配置組策略篩選

Microsoft?Windows?Management Instrumentation (WMI) 大概是我們已知的 Microsoft 保存最好的秘密。盡管如此，但毫無疑問，WMI 是 Microsoft 主要的針對(duì) Windows 的管理支持技術(shù)。

在Windows Server 2008的組策略高級(jí)管理中，對(duì)于將所添加設(shè)置的各種策略對(duì)象應(yīng)用在組織單位上，除了一般常見的全部應(yīng)用之外，還可以進(jìn)一步結(jié)合WMI(Windows Management Instrumentation)篩選器，更進(jìn)一步地將組策略只應(yīng)用在組織單位中特定的計(jì)算機(jī)類別或用戶屬性上。

6.3.1什么是Windows 管理規(guī)范 (WMI)過慮器

圖 6-58 WMI過濾器

關(guān)于WMI篩選器內(nèi)容的設(shè)置，如圖658-所示，可以應(yīng)用在特定目標(biāo)計(jì)算機(jī)的硬件規(guī)格(例如，CPU規(guī)格、內(nèi)存大小、硬盤剩余空間)、所安裝的軟件列表、所安裝的補(bǔ)丁程序(例如，Windows Vista Service Pack 1、Windows XP Service Pack 3)、操作系統(tǒng)的配置文件(例如，登錄文件設(shè)置、驅(qū)動(dòng)程序、網(wǎng)絡(luò)配置設(shè)置值)等。

一個(gè)WMI篩選器可以包括一個(gè)或多個(gè)查詢條件的建立，并且是采用SQL語法來完成建立，在建立多個(gè)條件下，可以使用AND與OR的邏輯表達(dá)式來表示，而每一個(gè)所建立的WMI篩選器都可以連接不同的現(xiàn)有組策略對(duì)象，一旦產(chǎn)生關(guān)聯(lián)與應(yīng)用之后，只要組織單位中的目標(biāo)計(jì)算機(jī)符合WMI篩選器所設(shè)置的條件，那么這項(xiàng)組策略對(duì)象將會(huì)生效。

一個(gè)WMI過慮器連接到一個(gè)GPO，當(dāng)你應(yīng)用這個(gè)GPO到一個(gè)計(jì)算機(jī)，活動(dòng)目錄將會(huì)在目標(biāo)計(jì)算機(jī)上評(píng)估該過慮器。一個(gè)WMI過慮器包含一個(gè)或多個(gè)查詢，活動(dòng)目錄評(píng)估目標(biāo)計(jì)算機(jī)那些屬性。如果查詢的結(jié)果與過慮器設(shè)置的屬性值不相同，活動(dòng)目錄將不對(duì)該計(jì)算機(jī)應(yīng)用這個(gè)GPO。WMI 篩選器是用 WMI 查詢語言 (WQL) 編寫的。查詢語言類似SQL查詢。

每一個(gè)組策略只能有一個(gè)WMI過慮器，你可以將一個(gè)過慮器連接到多個(gè)組策略。你可以針對(duì)網(wǎng)絡(luò)上不同的類型的對(duì)象將WMI過濾器連接到GPO。下面的列出了WMI過慮器使用的一些例子。

u Services. 運(yùn)行了DHCP服務(wù)的服務(wù)器

u Hardware Inventory. 有Pentium III處理器和至少128MB的內(nèi)存的計(jì)算機(jī)。

u Software configuration. 啟用多播軟件的計(jì)算機(jī)。

對(duì)于運(yùn)行Windows 2000的客戶機(jī)，活動(dòng)目錄忽略WMI過濾器總是應(yīng)用GPO。

關(guān)于WMI篩選器的使用，有以下3點(diǎn)注意事項(xiàng)需要特別留意。

1. 關(guān)于WMI篩選器與組策略對(duì)象的連接必須位于相同的域中。

2. 目前支持WMI篩選器組策略管理功能的Windows操作系統(tǒng)只有Windows XP、Windows Server 2003、Windows Vista及Windows Server 2008，如果是更舊版的Windows 2000的計(jì)算機(jī)，則將會(huì)忽略WMI篩選器的設(shè)置。

3. WMI篩選器的使用必須在有Windows Server 2003或Windows Server 2008域控器的域才可以，如果整個(gè)域中只有舊版的Window 2000 Server的域控制器，則在GPMC(Group Policy Management Console)界面中將看不到有關(guān)WMI篩選器的項(xiàng)目節(jié)點(diǎn)。

6.3.2示例：使用WMI篩選

您使用組策略為培訓(xùn)部計(jì)算機(jī)部署了畫圖軟件，因?yàn)椴渴鸬能浖J(rèn)安裝在c:\program files文件夾下，有些計(jì)算機(jī)C盤的剩余空間如果不夠大，安裝部署的軟件有可能將C盤空間用完。

你可以創(chuàng)建WMI篩選，只將部署軟件的組策略應(yīng)用到C盤有足夠剩余空間的計(jì)算機(jī)。本例將會(huì)驗(yàn)證WMI篩選對(duì)計(jì)算機(jī)應(yīng)用組策略的影響。

本示例將會(huì)創(chuàng)建兩個(gè)WMI篩選，一個(gè)查詢條件是：C盤剩余空間大于20G的計(jì)算機(jī)。第二個(gè)WMI的查詢條件是：C盤剩余空間大于10G的計(jì)算機(jī)。

培訓(xùn)部的eduPC1的C盤剩余空間大于20G，marketPC1的剩余空間小于20G。

在培訓(xùn)部組織單元編輯組策略eduGPO部署畫圖軟件，設(shè)置eduGPO應(yīng)用器，檢查軟件部署情況，eduPC1能夠應(yīng)用組策略，由于marketPC1不滿足組策略的WMI篩選，不能應(yīng)用eduGPO組策略。

配置組策略eduGPO應(yīng)用“C盤剩余空間大于10G的計(jì)算機(jī)”WMI篩選，在marketPC1上刷新組策略，重啟系統(tǒng)。可以看到marketPC1滿足了組策略關(guān)聯(lián)的WMI篩選條件，應(yīng)用了eduGPO組策略，啟動(dòng)時(shí)安裝了部署的軟件。

任務(wù)：

u 將eduPC1和marketPC1移動(dòng)到培訓(xùn)部組織單元

u 查看培訓(xùn)部門計(jì)算機(jī)C盤可用空間

u 創(chuàng)建WMI篩選器 “C盤可用空間大于20G的計(jì)算機(jī)”

u 創(chuàng)建WMI篩選器 “C盤可用空間大于10G的計(jì)算機(jī)”

u 為使用組策略eduGPO為培訓(xùn)計(jì)算機(jī)部署畫圖軟件

u 設(shè)置eduGPO應(yīng)用“C盤可用空間大于20G的計(jì)算機(jī)” WMI篩選

u 在eduPC1和marketPC1上查看軟件部署情況

u 設(shè)置eduGPO應(yīng)用“C盤可用空間大于10G的計(jì)算機(jī)”WMI篩選

u marketPC1上刷新組策略重啟系統(tǒng)查看軟件部署情況

步驟：

4. 如圖6-59所示，將eduPC1和MarketPC1都是放到“培訓(xùn)部”組織單元中。

5. 如圖6-60所示，在eduPC1上登錄，打開計(jì)算機(jī)，可以看到C盤可用空間為31.7G。

圖 6-59 培訓(xùn)部的兩個(gè)計(jì)算機(jī) 圖 6-60 C盤可用空間

6. 如圖6-61所示，登錄marketPC1，打開我的電腦，可以看到C盤可用空間16.8G。

7. 如圖6-62所示，在DCServer上，以域管理員登錄，打開組策略管理工具，右擊“WMI篩選器”，點(diǎn)擊“新建”。

圖 6-61 C盤可用空間 圖 6-62 新建WMI篩選器

8. 如圖6-63所示，在出現(xiàn)的新建WMI篩選器對(duì)話框，輸入名稱，點(diǎn)擊“添加”。

9. 如圖6-64所示，在出現(xiàn)的WMI查詢對(duì)話框，名稱空間輸入 root\CIMv2，在查詢下輸入以下查詢語句

Select * from Win32_LogicalDisk where Name = "C:" and FreeSpace > 20971520000

圖 6-63 輸入WMI篩選器名稱 圖 6-64 添加查詢

10. 如圖6-65所示，右擊“WMI篩選器”，點(diǎn)擊“新建”。

11. 如圖6-66所示，在出現(xiàn)的新建WMI篩選器，輸入名稱，點(diǎn)擊“添加”。

圖 6-65 新建WMI篩選 圖 6-66 輸入WMI篩選器

12. 如圖6-67所示，在出現(xiàn)的WMI查詢對(duì)話框，命名空間輸入root\CIMv2 查詢命令輸入

Select * from Win32_LogicalDisk where Name = "C:" and FreeSpace > 10485760000

13. 如圖6-68所示，右擊eduGPO，點(diǎn)擊“編輯”。

圖 6-67 輸入查詢 圖 6-68 編輯組策略

14. 如圖6-69所示，打開組策略管理編輯器，使用組策略為計(jì)算機(jī)部署畫圖軟件。關(guān)閉組策略管理編輯器。

15. 如圖6-70所示，點(diǎn)中eduGPO，在作用域標(biāo)簽下，WMI篩選選擇，C盤剩余空間20G的計(jì)算機(jī)，在出現(xiàn)的提示對(duì)話框，點(diǎn)擊“是”。

圖 6-69 為計(jì)算機(jī)部署軟件 圖 6-70 綁定WMI篩選

16. 如圖6-71所示，在eduPC上，點(diǎn)擊“開始”à“運(yùn)行”，輸入gpupdate /force 點(diǎn)擊“確定”。刷新組策略。輸入Y，重啟計(jì)算機(jī)。

17. 如圖6-72所示，重啟計(jì)算機(jī)后，登錄，可以看到Cosmov1.0軟件已經(jīng)安裝。說明該計(jì)算機(jī)滿足組策略的WMI篩選條件，應(yīng)用該組策略。

圖 6-71 刷新組策略 圖 6-72 滿足WMI條件的計(jì)算機(jī)應(yīng)用了組策略

18. 如圖6-73所示，在eduPC1上輸入gpupdate /force刷新策略完成后不提示重啟。

19. 如圖6-74所示，強(qiáng)制重啟之后登錄，你也看到不到部署的程序。說明部署畫圖軟件的組策略沒有應(yīng)用到marketPC1上，因?yàn)椴粷M足WMI篩選器的要求。

圖 6-73 刷新組策略 圖 6-74 不滿足WMI篩選沒有應(yīng)用組策略

20. 如圖6-75所示，在DCServer上，以域管理員登錄，打開組策略管理工具。將eduGPO組策略的WMI篩選，選擇“C盤剩余空間10G的計(jì)算機(jī)”。在出現(xiàn)的提示對(duì)話框，點(diǎn)擊“是”。

21. 如圖6-76所示，在marketPC1上，運(yùn)行g(shù)pudate /force，輸入Y，重啟計(jì)算機(jī)。

圖 6-75 更改組策略綁定的WMI篩選 圖 6-76 刷新組策略

22. 如圖6-77所示，在啟動(dòng)過程可以看到安裝軟件。說明該計(jì)算機(jī)滿足了WMI篩選，應(yīng)用組策略。

圖 6-77 滿足了WMI篩選應(yīng)用了組策略

6.3.3WMI篩選器語法

在上述WMI篩選器查詢條件的范例中，我們只是以一個(gè)簡(jiǎn)單語法的設(shè)置來篩選特定操作系統(tǒng)版本編號(hào)的方式，并且應(yīng)用在指定組策略對(duì)象上。關(guān)于這些查詢語法的范例除了可以在微軟官方網(wǎng)站上找到之外，也可以參考表3-1的說明。

WMI篩選器語法范例條件 管理目標(biāo) WMI篩選器語法

配置設(shè)置 為避免應(yīng)用在有啟用Netmon功能的計(jì)算機(jī)上，可以去針對(duì)支持并啟用Multicasting通信協(xié)議的計(jì)算機(jī)來應(yīng)用 Select * from Win32_NetworkProtocol where SupportsMulticasting = true

時(shí)區(qū)設(shè)置 指定將策略對(duì)象應(yīng)用在特定的時(shí)區(qū)計(jì)算機(jī)上 Root\cimv2 ; Select * from win32_timezone where bias =-300

補(bǔ)丁程序 指定將策略對(duì)象應(yīng)用在已經(jīng)完成某一些補(bǔ)丁程序安裝的計(jì)算機(jī)上 Root\cimv2 ; Select * from Win32_QuickFixEngineering where HotFixID = 'q147222'

軟件列表 指定將策略對(duì)象應(yīng)用在有安裝顧大俠外傳或顧大俠外傳II軟件的計(jì)算機(jī)上 Root\cimv2;Select * from Win32_Product where name = "顧大俠外傳" OR name = "顧大俠外傳II"

操作系統(tǒng) 指定將策略對(duì)象應(yīng)用在組織單位中的Windows XP專業(yè)版計(jì)算機(jī)上 Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"

硬件資源 指定將策略對(duì)象應(yīng)用在硬盤空間至少還剩余600MB的計(jì)算機(jī)上 Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace > 629145600

硬件架構(gòu) 指定將策略對(duì)象應(yīng)用在特定的計(jì)算機(jī)廠商規(guī)格及指定的模塊型號(hào)上 Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = "Toshiba" and Model = "Tecra 800" OR Model = "Tecra 810"

6.3.4組策略安全篩選

如果你將“管理用戶環(huán)境”的組策略連接到“培訓(xùn)部”組織單元，只允許該部門的“水環(huán)所學(xué)員”組應(yīng)用該組策略，你可以設(shè)置組策略安全篩選，指定能夠應(yīng)用該組策略的用戶。

23. 如圖6-78所示，在DCServer上打開，組策略管理工具，點(diǎn)中“培訓(xùn)部”組織單元下的“用戶環(huán)境管理”組策略，在作用域標(biāo)簽下，可以看到安全篩選，默認(rèn)所有Authenticated Users(通過身份驗(yàn)證的用戶)都能應(yīng)用。

24. 如圖6-78所示，點(diǎn)中“Authenticated Users”，點(diǎn)擊“刪除”。在出現(xiàn)的確認(rèn)對(duì)話框，點(diǎn)擊“確定”。

25. 如圖6-79所示，在出現(xiàn)的選擇用戶、計(jì)算機(jī)或組對(duì)話框，輸入“水環(huán)所學(xué)院”，點(diǎn)擊“確定”。

圖 6-78 安全篩選 圖 6-79 添加用戶和組

26. 如圖6-80所示，這樣只有培訓(xùn)部組織單元中的“水環(huán)所學(xué)員”組能夠應(yīng)用此組策略。

圖 6-80 授權(quán)用戶應(yīng)用組策略

廣告

總結(jié)

以上是生活随笔為你收集整理的在组策略中用户策略仅对特定计算机生效,将组策略应用到满足条件的计算机---配置组策略筛选...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。