配置組策略篩選

Microsoft?Windows?Management Instrumentation (WMI) 大概是我們已知的 Microsoft 保存最好的秘密。盡管如此，但毫無疑問，WMI 是 Microsoft 主要的針對 Windows 的管理支持技術。

在Windows Server 2008的組策略高級管理中，對于將所添加設置的各種策略對象應用在組織單位上，除了一般常見的全部應用之外，還可以進一步結合WMI(Windows Management Instrumentation)篩選器，更進一步地將組策略只應用在組織單位中特定的計算機類別或用戶屬性上。

6.3.1什么是Windows 管理規范 (WMI)過慮器

圖 6-58 WMI過濾器

關于WMI篩選器內容的設置，如圖658-所示，可以應用在特定目標計算機的硬件規格(例如，CPU規格、內存大小、硬盤剩余空間)、所安裝的軟件列表、所安裝的補丁程序(例如，Windows Vista Service Pack 1、Windows XP Service Pack 3)、操作系統的配置文件(例如，登錄文件設置、驅動程序、網絡配置設置值)等。

一個WMI篩選器可以包括一個或多個查詢條件的建立，并且是采用SQL語法來完成建立，在建立多個條件下，可以使用AND與OR的邏輯表達式來表示，而每一個所建立的WMI篩選器都可以連接不同的現有組策略對象，一旦產生關聯與應用之后，只要組織單位中的目標計算機符合WMI篩選器所設置的條件，那么這項組策略對象將會生效。

一個WMI過慮器連接到一個GPO，當你應用這個GPO到一個計算機，活動目錄將會在目標計算機上評估該過慮器。一個WMI過慮器包含一個或多個查詢，活動目錄評估目標計算機那些屬性。如果查詢的結果與過慮器設置的屬性值不相同，活動目錄將不對該計算機應用這個GPO。WMI 篩選器是用 WMI 查詢語言 (WQL) 編寫的。查詢語言類似SQL查詢。

每一個組策略只能有一個WMI過慮器，你可以將一個過慮器連接到多個組策略。你可以針對網絡上不同的類型的對象將WMI過濾器連接到GPO。下面的列出了WMI過慮器使用的一些例子。

u Services. 運行了DHCP服務的服務器

u Hardware Inventory. 有Pentium III處理器和至少128MB的內存的計算機。

u Software configuration. 啟用多播軟件的計算機。

對于運行Windows 2000的客戶機，活動目錄忽略WMI過濾器總是應用GPO。

關于WMI篩選器的使用，有以下3點注意事項需要特別留意。

1. 關于WMI篩選器與組策略對象的連接必須位于相同的域中。

2. 目前支持WMI篩選器組策略管理功能的Windows操作系統只有Windows XP、Windows Server 2003、Windows Vista及Windows Server 2008，如果是更舊版的Windows 2000的計算機，則將會忽略WMI篩選器的設置。

3. WMI篩選器的使用必須在有Windows Server 2003或Windows Server 2008域控器的域才可以，如果整個域中只有舊版的Window 2000 Server的域控制器，則在GPMC(Group Policy Management Console)界面中將看不到有關WMI篩選器的項目節點。

6.3.2示例：使用WMI篩選

您使用組策略為培訓部計算機部署了畫圖軟件，因為部署的軟件默認安裝在c:\program files文件夾下，有些計算機C盤的剩余空間如果不夠大，安裝部署的軟件有可能將C盤空間用完。

你可以創建WMI篩選，只將部署軟件的組策略應用到C盤有足夠剩余空間的計算機。本例將會驗證WMI篩選對計算機應用組策略的影響。

本示例將會創建兩個WMI篩選，一個查詢條件是：C盤剩余空間大于20G的計算機。第二個WMI的查詢條件是：C盤剩余空間大于10G的計算機。

培訓部的eduPC1的C盤剩余空間大于20G，marketPC1的剩余空間小于20G。

在培訓部組織單元編輯組策略eduGPO部署畫圖軟件，設置eduGPO應用器，檢查軟件部署情況，eduPC1能夠應用組策略，由于marketPC1不滿足組策略的WMI篩選，不能應用eduGPO組策略。

配置組策略eduGPO應用“C盤剩余空間大于10G的計算機”WMI篩選，在marketPC1上刷新組策略，重啟系統。可以看到marketPC1滿足了組策略關聯的WMI篩選條件，應用了eduGPO組策略，啟動時安裝了部署的軟件。

任務：

u 將eduPC1和marketPC1移動到培訓部組織單元

u 查看培訓部門計算機C盤可用空間

u 創建WMI篩選器 “C盤可用空間大于20G的計算機”

u 創建WMI篩選器 “C盤可用空間大于10G的計算機”

u 為使用組策略eduGPO為培訓計算機部署畫圖軟件

u 設置eduGPO應用“C盤可用空間大于20G的計算機” WMI篩選

u 在eduPC1和marketPC1上查看軟件部署情況

u 設置eduGPO應用“C盤可用空間大于10G的計算機”WMI篩選

u marketPC1上刷新組策略重啟系統查看軟件部署情況

步驟：

4. 如圖6-59所示，將eduPC1和MarketPC1都是放到“培訓部”組織單元中。

5. 如圖6-60所示，在eduPC1上登錄，打開計算機，可以看到C盤可用空間為31.7G。

圖 6-59 培訓部的兩個計算機 圖 6-60 C盤可用空間

6. 如圖6-61所示，登錄marketPC1，打開我的電腦，可以看到C盤可用空間16.8G。

7. 如圖6-62所示，在DCServer上，以域管理員登錄，打開組策略管理工具，右擊“WMI篩選器”，點擊“新建”。

圖 6-61 C盤可用空間 圖 6-62 新建WMI篩選器

8. 如圖6-63所示，在出現的新建WMI篩選器對話框，輸入名稱，點擊“添加”。

9. 如圖6-64所示，在出現的WMI查詢對話框，名稱空間輸入 root\CIMv2，在查詢下輸入以下查詢語句

Select * from Win32_LogicalDisk where Name = "C:" and FreeSpace > 20971520000

圖 6-63 輸入WMI篩選器名稱 圖 6-64 添加查詢

10. 如圖6-65所示，右擊“WMI篩選器”，點擊“新建”。

11. 如圖6-66所示，在出現的新建WMI篩選器，輸入名稱，點擊“添加”。

圖 6-65 新建WMI篩選 圖 6-66 輸入WMI篩選器

12. 如圖6-67所示，在出現的WMI查詢對話框，命名空間輸入root\CIMv2 查詢命令輸入

Select * from Win32_LogicalDisk where Name = "C:" and FreeSpace > 10485760000

13. 如圖6-68所示，右擊eduGPO，點擊“編輯”。

圖 6-67 輸入查詢 圖 6-68 編輯組策略

14. 如圖6-69所示，打開組策略管理編輯器，使用組策略為計算機部署畫圖軟件。關閉組策略管理編輯器。

15. 如圖6-70所示，點中eduGPO，在作用域標簽下，WMI篩選選擇，C盤剩余空間20G的計算機，在出現的提示對話框，點擊“是”。

圖 6-69 為計算機部署軟件 圖 6-70 綁定WMI篩選

16. 如圖6-71所示，在eduPC上，點擊“開始”à“運行”，輸入gpupdate /force 點擊“確定”。刷新組策略。輸入Y，重啟計算機。

17. 如圖6-72所示，重啟計算機后，登錄，可以看到Cosmov1.0軟件已經安裝。說明該計算機滿足組策略的WMI篩選條件，應用該組策略。

圖 6-71 刷新組策略 圖 6-72 滿足WMI條件的計算機應用了組策略

18. 如圖6-73所示，在eduPC1上輸入gpupdate /force刷新策略完成后不提示重啟。

19. 如圖6-74所示，強制重啟之后登錄，你也看到不到部署的程序。說明部署畫圖軟件的組策略沒有應用到marketPC1上，因為不滿足WMI篩選器的要求。

圖 6-73 刷新組策略 圖 6-74 不滿足WMI篩選沒有應用組策略

20. 如圖6-75所示，在DCServer上，以域管理員登錄，打開組策略管理工具。將eduGPO組策略的WMI篩選，選擇“C盤剩余空間10G的計算機”。在出現的提示對話框，點擊“是”。

21. 如圖6-76所示，在marketPC1上，運行gpudate /force，輸入Y，重啟計算機。

圖 6-75 更改組策略綁定的WMI篩選 圖 6-76 刷新組策略

22. 如圖6-77所示，在啟動過程可以看到安裝軟件。說明該計算機滿足了WMI篩選，應用組策略。

圖 6-77 滿足了WMI篩選應用了組策略

6.3.3WMI篩選器語法

在上述WMI篩選器查詢條件的范例中，我們只是以一個簡單語法的設置來篩選特定操作系統版本編號的方式，并且應用在指定組策略對象上。關于這些查詢語法的范例除了可以在微軟官方網站上找到之外，也可以參考表3-1的說明。

WMI篩選器語法范例條件 管理目標 WMI篩選器語法

配置設置 為避免應用在有啟用Netmon功能的計算機上，可以去針對支持并啟用Multicasting通信協議的計算機來應用 Select * from Win32_NetworkProtocol where SupportsMulticasting = true

時區設置 指定將策略對象應用在特定的時區計算機上 Root\cimv2 ; Select * from win32_timezone where bias =-300

補丁程序 指定將策略對象應用在已經完成某一些補丁程序安裝的計算機上 Root\cimv2 ; Select * from Win32_QuickFixEngineering where HotFixID = 'q147222'

軟件列表 指定將策略對象應用在有安裝顧大俠外傳或顧大俠外傳II軟件的計算機上 Root\cimv2;Select * from Win32_Product where name = "顧大俠外傳" OR name = "顧大俠外傳II"

操作系統 指定將策略對象應用在組織單位中的Windows XP專業版計算機上 Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"

硬件資源 指定將策略對象應用在硬盤空間至少還剩余600MB的計算機上 Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace > 629145600

硬件架構 指定將策略對象應用在特定的計算機廠商規格及指定的模塊型號上 Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = "Toshiba" and Model = "Tecra 800" OR Model = "Tecra 810"

6.3.4組策略安全篩選

如果你將“管理用戶環境”的組策略連接到“培訓部”組織單元，只允許該部門的“水環所學員”組應用該組策略，你可以設置組策略安全篩選，指定能夠應用該組策略的用戶。

23. 如圖6-78所示，在DCServer上打開，組策略管理工具，點中“培訓部”組織單元下的“用戶環境管理”組策略，在作用域標簽下，可以看到安全篩選，默認所有Authenticated Users(通過身份驗證的用戶)都能應用。

24. 如圖6-78所示，點中“Authenticated Users”，點擊“刪除”。在出現的確認對話框，點擊“確定”。

25. 如圖6-79所示，在出現的選擇用戶、計算機或組對話框，輸入“水環所學院”，點擊“確定”。

圖 6-78 安全篩選 圖 6-79 添加用戶和組

26. 如圖6-80所示，這樣只有培訓部組織單元中的“水環所學員”組能夠應用此組策略。

圖 6-80 授權用戶應用組策略

廣告

總結

以上是生活随笔為你收集整理的在组策略中用户策略仅对特定计算机生效,将组策略应用到满足条件的计算机---配置组策略筛选...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。