Tehnologija filtrov WMI v skupinskih politikah (GPO) omogoča bolj prilagodljivo uporabo pravilnikov strankam z uporabo različnih pravil, ki omogočajo določitev zahtev WMI za oblikovanje meril za izbiro računalnikov, na katere bo vplivala skupinska politika. Na primer z uporabo filtrov WMI GPO lahko uporabite pravilnik, dodeljen OU, samo za računalnike z operacijskim sistemom Windows 10 (v drugih različicah sistema Windows tak pravilnik s filtrom ne bo uporabljen).
Vsebina:
- Za kaj se uporabljajo WMI GPO filtri??
- Kako ustvariti nov filter WMI in ga povezati z GPO?
- Primeri poizvedb za WMI GPO filtre
- Testiranje WMI filtra s programom PowerShell
Za kaj se uporabljajo WMI GPO filtri??
Običajno tehnologija filtriranja WMI z uporabo WMI (Windows Upravljanje Instrumentacija) uporablja se v situacijah, ko so domenski predmeti (uporabniki ali računalniki) v ravni strukturi AD in ne v namenski OU ali če morate uporabiti pravilnike, odvisno od različice OS, njegovih omrežnih nastavitev, prisotnosti določene nameščene programske opreme ali drugih meril, ki lahko izberete z uporabo WMI. Ko bo odjemalec takšno skupinsko politiko obdelal, bo Windows preveril njegovo stanje glede na podano poizvedbo WMI v jeziku WQL (WMI jezik poizvedb), in če so izpolnjeni pogoji za filtriranje, bo tak računalnik uporabljen v računalniku.
Filtri politik WMI Group so se prvič pojavili v sistemu Windows XP in so na voljo do najnovejših različic sistema Windows (Windows Server 2019, 2016, Windows 10, 8.1).
Kako ustvariti nov filter WMI in ga povezati z GPO?
Če želite ustvariti nov filter WMI, odprite GPMC Skupina Politika Upravljanje (gpmc.msc) in pojdite v razdelek Gozd -> Domene -> winitpro.ru -> Wmi Filtri. Ta razdelek vsebuje vse filtre domen WMI. Ustvari nov filter WMI (Novo).
Na polju Ime v polju navedite ime filtra Opisi njegov opis (neobvezno). Če želite dodati zahtevo v filter WMI, kliknite na gumb Dodaj, določite ime imenskega prostora WMI (privzeto) root \ CIMv2) in določite kodo zahteve WMI.
Zahteva WMI ima naslednjo obliko:
Izberite * od WHERE =
V našem primeru želite ustvariti filter WMI, ki vam omogoča, da uporabite skupinsko politiko samo v računalnikih z operacijskim sistemom Windows 10. Koda zahteve WMI lahko izgleda tako:
Izberite * iz Win32_OperatingSystem, kjer je različica, kot sta "10.%" in ProductType = "1"
Ustvarjeni filtri WMI so shranjeni v objektih razreda msWMI-Som v domeni Active Directory v razdelku DC = ..., CN = sistem, CN = WMIPolicy, CN = SOM, najdete jih in uredite s konzolo adsiedit.msc.
Ko ustvarite filter WMI, ga lahko vežete na določen GPO. Poiščite želeni pravilnik v konzoli GPMC in na zavihku Področje uporabe v spustnem meniju razdelka Wmi Filtriranje Izberite prej ustvarjeni filter WMI. V tem primeru želim, da se politika samodejnega dodeljevanja tiskalnikov nanaša samo na računalnike z operacijskim sistemom Windows 10.
Počakajte, da se ta pravilnik nanaša na stranke ali pa jo posodobite z uporabo gpupdate / force. Ko analizirate uporabniške politike na odjemalcu, uporabite ukaz gpresult /r. Če pravilnik deluje na odjemalca, vendar ga zaradi filtra WMI ne uporablja, bo tak pravilnik v poročilu imel status Filtriranje: Zavrnjeno (filter WMI) in ime filtra WMI.
Primeri poizvedb za WMI GPO filtre
Razmislite o različnih primerih WMI GPO filtrov, ki se najpogosteje uporabljajo..
S pomočjo filtra WMI lahko izberete vrsto OS:
- ProductType = 1 - kateri koli odjemalski operacijski sistem
- ProductType = 2 - krmilnik domene AD
- ProductType = 3 - operacijski sistem strežnika (Windows Server)
Različice sistema Windows:
- Windows Server 2016 in Windows 10 - 10.%
- Windows Server 2012 R2 in Windows 8.1 - 6,3%
- Windows Server 2012 in Windows 8 - 6,2%
- Windows Server 2008 R2 in Windows 7 - 6,1%
- Windows Server 2008 in Windows Vista - 6,0%
- Windows Server 2003 - 5,2%
- Windows XP - 5,1%
- Windows 2000 - 5,0%
Pogoje vzorčenja lahko združite v zahtevi WMI z uporabo logičnih operaterjev IN in ALI. Če želite pravilnik uporabiti samo za strežnike z operacijskim sistemom Windows Server 2016, bi bila koda zahteve WMI:
izberite * iz sistema Win32_OperatingSystem WHERE Različica VERIŠO "10%" IN (ProductType = "2" ali ProductType = "3")
Izberite 32-bitne različice sistema Windows 8.1:
izberite * iz Win32_OperatingSystem WHERE Različica, kot je "6.3%" IN ProductType = "1" IN OSArchitecture = "32-bit"
Uporabite pravilnik samo za 64-bitni OS:
Izberite * med Win32_Processor, kjer AddressWidth = "64"
Izberite Windows 10 z določeno zgradbo, na primer Windows 10 1803:izberite različico Win32_OperatingSystem WHERE Različica, kot je "10.0.17134" IN ProductType = "1"
Uporabite pravilnik samo za navidezne stroje VMWare:
IZBERITE model IZ Win32_ComputerSystem WHERE Model = "VMWare Virtual Platform"
Uporabite pravilnik samo za prenosnike (glejte članek wmi, ki zahteva izbiro prenosnika v SCCM:
izberite * iz Win32_SystemEnclosure, kjer ChassisTypes = "8" ali ChassisTypes = "9" ali ChassisTypes = "10" ali ChassisTypes = "11" ali ChassisTypes = "12" ali ChassisTypes = "14" ali ChassisTypes = "18" ali ChassisTypes = " 21 "
WMI filter, ki velja samo za računalnike, katerih imena se začnejo z "msk-pc" (na primer za blokiranje povezave pogonov USB na teh napravah):IZBERI ime IZ Win32_ComputerSystem WHERE Ime LIKE 'msk-pc%'
Primer uporabe filtra WMI za natančno nastavitev pravilnika skupine na podomrežja IP je opisan v članku filtra WMI za preslikavo GPO-jev v podomrežja IP. Če želite na primer uporabiti pravilnik za stranke v več podomrežjih IP, uporabite filter:
Izberite * IZ Win32_IP4RouteTable WHERE (Maska = '255.255.255.255' IN (Destinacija kot '192.168.1.%' ALI Destinacija kot '192.168.2.%'))
Uporabite pravilnik za računalnike z več kot 1 GB RAM-a:
Izberite * iz WIN32_ComputerSystem, kjer TotalPhysicalMemory> = 1073741824
WMI filter za preverjanje razpoložljivosti v Internet Explorerju 11:
IZBERITE pot, ime datoteke, razširitev, različica OD CIM_DataFile WHERE path = "\\ Programske datoteke \\ Internet Explorer \\" IN filename = "iexplore" AND extension = "exe" IN različica> "11.0"
Testiranje WMI filtra s programom PowerShell
Ko pišete WMI poizvedbe, morate včasih v računalnik pridobiti vrednosti različnih parametrov. Upate si, da bi jih dobili s pomočjo cmdleta Pridite-Wmiobject. Na primer, izpeljite atribute in vrednosti razreda WMI razreda Win32_OperatingSystem:
Get-WMIObject Win32_OperatingSystem
SystemDirectory: C: \ WINDOWS \ system32
Organizacija:
BuildNumber: 17134
Registrirani uporabnik: Uporabnik sistema Windows
Serijska številka: 00331-10000-00001-AA494
Različica: 10.0.17134
Za prikaz vseh razpoložljivih parametrov razreda:
Get-WMIObject Win32_OperatingSystem | Izberi *
PowerShell lahko uporabite za testiranje filtrov WMI na računalnikih. Recimo, da ste napisali kompleksno zahtevo WMI in jo želite preveriti (ali se računalnik ujema s to zahtevo ali ne). Na primer, v računalniku ste ustvarili filter WMI IE 11. V ciljnem računalniku lahko to zahtevo WMI izvedete s pomočjo cmdleta dobiti-wmiobject:
get-wmiobject -query 'IZBERI * IZ CIM_DataFile WHERE path = "\\ Programske datoteke \\ Internet Explorer \\" IN ime datoteke = "iexplore" IN razširitev = "exe" IN različica kot "11%"'
Če ta ukaz nekaj vrne, računalnik izpolnjuje pogoje zahteve. Če ukaz get-wmiobject ničesar ne vrne, se računalnik ne ujema z zahtevo.
Na primer, če zaženete zahtevo v računalniku z operacijskim sistemom Windows 10 in IE 11, se ukaz vrne:Stisnjeno: Lažno
Šifrirano: Lažno
Velikost:
Skrito: lažno
Ime: c: \ programske datoteke \ internet explorer \ iexplore.exe
Berljivo: Res
Sistem: Lažno
Različica: 11.0.17134.1
Zapisano: Res
To pomeni, da je v računalniku nameščen IE 11 in na ta računalnik bo uporabljen GPO s takim WMI filtrom.
Tako smo ugotovili, kako s filtri WMI uporabiti skupinske pravilnike samo za računalnike, ki sodijo pod poizvedbene pogoje. Pri analizi razlogov, zaradi katerih se politika na računalniku ne uporablja, je treba upoštevati prisotnost filtrov WMI.
