Kami menggunakan filter WMI untuk mengikat GPO ke subnet IP

Kali ini ada kebutuhan untuk menerapkan GPO ke komputer dalam subnet IP tertentu. Dalam kasus paling sederhana, ketika subnet ini termasuk dalam situs Active Directory yang terpisah (dan hanya ada satu subnet di situs), Anda dapat menetapkan kebijakan ke situs AD (ada contoh pengikatan kebijakan ke situs di sini), ini adalah metode yang sederhana dan nyaman. Dalam kasus kami, kami tidak dapat menetapkan kebijakan ke seluruh situs, karena Ada beberapa subnet IP yang melekat pada situs AD. Anda harus memanfaatkan kapabilitas pemfilteran kebijakan menggunakan filter WMI.

Sebelumnya, kami melihat contoh penggunaan filter WMI untuk menerapkan kebijakan grup tertentu hanya untuk versi Windows tertentu. Dalam hal ini, dengan cara yang sama, Anda perlu membuat filter WMI dan mengubah permintaan sehingga berisi kondisi untuk memeriksa alamat IP.

  1. Buka konsol editor GPMC.msc (Grup Kebijakan Manajemen) dan temukan bagian itu Wmi Filter.
  2. Buat filter baru. Untuk melakukan ini, klik pada bagian RMB dan pilih di menu konteks Baru.
  3. Tunjukkan nama filter, deskripsinya.
  4. Untuk menambahkan permintaan pengambilan WMI, klik Tambah.
  5. Biarkan nilai sebagai namespace root \ CIMv2, dan salin kode berikut ke jendela permintaan.
    Pilih * FROM Win32_IP4RouteTable
    WHERE (Mask = '255.255.255.255'
    DAN (Tujuan Seperti '191.168.55.%' ATAU Tujuan Seperti '191.168.56.%'))

    Catatan. Dalam contoh ini, kami membuat filter yang memungkinkan Anda menargetkan kebijakan dengan klien dengan pola alamat IP yang cocok dengan topeng 191.168.55.x dan 191.168.56.x. Ganti subnet IP dengan milik Anda.
  6. Simpan permintaan.
  7. Sekarang di konsol GPMC Anda harus memilih kebijakan yang ingin Anda terapkan pada klien.
  8. Dalam pengaturan untuk kebijakan ini di bagian Wmi Penyaringan di daftar turun bawah, pilih filter yang dibuat dan tetapkan kebijakan ke OU dengan komputer.
Catatan. Dalam beberapa kasus, lebih mudah untuk mengarahkan kebijakan ke subnet klien tertentu - gunakan penargetan Preferensi Kebijakan Grup, di mana Anda dapat menentukan rentang alamat IP di salah satu filter.

Sekarang Anda perlu memperbarui kebijakan pada klien (gpupdate / force) dan memeriksa aplikasi mereka (Anda dapat menggunakan perintah gpresult standar untuk memeriksa penugasan GPO).

Jadi, menggunakan filter WMI sederhana, kami dapat menetapkan kebijakan untuk klien yang berada di subnet IP tertentu, atau serangkaian alamat IP.

Kategori