使用WMI筛选器管理组策略应用

在Windows Server 2008的组策略高级管理中，对于将所添加设置的各种策略对象应用在组织单位上，除了一般常见的全部应用之外，还可以进一步结合WMI（Windows Management Instrumentation）筛选器，更进一步地将组策略只应用在组织单位中特定的计算机类别或用户属性上。

关于WMI筛选器内容的设置，可以应用在特定目标计算机的硬件规格（例如，CPU规格、内存大小、硬盘剩余空间）、所安装的软件列表、所安装的补丁程序（例如，Windows Vista Service Pack 1、Windows XP Service Pack 3）、操作系统的配置文件（例如，登录文件设置、驱动程序、网络配置设置值）等。

一个WMI筛选器可以包括一个或多个查询条件的建立，并且是采用SQL语法来完成建立，在建立多个条件下，可以使用AND与OR的逻辑表达式来表示，而每一个所建立的WMI筛选器都可以连接不同的现有组策略对象，一旦产生关联与应用之后，只要组织单位中的目标计算机符合WMI筛选器所设置的条件，那么这项组策略对象将会生效。

关于WMI筛选器的使用，有以下3点注意事项需要特别留意。

l关于WMI筛选器与组策略对象的连接必须位于相同的域中。

l目前支持WMI筛选器组策略管理功能的Windows操作系统只有Windows XP、Windows Server 2003、Windows Vista及Windows Server 2008，如果是更旧版的Windows 2000的计算机，则将会忽略WMI筛选器的设置。

lWMI筛选器的使用必须在有Windows Server 2003或Windows Server 2008域控器的域才可以，如果整个域中只有旧版的Window 2000 Server的域控制器，则在GPMC（Group Policy Management Console）界面中将看不到有关WMI筛选器的项目节点。

当我们已经在“组策略管理”界面中建立了许多应用在不同的 Active Directory 组织单位上后，便可以进一步来建立更细部的 WMI 筛选器。如图 3-19 所示，在此界面中展开至“林”→“域”→“ msft.com ”→“组策略对象”→“ WMI 筛选器”节点，单击鼠标右键，在弹出的快捷菜单中选择“新建”命令。

图 3-19  添加 WMI 筛选器

打开如图 3-20 所示的“新建 WMI 筛选器”页面，首先设置筛选器的“名称”与“描述”，然后单击“添加”按钮来设置查询条件，其中一个筛选器可以定义多个 WMI 查询条件，完成设置后单击“保存”按钮。

图3-20  设置筛选器内容

如图3-21所示是在前一步骤中单击“添加”按钮后出现的“WMI查询”页面，你只需要在“查询”字段中输入以WMI为主的SQL语法即可，其中字段名称与所设置的条件值一定不能输入错误，否则策略应用将会失败。范例中便是设置此策略只应用在组织单位中的Windows Server 2008与Windows Vista的计算机上，因为它们的实际操作系统版本编号是以“6.0”开头的，而其中的“%”是通用符号。

图3-21  设定筛选器语法

如图3-22所示，是完成WMI筛选器添加设置的页面，必要的话你可以继续在此节点项目上单击鼠标右键来添加其他筛选器。

图3-22  完成WMI筛选器添加

完成了各类WMI筛选器的添加设置之后，便可以展开至“组策略对象”项目节点，如图3-23所示，然后挑选所要设置的策略对象项目，在该对象的“作用域”选项卡的最下方的“WMI筛选”下拉选项中挑选所要应用的WMI筛选器项目即可。

完成了指定组策略对象的WMI筛选器关联设置之后，你可以再回到“WMI筛选器”项目节点，在该筛选器项目的“常规”页面中，便可以看到它所关联的组策略对象项目有哪些，以及它目前的查询条件有哪些，如图3-24所示。

图3-23  设置组策略对象关联的WMI筛选器

图3-24  检查WMI筛选器关联的策略对象

在上述WMI筛选器查询条件的范例中，我们只是以一个简单语法的设置来筛选特定操作系统版本编号的方式，并且应用在指定组策略对象上。关于这些查询语法的范例除了可以在微软官方网站上找到之外，也可以参考表3-1的说明。

表3-1  WMI筛选器语法范例

条件	管理目标	WMI筛选器语法
配置设置	为避免应用在有启用Netmon功能的计算机上，可以去针对支持并启用Multicasting通信协议的计算机来应用	Select * from Win32_NetworkProtocol where SupportsMulticasting = true
时区设置	指定将策略对象应用在特定的时区计算机上	Root\cimv2 ; Select * from win32_timezone where bias =-300
补丁程序	指定将策略对象应用在已经完成某一些补丁程序安装的计算机上	Root\cimv2 ; Select * from Win32_QuickFixEngineering where HotFixID = 'q147222'
软件列表	指定将策略对象应用在有安装顾大侠外传或顾大侠外传II软件的计算机上	Root\cimv2;Select * from Win32_Product where name = "顾大侠外传" OR name = "顾大侠外传II"
操作系统	指定将策略对象应用在组织单位中的Windows XP专业版计算机上	Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"
硬件资源	指定将策略对象应用在硬盘空间至少还剩余600MB的计算机上	Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace > 629145600
硬件架构	指定将策略对象应用在特定的计算机厂商规格及指定的模块型号上	Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = "Toshiba" and Model = "Tecra 800" OR Model = "Tecra 810"

 

 

转载于:https://blog.51cto.com/haoxia/160725