本文详细介绍了如何利用Windows Management Instrumentation (WMI)筛选器在组策略中实现用户策略仅对特定计算机生效。通过WMI筛选器,可以根据计算机的硬件规格、软件配置等条件,精确控制组策略的适用范围,确保策略只应用在符合条件的计算机上。内容涵盖了WMI筛选器的创建、应用、示例和语法,以及如何结合安全筛选进行更细粒度的权限控制。
配置组策略筛选
Microsoft?Windows?Management Instrumentation (WMI) 大概是我们已知的 Microsoft 保存最好的秘密。尽管如此,但毫无疑问,WMI 是 Microsoft 主要的针对 Windows 的管理支持技术。
在Windows Server 2008的组策略高级管理中,对于将所添加设置的各种策略对象应用在组织单位上,除了一般常见的全部应用之外,还可以进一步结合WMI(Windows Management Instrumentation)筛选器,更进一步地将组策略只应用在组织单位中特定的计算机类别或用户属性上。
6.3.1什么是Windows 管理规范 (WMI)过虑器
图 6-58 WMI过滤器
关于WMI筛选器内容的设置,如图658-所示,可以应用在特定目标计算机的硬件规格(例如,CPU规格、内存大小、硬盘剩余空间)、所安装的软件列表、所安装的补丁程序(例如,Windows Vista Service Pack 1、Windows XP Service Pack 3)、操作系统的配置文件(例如,登录文件设置、驱动程序、网络配置设置值)等。
一个WMI筛选器可以包括一个或多个查询条件的建立,并且是采用SQL语法来完成建立,在建立多个条件下,可以使用AND与OR的逻辑表达式来表示,而每一个所建立的WMI筛选器都可以连接不同的现有组策略对象,一旦产生关联与应用之后,只要组织单位中的目标计算机符合WMI筛选器所设置的条件,那么这项组策略对象将会生效。
一个WMI过虑器连接到一个GPO,当你应用这个GPO到一个计算机,活动目录将会在目标计算机上评估该过虑器。一个WMI过虑器包含一个或多个查询,活动目录评估目标计算机那些属性。如果查询的结果与过虑器设置的属性值不相同,活动目录将不对该计算机应用这个GPO。WMI 筛选器是用 WMI 查询语言 (WQL) 编写的。查询语言类似SQL查询。
每一个组策略只能有一个WMI过虑器,你可以将一个过虑器连接到多个组策略。你可以针对网络上不同的类型的对象将WMI过滤器连接到GPO。下面的列出了WMI过虑器使用的一些例子。
u Services. 运行了DHCP服务的服务器
u Hardware Inventory. 有Pentium III处理器和至少128MB的内存的计算机。
u Software configuration. 启用多播软件的计算机。
对于运行Windows 2000的客户机,活动目录忽略WMI过滤器总是应用GPO。
关于WMI筛选器的使用,有以下3点注意事项需要特别留意。
1. 关于WMI筛选器与组策略对象的连接必须位于相同的域中。
2. 目前支持WMI筛选器组策略管理功能的Windows操作系统只有Windows XP、Windows Server 2003、Windows Vista及Windows Server 2008,如果是更旧版的Windows 2000的计算机,则将会忽略WMI筛选器的设置。
3. WMI筛选器的使用必须在有Windows Server 2003或Windows Server 2008域控器的域才可以,如果整个域中只有旧版的Window 2000 Server的域控制器,则在GPMC(Group Policy Management Console)界面中将看不到有关WMI筛选器的项目节点。
6.3.2示例:使用WMI筛选
您使用组策略为培训部计算机部署了画图软件,因为部署的软件默认安装在c:\program files文件夹下,有些计算机C盘的剩余空间如果不够大,安装部署的软件有可能将C盘空间用完。
你可以创建WMI筛选,只将部署软件的组策略应用到C盘有足够剩余空间的计算机。
最低0.47元/天 解锁文章
5152
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
