策略的影响。

本示例将会创建两个WMI筛选,一个查询条件是:C盘剩余空间大于20G的计算机。第二个WMI的查询条件是:C盘剩余空间大于10G的计算机。

培训部的eduPC1的C盘剩余空间大于20G,marketPC1的剩余空间小于20G。

在培训部组织单元编辑组策略eduGPO部署画图软件,设置eduGPO应用器,检查软件部署情况,eduPC1能够应用组策略,由于marketPC1不满足组策略的WMI筛选,不能应用eduGPO组策略。

配置组策略eduGPO应用“C盘剩余空间大于10G的计算机”WMI筛选,在marketPC1上刷新组策略,重启系统。可以看到marketPC1满足了组策略关联的WMI筛选条件,应用了eduGPO组策略,启动时安装了部署的软件。

任务:

u 将eduPC1和marketPC1移动到培训部组织单元

u 查看培训部门计算机C盘可用空间

u 创建WMI筛选器 “C盘可用空间大于20G的计算机”

u 创建WMI筛选器 “C盘可用空间大于10G的计算机”

u 为使用组策略eduGPO为培训计算机部署画图软件

u 设置eduGPO应用“C盘可用空间大于20G的计算机” WMI筛选

u 在eduPC1和marketPC1上查看软件部署情况

u 设置eduGPO应用“C盘可用空间大于10G的计算机”WMI筛选

u marketPC1上刷新组策略重启系统查看软件部署情况

步骤:

4. 如图6-59所示,将eduPC1和MarketPC1都是放到“培训部”组织单元中。

5. 如图6-60所示,在eduPC1上登录,打开计算机,可以看到C盘可用空间为31.7G。

图 6-59 培训部的两个计算机 图 6-60 C盘可用空间

6. 如图6-61所示,登录marketPC1,打开我的电脑,可以看到C盘可用空间16.8G。

7. 如图6-62所示,在DCServer上,以域管理员登录,打开组策略管理工具,右击“WMI筛选器”,点击“新建”。

图 6-61 C盘可用空间 图 6-62 新建WMI筛选器

8. 如图6-63所示,在出现的新建WMI筛选器对话框,输入名称,点击“添加”。

9. 如图6-64所示,在出现的WMI查询对话框,名称空间输入 root\CIMv2,在查询下输入以下查询语句

Select * from Win32_LogicalDisk where Name = "C:" and FreeSpace > 20971520000

图 6-63 输入WMI筛选器名称 图 6-64 添加查询

10. 如图6-65所示,右击“WMI筛选器”,点击“新建”。

11. 如图6-66所示,在出现的新建WMI筛选器,输入名称,点击“添加”。

图 6-65 新建WMI筛选 图 6-66 输入WMI筛选器

12. 如图6-67所示,在出现的WMI查询对话框,命名空间输入root\CIMv2 查询命令输入

Select * from Win32_LogicalDisk where Name = "C:" and FreeSpace > 10485760000

13. 如图6-68所示,右击eduGPO,点击“编辑”。

图 6-67 输入查询 图 6-68 编辑组策略

14. 如图6-69所示,打开组策略管理编辑器,使用组策略为计算机部署画图软件。关闭组策略管理编辑器。

15. 如图6-70所示,点中eduGPO,在作用域标签下,WMI筛选选择,C盘剩余空间20G的计算机,在出现的提示对话框,点击“是”。

图 6-69 为计算机部署软件 图 6-70 绑定WMI筛选

16. 如图6-71所示,在eduPC上,点击“开始”à“运行”,输入gpupdate /force 点击“确定”。刷新组策略。输入Y,重启计算机。

17. 如图6-72所示,重启计算机后,登录,可以看到Cosmov1.0软件已经安装。说明该计算机满足组策略的WMI筛选条件,应用该组策略。

图 6-71 刷新组策略 图 6-72 满足WMI条件的计算机应用了组策略

18. 如图6-73所示,在eduPC1上输入gpupdate /force刷新策略完成后不提示重启。

19. 如图6-74所示,强制重启之后登录,你也看到不到部署的程序。说明部署画图软件的组策略没有应用到marketPC1上,因为不满足WMI筛选器的要求。

图 6-73 刷新组策略 图 6-74 不满足WMI筛选没有应用组策略

20. 如图6-75所示,在DCServer上,以域管理员登录,打开组策略管理工具。将eduGPO组策略的WMI筛选,选择“C盘剩余空间10G的计算机”。在出现的提示对话框,点击“是”。

21. 如图6-76所示,在marketPC1上,运行gpudate /force,输入Y,重启计算机。

图 6-75 更改组策略绑定的WMI筛选 图 6-76 刷新组策略

22. 如图6-77所示,在启动过程可以看到安装软件。说明该计算机满足了WMI筛选,应用组策略。

图 6-77 满足了WMI筛选应用了组策略

6.3.3WMI筛选器语法

在上述WMI筛选器查询条件的范例中,我们只是以一个简单语法的设置来筛选特定操作系统版本编号的方式,并且应用在指定组策略对象上。关于这些查询语法的范例除了可以在微软官方网站上找到之外,也可以参考表3-1的说明。

WMI筛选器语法范例条件 管理目标 WMI筛选器语法

配置设置 为避免应用在有启用Netmon功能的计算机上,可以去针对支持并启用Multicasting通信协议的计算机来应用 Select * from Win32_NetworkProtocol where SupportsMulticasting = true

时区设置 指定将策略对象应用在特定的时区计算机上 Root\cimv2 ; Select * from win32_timezone where bias =-300

补丁程序 指定将策略对象应用在已经完成某一些补丁程序安装的计算机上 Root\cimv2 ; Select * from Win32_QuickFixEngineering where HotFixID = 'q147222'

软件列表 指定将策略对象应用在有安装顾大侠外传或顾大侠外传II软件的计算机上 Root\cimv2;Select * from Win32_Product where name = "顾大侠外传" OR name = "顾大侠外传II"

操作系统 指定将策略对象应用在组织单位中的Windows XP专业版计算机上 Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"

硬件资源 指定将策略对象应用在硬盘空间至少还剩余600MB的计算机上 Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace > 629145600

硬件架构 指定将策略对象应用在特定的计算机厂商规格及指定的模块型号上 Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = "Toshiba" and Model = "Tecra 800" OR Model = "Tecra 810"

6.3.4组策略安全筛选

如果你将“管理用户环境”的组策略连接到“培训部”组织单元,只允许该部门的“水环所学员”组应用该组策略,你可以设置组策略安全筛选,指定能够应用该组策略的用户。

23. 如图6-78所示,在DCServer上打开,组策略管理工具,点中“培训部”组织单元下的“用户环境管理”组策略,在作用域标签下,可以看到安全筛选,默认所有Authenticated Users(通过身份验证的用户)都能应用。

24. 如图6-78所示,点中“Authenticated Users”,点击“删除”。在出现的确认对话框,点击“确定”。

25. 如图6-79所示,在出现的选择用户、计算机或组对话框,输入“水环所学院”,点击“确定”。

图 6-78 安全筛选 图 6-79 添加用户和组

26. 如图6-80所示,这样只有培训部组织单元中的“水环所学员”组能够应用此组策略。

图 6-80 授权用户应用组策略

广告

在组策略中用户策略仅对特定计算机生效,将组策略应用到满足条件的计算机---配置组策略筛选...相关推荐

  1. 在组策略中用户策略仅对特定计算机生效,如何对本地组策略设置使之不对特定用户生效?...

    组策略就是修改注册表中的相关配置,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便灵活,功能也更加强大.那如何设置本地组策略不对特定用户生效呢?下文给出 ...

  2. 简述本地组策略中用户和计算机配置的差异,组策略编辑器中的计算机配置和用户配置有什么区别吗?...

    满意答案 在计算机配置中的"关闭磁盘自动播放"功能,是针对,所有计算机用户的,也就是应用到整个计算机的策略. "用户配置"功能,仅应用到当前用户.如果用别的用户 ...

  3. linuxl下创建mysql用户和组_Linux中用户与用户组管理

    1.基础知识 Linux作为一种多用户的操作系统(服务器系统),允许多个用户同时登陆到系统上,并响应每个用户的请求. 任何需要使用操作系统的用户,都需要一个系统账号,账号分为:管理员账号与普通用户账号 ...

  4. 配置网络策略中的 NAP 条件

    TechNet 库 Windows Server Windows Server 2008 R2 und Windows Server 2008 按类别提供的 Windows Server 内容 Win ...

  5. 配置用户组策略环回处理模式

    配置用户组策略环回处理模式 默认情况下,域用户帐户在活动目录中的位置决定了该用户登录时应用哪些组策略中的用户设置. 如图6-87所示,在ess.com域上连接两个组策略Default Domain P ...

  6. 配置SNAT实现共享上网: 搭建内外网案例环境 配置SNAT策略实现共享上网访问

    4.1 问题 本案例要求设置防火墙规则,允许位于局域网中的主机可以访问外网,主要包括下列服务: 搭建内外网案例环境 配置SNAT策略实现共享上网访问 4.2 步骤 实现此案例需要按照如下步骤进行. 步 ...

  7. 在组策略中使用脚本为域用户添加网络打印机

    使用脚本为用户添加网络打印机 如果你想让培训部门的用户登录后就能添加网络打印机,就可以使用登录脚本来实现.其中DCServer是域控制,MarketPC1是市场部门的计算机,韩立辉用户是培训部门的用户 ...

  8. 计算机用户组连接打印机,在组策略中使用脚本为域用户添加网络打印机

    使用脚本为用户添加网络打印机 如果你想让培训部门的用户登录后就能添加网络打印机,就可以使用登录脚本来实现.其中DCServer是域控制,MarketPC1是市场部门的计算机,韩立辉用户是培训部门的用户 ...

  9. 在域中使用组策略允许用户关闭计算机以及更改系统时间

    用户权利指派策略: 设置步骤:活动目录用户和计算机"(Shenzhen)上鼠标右键--属性--组策略--选定GPO(SZGPO)--编辑--计算机配置--WIN设置--安全设置--本地策略- ...

最新文章

  1. python怎么添加列_如何将列添加到DataFrame列?添加新列详细解释————
  2. 已知三角形三点坐标求角度_2019高考数学:解三角形——正弦定理和余弦定理的解题技巧和模型...
  3. 【大话存储】多CPU架构变迁, SMP,NUMA,MPP
  4. linux服务器之间做ssh,Linux 服务器之间怎么样 SSH 不需密码
  5. 安卓中java或取上下文_android-Xposed:如何获取挂钩的应用程序的上下文?
  6. python的zip()函数,压缩多个可迭代对象
  7. CodeForces-1155D Beautiful Array
  8. [2019杭电多校第五场][hdu6624]fraction
  9. 各种浏览器开启JavaScript脚本方法
  10. 解决Android Studio不停的Indexing的问题
  11. unity3d 人物对话_RPG角色对话编辑器系统RPG Conversation/Dialogue Editor 1.2.0
  12. 为什么谐振时电抗为0_变频谐振耐压试验装置在进行电缆耐压试验原理
  13. 计算机如何删除用不到的打印机驱动程序,win7卸载不了打印机驱动怎么办
  14. 《 两个人的江湖 》
  15. java读取共享文件_局域网共享文件读写的实现方式
  16. S3C2440-裸机篇-05 | S3C2440时钟体系详解(FCLK、PCLK、HCLK)
  17. CTF的两道比较不错的流量分析题
  18. angular bugger
  19. thinkphp3.2 七牛 bad token
  20. 什么是真正的蒸汽朋克?

热门文章

  1. c ++查找字符串_C ++异常处理| 查找输出程序| 套装1
  2. linux下mysql目录结构_linux下mysql安装配置与目录结构
  3. dnf韩服服务器维护中,DNF2019韩服4.30维护:这些职业被加强
  4. java 方法 示例_Java语言环境getVariant()方法与示例
  5. Bean放入Spring容器,你知道几种方式?
  6. 【Python】导入资源管理器的文件列表(计算文件和文件夹大小)
  7. oracle 序列的概念与使用步骤
  8. 宝塔LNMP使用步骤nginx+php 7.2
  9. ssh远程执行命令 linux,【Linux】SSH 远程执行命令
  10. mysql innodb4大特征_MYSQL中InnoDB特性浅谈