Implementacja filtrów WMI w zasadach grup (GPO)

Share this post

Filtry WMI w systemie Windows Serwer umożliwiają określanie na podstawie utworzonej kwerendy danych WMI,czy dany obiekt GPO zostanie zastosowany czy nie. Filtry WMI określają, do których kont użytkowników i komputerów przypisane są ustawienia zasad skonfigurowane w obiekcie GPO zawierającym utworzony filtr.
Dzięki temu można dynamicznie określać obiekty docelowe dla zasad grupy na podstawie właściwości komputera lokalnego.

Przygodę z filtrami WMI rozpoczniemy od przygotowania serwera (z zainstalowanym oraz skonfigurowanym AD) oraz dwóch komputerów, jeden z zainstalowanym systemem Windows Xp i drugi z systemem Windows 7. Przygotowanie tych dwóch klientów pozwoli na proste zrozumienie działania filtru WMI. Oba komputery dodajemy do domeny.

Rysunek 1. Dodane koputerów z systemem Windows XP oraz Windows 7 do domeny.
Rysunek 1. Dodane koputerów z systemem Windows XP oraz Windows 7 do domeny.

Następnie przechodzimy do Menedżera serwera w celu dodania nowej funkcji.

Rysunek 2. Dodanie nowej funkcji w Menedżerze serwera.
Rysunek 2. Dodanie nowej funkcji w Menedżerze serwera.

W kreatorze dodawania nowych funkcji instalujemy przystawkę Zarządzanie zasadami grup.

Rysunek 3. Instalacja dodatku "Zarządzanie zasadami grup".
Rysunek 3. Instalacja dodatku "Zarządzanie zasadami grup".

Po zainstalowaniu przystawki, uruchamiamy zakładkę Użytkownicy i komputery usługi Active Directory, zaznaczamy nazwę domeny i z dostępnego menu, rozwiniętego prawym klawiszem myszki wybieramy opcję nowy -> jednostka organizacyjna.

Nową jednostkę organizacyjną tworzymy, ponieważ w późniejszym kroku właśnie dla tej jednostki utworzymy oraz przypiszemy zasadę grupy.

Rysunek 4. Tworzenie nowej jednoski organizacyjnej w Active Directory.
Rysunek 4. Tworzenie nowej jednoski organizacyjnej w Active Directory.

Definiujemy nazwę dla nowego obiektu jednostki organizacyjnej. Nazywamy go Filtrowanie WMI i klikamy Ok.

Rysunek 5. Definiowanie nazwy dla nowej jednostki ogranizacyjnej.
Rysunek 5. Definiowanie nazwy dla nowej jednostki ogranizacyjnej.

W kolejnym kroku tworzymy konto np. soisk

Rysunek 6. Tworzenie nowego użytkownika w Active Directory.
Rysunek 6. Tworzenie nowego użytkownika w Active Directory.

I przenosimy je do wcześniej utworzonej jednostki organizacyjnej o nazwie Filtrowanie WMI.

Rysunek 7. Przeniesienie użytkownika do nowo utworzonej jednoski organizacyjnej.
Rysunek 7. Przeniesienie użytkownika do nowo utworzonej jednoski organizacyjnej.

Teraz najprzyjemniejsza rzecz, tworzenie filtrów oraz zasad grup. Uruchamiamy przystawkę Zarządzanie zasadami grup znajdujące się w Narzędziach admnistracyjnych.

Rysunek 8. Uruchomienie przystawki "Zarządzanie zasadami grup"
Rysunek 8. Uruchomienie przystawki "Zarządzanie zasadami grup"

Tworzymy nowy filtr poprzez zaznaczenie zakładki “Filtry usługi WMI” oraz rozwinięcie prawym klawiszem myszy menu kontekstowego które zawiera opcję Nowe.

Rysunek 9. Tworzenie nowego filtra WMI.
Rysunek 9. Tworzenie nowego filtra WMI.

W kreatorze nowego filtra WMI definiujemy nazwę i opis. Filtr będzie dotyczył systemu Windows 7 (jeśli zasada grup napotka ten system w sieci, automatycznie zastosuje zdefiniowany obiekt gpo, natomiast, jeśli zasada napotka inny system, np. Windows XP, pominie stosowanie zdefiniowanej zasady.) Klikamy opcję Dodaj.

Rysunek 10. Definiowanie nazwy oraz opisu dla nowego filtra WMI.
Rysunek 10. Definiowanie nazwy oraz opisu dla nowego filtra WMI.

W sekcji obszar nazwy wpisujemy root\CIMv2 natomiast w zapytaniu umieszczamy select * from Win32_OperatingSystem WHERE Version LIKE "6.1%" and ProductType = "1" i klikamy ok.

Rysunek 11. Tworzenie zapytania dla usługi WMI.
Rysunek 11. Tworzenie zapytania dla usługi WMI.

Tworzymy nowi filtr poprzez użycie funkcji Zapisz.

Rysunek 12. Utworzenie nowego filtra WMI.
Rysunek 12. Utworzenie nowego filtra WMI.

Etap tworzenia filtru WMI został zakończony. Teraz określimy działanie filtra, które zostanie zastosowane po napotkaniu w sieci lan komputera z zainstalowanym systemem Windows 7.

Zaznaczamy zakładkę Filtrowanie WMI (utworzyliśmy ją wcześniej za pomocą przystawki Użytkownicy i komputery usługi Active Directory, patrz rysunek 4.), prawym klawiszem myszki rozwijamy menu kontekstowe, z którego wybieramy Utwórz obiekt zasad grup w tej domenie i umieść tu łącze.

Rysunek 13. Tworzenie nowego obiektu zasad grup.
Rysunek 13. Tworzenie nowego obiektu zasad grup.

Definiujemy nazwę dla nowego obiektu zasad grup. Jak widzicie na poniższym screenie, nasza zasada będzie dotyczyła blokowania ustawień ekranu (po prawidłowym jej zaimplementowaniu, ekran w systemie Windows 7 powinien zostać zablokowany, natomiast w systemie Windows XP nie). Po umieszczeniu w pol nazwa “Blokowanie ustawień ekranu” klikamy ok.

Rysunek 14. Definiowanie nazwy dla tworzonego obiektu zasad grup.
Rysunek 14. Definiowanie nazwy dla tworzonego obiektu zasad grup.

Kolejnym krokiem po utWorzeniu zasady będzie jej wyedytowanie. Prawym klawiszem myszki rozwijamy menu kontekstowe i klikamy opcję Edytuj.

Rysunek 15. Edycja utworzonej zasady.
Rysunek 15. Edycja utworzonej zasady.

By w prosty sposób pokazać zasadę działania filtra WMI, za pomocą gpo zablokujemy możliwość edycji ustawień ekranu (rozdzielczości) a za pomocą wcześniej utworzonego filtra WMI sprawimy, by zasada była zastosowana tylko na komputerach z zainstalowanym systemem Windows XP.

By zablokować możliwość edycji ustawień ekranu, w edytorze zarządzania zasadami grup kolejno rozwijamy zakładkę Konfiguracja użytkownika -> szablony administracyjne -> Panel sterowania -> Ekran. Z prawej strony okna Edytora wyświetlają się ustawienia, które możemy włączyć lub wyłączyć. Zaznaczamy zakładkę “Wyłącz element Ekran w Panelu sterowania” i z rozwiniętego prawym klawiszem myszki menu kontekstowego wybieramy opcję Edytuj.

Rysunek 16. Wyłączenie zakładki Ekran w panelu sterowania.
Rysunek 16. Wyłączenie zakładki Ekran w panelu sterowania.

Po otworzeniu okna “Wyłącz element Ekran w Panelu sterowania” włączamy zasadę poprzez zaznaczenie opcji Włączone i kliknięciu klawisza Ok.

Rysunek 17. Wyłączanie elementu Ekran z Panelu sterowania.
Rysunek 17. Wyłączanie elementu Ekran z Panelu sterowania.

Zamykamy okno edytora zarządzania zasadami grup i w oknie Zarządzania zasadami grup, zaznaczamy “Blokowanie ustawień ekranu” po czym z zakładki Filtrowanie WMI wybieramy wcześniej utworzony filtr o nazwie Windows 7.

Rysunek 18. Włączanie filtru WMI w zdefiniowanej zasadzie grup.
Rysunek 18. Włączanie filtru WMI w zdefiniowanej zasadzie grup.

Na pytanie “Czy chcesz zmienić filtr WMI na Windows 7” klikamy Tak.

Rysunek 19. Zatwierdzenie zmian w filtrach WMI.
Rysunek 19. Zatwierdzenie zmian w filtrach WMI.

Teraz uruchamiamy koMputer z zainstalowanym systemem Windows XP, logujemy się na konto soisk i odświeżamy zasadę grup poprzez wywołanie polecenia gpupdate /force

Rysunek 20. Uruchomienie systemu Windows XP i wywołanie polecenia gpupdate /force
Rysunek 20. Uruchomienie systemu Windows XP i wywołanie polecenia gpupdate /force

Powyższy krok wykonujemy również na komputerze z zainstalowanym systemem Windows 7. Po odświeżeniu zasad wylogowujemy się bądź uruchamiamy komputery ponownie.

Rysunek 21. Uruchomienie systemu Windows 7 i wywołanie polecenia gpupdate /force
Rysunek 21. Uruchomienie systemu Windows 7 i wywołanie polecenia gpupdate /force

Po wylogowaniu lub restarcie komputera logujemy się na konto soisk i uruchamiamy właściwości ekranu.

Rysunek 22. Weryfikacja zastosowanych zasad.
Rysunek 22. Weryfikacja zastosowanych zasad.

Ten sam krok,czyli zalogowanie się do systemu za pomocą konta soisk i uruchomienie przystawki ekran wykonujemy na komputerze z zainstalowanym Systemem Windows 7.

Rysunek 23. Weryfikacja zaimplementowanych zasad w systemie Windows 7.
Rysunek 23. Weryfikacja zaimplementowanych zasad w systemie Windows 7.

Jak widać, możliwość edycji ustawień ekranu, została zablokowana tylko w systemie Windows 7, natomiast w systemie Windows XP nadal można wprowadzać własne ustawienia. Świadczy to o tym, że filtr WMI został poprawnie zaimplementowany. Ta zasada będzie obowiązywała dla wszystkich użytkowników znajdujących się w jednostce organizacyjnej Filtrowanie WMI (patrz rysunek 7.) oraz logujących się na komputery z systemem Windows 7. Ustawienie GPO dla użytkowników logujących się na systemy Windows XP lub Windows Vista, zostaną pominięte. To jak wykorzystacie Filtry WMI zależy już od waszej własnej wyobraźni.

Poniżej prezentuję najczęściej spotkane i wykorzystywane filtry:

Skrypt filtrujący maszyny z Windows 7:
select * from Win32_OperatingSystem where Version like “6.1%” and ProductType = “1″

Skrypt filtrujacy maszyny z Windows 7 64-bit
select * from Win32_OperatingSystem WHERE Version like “6.1%” AND ProductType=”1″ AND OSArchitecture = “64-bit”

Skrypt filtrujacy maszyny z Windows 7 32-bit
select * from Win32_OperatingSystem WHERE Version like “6.1%” AND ProductType=”1″ AND NOT OSArchitecture = “64-bit”

Skrypt filtrujacy maszyny z Windows XP
select * from Win32_OperatingSystem where (Version like "5.1%" or Version like "5.2%") and ProductType = "1"

Skrypt filtrujacy maszyny z 32-bit OS
Select * from Win32_Processor where AddressWidth = "32"

Skrypt filtrujacy maszyny z 64-bit OS
Select * from Win32_Processor where AddressWidth = "64"

Do tworzenia filtrów WMI możemy także wykorzystać narzędzie WMI Code Creator

Rysunek 24. Tworzenie filtrów za pomocą generatora kodów WMI.
Rysunek 24. Tworzenie filtrów za pomocą generatora kodów WMI.

Podobne wpisy

Zdalne zarządzanie serwerem Hyper-V w grupie roboczej

Najczęściej stosowane polecenia w serwerze Hyper-V

Automatyczna dystrybucja programów za pomocą GPO