Buat filter WMI untuk kebijakan grup (GPO) dalam domain AD

Teknologi filter WMI dalam Kebijakan Grup (GPO) memungkinkan aplikasi kebijakan yang lebih fleksibel kepada klien, melalui penggunaan berbagai aturan yang memungkinkan Anda menentukan permintaan WMI untuk membentuk kriteria pemilihan komputer yang akan dipengaruhi oleh Kebijakan Grup. Misalnya, menggunakan filter WMI GPO, Anda dapat menerapkan kebijakan yang ditetapkan untuk OU hanya untuk komputer yang menjalankan Windows 10 (pada versi Windows lainnya, kebijakan seperti itu dengan filter tidak akan diterapkan).

Konten:

  • Untuk apa filter WMI GPO digunakan??
  • Cara membuat filter WMI baru dan mengikatnya ke GPO?
  • Contoh Permintaan untuk Filter WMI GPO
  • Menguji Filter WMI dengan PowerShell

Untuk apa filter WMI GPO digunakan??

Biasanya teknologi penyaringan WMI menggunakan WMI (Windows Manajemen Instrumentasi) digunakan dalam situasi ketika objek domain (pengguna atau komputer) berada dalam struktur AD datar, dan tidak dalam OU khusus, atau jika Anda perlu menerapkan kebijakan, tergantung pada versi OS, pengaturan jaringannya, keberadaan perangkat lunak yang diinstal tertentu, atau kriteria lain yang dapat dipilih menggunakan WMI. Saat memproses kebijakan grup seperti itu oleh klien, Windows akan memeriksa statusnya terhadap kueri WMI yang ditentukan dalam bahasa WQL (WMI Query Language), dan jika kondisi filter terpenuhi, GPO seperti itu akan diterapkan ke komputer.

Filter Kebijakan Grup WMI pertama kali muncul di Windows XP, dan tersedia hingga versi terbaru Windows (Windows Server 2019, 2016, Windows 10, 8.1).

Cara membuat filter WMI baru dan mengikatnya ke GPO?

Untuk membuat filter WMI baru, buka GPMC Grup Kebijakan Manajemen (gpmc.msc) dan pergi ke bagian Forest -> Domains -> winitpro.ru -> Wmi Filter. Bagian ini berisi semua filter domain WMI. Buat filter WMI baru (Baru).

Di lapangan Nama tentukan nama filter di bidang Deskripsi deskripsinya (opsional). Untuk menambahkan permintaan ke filter WMI, klik tombol Tambah, tentukan nama namespace WMI (default root \ CIMv2) dan tentukan kode permintaan WMI.

Permintaan WMI memiliki format berikut:

Pilih * dari WHERE =

Dalam contoh kami, Anda ingin membuat filter WMI yang memungkinkan Anda menerapkan Kebijakan Grup hanya pada komputer yang menjalankan Windows 10. Kode permintaan WMI mungkin terlihat seperti ini:

Pilih * dari Win32_OperatingSystem di mana Versi seperti "10.%" dan ProductType = "1"

Filter yang dibuat oleh WMI disimpan dalam objek kelas msWMI-Som dari domain Direktori Aktif di DC = ..., CN = Sistem, CN = WMIPolicy, CN = bagian SOM, Anda dapat menemukan dan mengeditnya menggunakan konsol adsiedit.msc.

Setelah membuat filter WMI, Anda dapat mengikatnya ke GPO tertentu. Temukan kebijakan yang diinginkan di konsol GPMC dan di tab Lingkup di menu dropdown bagian Wmi Penyaringan Pilih filter WMI yang dibuat sebelumnya. Dalam contoh ini, saya ingin kebijakan penetapan printer otomatis berlaku hanya untuk komputer yang menjalankan Windows 10.

Tunggu kebijakan ini berlaku untuk klien, atau perbarui dengan menggunakan gpupdate / force. Saat menganalisis kebijakan yang diterapkan pada klien, gunakan perintah gpresult /r. Jika kebijakan bertindak pada klien tetapi tidak diterapkan karena filter WMI, kebijakan seperti itu dalam laporan akan memiliki status Penyaringan: Ditolak (WMI Filter) dan nama filter WMI akan ditunjukkan.

Contoh Permintaan untuk Filter WMI GPO

Perhatikan berbagai contoh filter WMI GPO yang paling umum digunakan..

Menggunakan filter WMI, Anda dapat memilih jenis OS:

  • ProductType = 1 - OS klien apa pun
  • ProductType = 2 - pengontrol domain AD
  • ProductType = 3 - OS server (Windows Server)

Versi Windows:

  • Windows Server 2016 dan Windows 10 - 10%
  • Windows Server 2012 R2 dan Windows 8.1 - 6,3%
  • Windows Server 2012 dan Windows 8 - 6,2%
  • Windows Server 2008 R2 dan Windows 7 - 6,1%
  • Windows Server 2008 dan Windows Vista - 6,0%
  • Windows Server 2003 - 5,2%
  • Windows XP - 5,1%
  • Windows 2000 - 5,0%

Anda dapat menggabungkan kondisi pengambilan sampel dalam permintaan WMI menggunakan operator logis DAN dan ATAU. Untuk menerapkan kebijakan hanya ke server yang menjalankan Windows Server 2016, kode permintaan WMI adalah:

pilih * dari Win32_OperatingSystem Versi WHERE SEPERTI "10.%" AND (ProductType = "2" atau ProductType = "3")

Pilih versi Windows 8.1 32 bit:

pilih * dari Win32_OperatingSystem Versi WHERE seperti "6.3%" AND ProductType = "1" DAN OSArchitecture = "32-bit"

Terapkan kebijakan hanya untuk OS 64-bit:

Pilih * dari Win32_Processor di mana AddressWidth = "64"

Pilih Windows 10 dengan build tertentu, misalnya Windows 10 1803:
pilih Versi dari Win32_OperatingSystem Versi WHERE seperti "10.0.17134" AND ProductType = "1"

Terapkan kebijakan hanya untuk mesin virtual VMWare:

SELECT Model DARI Win32_ComputerSystem WHERE Model = “Platform Virtual VMWare”

Terapkan kebijakan hanya untuk laptop (lihat artikel wmi yang meminta pemilihan laptop di SCCM:

pilih * dari Win32_SystemEnclosure di mana ChassisTypes = "8" atau ChassisTypes = "9" atau ChassisTypes = "10" atau ChassisTypes = "11" atau ChassisTypes = "12" atau ChassisTypes = "18" atau ChassisTypes = "18" atau ChassisTypes = " 21 "

Filter WMI, yang hanya berlaku untuk komputer yang namanya dimulai dengan "msk-pc" (misalnya, untuk memblokir koneksi drive USB pada perangkat ini):
SELECT Name FROM Win32_ComputerSystem WHERE Name LIKE 'msk-pc%'

Contoh penggunaan filter WMI untuk menyempurnakan Kebijakan Grup ke subnet IP dijelaskan dalam artikel Filter WMI untuk memetakan GPO ke subnet IP. Misalnya, untuk menerapkan kebijakan kepada klien pada beberapa subnet IP, gunakan filter:

Pilih * FROM Win32_IP4RouteTable WHERE (Mask = '255.255.255.255' AND (Destination Like '192.168.1.%' ATAU Destination Like '192.168.2.%'))

Terapkan kebijakan ke komputer dengan lebih dari 1 GB RAM:

Pilih * dari WIN32_ComputerSystem di mana TotalPhysicalMemory> = 1073741824

Filter WMI untuk memeriksa ketersediaan di Internet Explorer 11:

SELECT path, nama file, ekstensi, versi DARI CIM_DataFile WHERE path = "\\ Program Files \\ Internet Explorer \\" DAN nama file = "iexplore" DAN ekstensi = "exe" DAN versi> "11.0"

Menguji Filter WMI dengan PowerShell

Saat menulis kueri WMI, terkadang Anda perlu mendapatkan nilai dari berbagai parameter di komputer. Anda berani mendapatkan ini diberikan menggunakan cmdlet Dapatkan-Wmiobject. Misalnya, dapatkan atribut WMI dan nilai-nilai kelas Win32_OperatingSystem:

Dapatkan-WMIObject Win32_OperatingSystem

SystemDirectory: C: \ WINDOWS \ system32
Organisasi:
BuildNumber: 17134
Pengguna Terdaftar: Pengguna Windows
SerialNumber: 00331-10000-00001-AA494
Versi: 10.0.17134

Untuk menampilkan semua parameter kelas yang tersedia:

Get-WMIObject Win32_OperatingSystem | Pilih *

Anda dapat menggunakan PowerShell untuk menguji filter WMI di komputer. Misalkan Anda menulis permintaan WMI yang kompleks dan ingin memeriksanya (apakah komputer cocok dengan permintaan ini atau tidak). Misalnya, Anda membuat filter WMI IE 11 di komputer Anda. Di komputer target, Anda dapat menjalankan permintaan WMI ini menggunakan cmdlet dapatkan-wmiobject:

get-wmiobject -query 'SELECT * FROM CIM_DataFile WHERE path = "\\ Program Files \\ Internet Explorer \\" DAN nama file = "iexplore" DAN ekstensi = "exe" DAN versi SEPERTI "11.%"'

Jika perintah ini mengembalikan sesuatu, maka komputer memenuhi persyaratan permintaan. Jika perintah get-wmiobject tidak mengembalikan apa pun, komputer tidak cocok dengan permintaan.
Misalnya, menjalankan permintaan yang ditentukan pada komputer dengan Windows 10 dan IE 11, perintah akan kembali:
Terkompresi: Salah
Dienkripsi: Salah
Ukuran:
Tersembunyi: Salah
Nama: c: \ program file \ internet explorer \ iexplore.exe
Dapat dibaca: Benar
Sistem: Salah
Versi: 11.0.17134.1
Tulis: Benar

Ini berarti bahwa IE 11 diinstal pada komputer dan GPO dengan filter WMI akan diterapkan pada komputer ini.

Jadi, kami menemukan cara menggunakan filter WMI untuk menerapkan kebijakan grup hanya untuk komputer yang termasuk dalam kondisi kueri. Penting untuk memperhitungkan keberadaan filter WMI saat menganalisis alasan mengapa kebijakan pada komputer tidak diterapkan.