A WMI-szűrők technológiája a csoportházirendekben (GPO) lehetővé teszi a házirendek rugalmasabb alkalmazását az ügyfelek számára, különféle szabályok használatával, amelyek lehetővé teszik a WMI-kérelmek meghatározását, hogy kritériumokat képezzenek a számítógépek kiválasztására, amelyeket a csoportházirend érint. Például a WMI GPO szűrők használatával az OU-hoz rendelt házirendet csak a Windows 10 rendszert futtató számítógépekre lehet alkalmazni (a Windows más verzióinál ez a szűrővel rendelkező házirend nem kerül alkalmazásra).
Tartalom:
- Mire használják a WMI GPO szűrőket??
- Hogyan lehet létrehozni egy új WMI-szűrőt, és összekapcsolni egy csoportházirend-objektummal?
- Lekérdezési példák a WMI GPO szűrőkre
- WMI-szűrő tesztelése a PowerShell segítségével
Mire használják a WMI GPO szűrőket??
Általában WMI szűrési technológia WMI használatával (A windows vezetés hangszerelés) olyan helyzetekben használják, amikor a tartományobjektumok (felhasználók vagy számítógépek) sík AD-struktúrában vannak, és nem egy dedikált OU-ban, vagy ha házirendeket kell alkalmaznia, az operációs rendszer verziójától, annak hálózati beállításaitól, bizonyos telepített szoftverek jelenlététől vagy egyéb kritériumoktól függően, a WMI segítségével választható ki. Amikor egy ilyen csoportházirendet az ügyfél dolgoz fel, a Windows ellenőrzi annak állapotát a megadott WMI lekérdezés alapján a WQL nyelven (WMI Query Language), és ha a szűrési feltételek teljesülnek, egy ilyen GPO-t kell alkalmazni a számítógépre.
A WMI csoportházirend-szűrők először a Windows XP-ben jelentek meg, és a Windows legújabb verzióira (Windows Server 2019, 2016, Windows 10, 8.1) elérhetők.
Hogyan lehet létrehozni egy új WMI-szűrőt, és összekapcsolni egy csoportházirend-objektummal?
Új WMI-szűrő létrehozásához nyissa meg a GPMC-t csoport politika vezetés (gpmc.msc), és lépjen az Erdő -> Domainek -> winitpro.ru -> szakaszba WMI Szűrők. Ez a szakasz az összes WMI-tartományszűrőt tartalmazza. Hozzon létre egy új WMI-szűrőt (új).
A mezőn név adja meg a szűrő nevét a mezőben leírások annak leírása (választható). Ha kérést szeretne hozzáadni a WMI szűrőhöz, kattintson a gombra hozzáad, adja meg a WMI névtér nevét (alapértelmezett gyökér \ CIMv2) és adja meg a WMI kérési kódot.
A WMI kérésének a következő formátuma van:
Válassza a * lehetőséget WHERE = közül
Példánkban olyan WMI-szűrőt szeretne létrehozni, amely lehetővé teszi a csoportházirend alkalmazását csak a Windows 10 rendszert futtató számítógépeken. A WMI-kérési kód így néz ki:
Válassza a * lehetőséget a Win32_OperatingSystem közül, ahol a "10.%" és a ProductType = "1"
A WMI által létrehozott szűrőket az Active Directory tartomány msWMI-Som osztályának objektumaiban tárolják a DC = ..., CN = Rendszer, CN = WMIPolicy, CN = SOM szakaszban, megtalálhatók és szerkeszthetők az Adsiedit.msc konzol segítségével..
A WMI-szűrő létrehozása után összekapcsolhatja azt egy adott GPO-val. Keresse meg a kívánt házirendet a GPMC konzolban és a lapon terület a szakasz legördülő menüben WMI szűrő Válassza ki az előzőleg létrehozott WMI-szűrőt. Ebben a példában azt akarom, hogy az automatikus nyomtató-hozzárendelési irányelv csak a Windows 10 rendszert futtató számítógépekre vonatkozzon.
Várja meg, amíg ez az irányelv alkalmazandó az ügyfelekre, vagy frissítse a használatával gpupdate / force. Az ügyfélen alkalmazott házirendek elemzésekor használja a parancsot gpresult /r. Ha a házirend az ügyfélen működik, de a WMI-szűrő miatt nem alkalmazza, akkor a jelentés egy ilyen irányelvének a Szűrés: megtagadva (WMI-szűrő) státusza van, és a WMI-szűrő neve feltüntetésre kerül..
Lekérdezési példák a WMI GPO szűrőkre
Vegyük figyelembe a WMI GPO szűrők leggyakrabban használt példáit..
A WMI szűrővel kiválaszthatja az operációs rendszer típusát:
- ProductType = 1 - bármely kliens operációs rendszer
- ProductType = 2 - AD tartományvezérlő
- ProductType = 3 - szerver operációs rendszer (Windows Server)
Windows verziók:
- Windows Server 2016 és Windows 10 - 10.%
- Windows Server 2012 R2 és Windows 8.1 - 6,3%
- Windows Server 2012 és Windows 8 - 6,2%
- Windows Server 2008 R2 és Windows 7 - 6,1%
- Windows Server 2008 és Windows Vista - 6,0%
- Windows Server 2003 - 5,2%
- Windows XP - 5,1%
- Windows 2000 - 5,0%
A mintavételi feltételeket a WMI-kérelemben logikai operátorok segítségével kombinálhatja ÉS és VAGY. Ha csak a Windows Server 2016 rendszert futtató kiszolgálókra alkalmazza a házirendet, a WMI kérési kódja a következő lenne:
válassza a * elemet a Win32_OperatingSystem közül WHERE LIKE "10.%" ÉS (ProductType = "2" vagy ProductType = "3")
Válassza ki a Windows 8.1 32 bites verzióját:
válassza a * lehetőséget a Win32_OperatingSystem közül WHERE, mint például a "6.3%" ÉS ProductType = "1" ÉS OSArchitecture = "32 bites"
Csak a 64 bites operációs rendszerre alkalmazza az irányelvet:
Válassza a * lehetőséget a Win32_Processor közül, ahol AddressWidth = "64"
Válassza ki a Windows 10-t egy adott verzióval, például Windows 10 1803:válassza a Win32_OperatingSystem verziót, ahol olyan verzió van, mint a „10.0.17134” ÉS ProductType = ”1”
Csak a VMWare virtuális gépekre alkalmazza házirendet:
KIVÁLASZTÁS a modellt Win32_ComputerSystem-ből, ahonnan Model = “VMWare Virtual Platform”
Az irányelvet csak laptopokra alkalmazza (lásd a wmi cikket, amely a laptop kiválasztását kéri az SCCM-ben:
válassza a * lehetőséget a Win32_SystemEnclosure közül, ahol ChassisTypes = "8" vagy ChassisTypes = "9" vagy ChassisTypes = "10" vagy ChassisTypes = "11", vagy ChassisTypes = "12" vagy ChassisTypes = "14" vagy ChassisTypes = "18" vagy ChassisTypes = 21 "
WMI-szűrő, amely csak azokra a számítógépekre vonatkozik, amelyek neve „msk-pc” -nel kezdődik (például az ilyen eszközök USB-meghajtóinak csatlakoztatásának blokkolására):Válaszd ki a nevet Win32_ComputerSystem-től, ahova a név hasonlóan 'msk-pc%'
A WMI-szűrőnek a csoportházirend-objektumok IP-alhálózatokhoz való hozzárendelésére vonatkozó cikkében a WMI-szűrő használatának példáját írja le a csoportházirend IP-alhálózatokhoz történő finomítása érdekében. Ha például házirendet szeretne alkalmazni több IP-alhálózaton lévő ügyfelekre, használjon egy szűrőt:
Válassza a * Win32_IP4RouteTable WHERE-tól (maszk = '255.255.255.255' ÉS (Úticél mint '192.168.1.%' Vagy 'Úticél mint' 192.168.2.% '))
Alkalmazza az irányelvet az 1 GB-nál nagyobb RAM-ot tartalmazó számítógépekre:
Válassza a * lehetőséget a WIN32_ComputerSystem közül, ahol a TotalPhysicalMemory> = 1073741824
WMI-szűrő az Internet Explorer 11 elérhetőségének ellenőrzésére:
KIVÁLASZTÁS útvonalat, fájlnevet, kiterjesztést, verziót CIM_DataFile-től WHERE path = "\\ Program Files \\ Internet Explorer \\" ÉS fájlnév = "iexplore" ÉS kiterjesztés = "exe" ÉS verzió> "11.0"
WMI-szűrő tesztelése a PowerShell segítségével
WMI-lekérdezések írásakor néha be kell szereznie a számítógép különböző paramétereinek értékeit. Mersz megkapni ezeket a parancsmag segítségével kap-WMIObject. Például derítse ki a Win32_OperatingSystem osztály WMI attribútumait és értékeit:
Get-WMIObject Win32_OperatingSystem
SystemDirectory: C: \ WINDOWS \ system32
Szervezet:
BuildNumber: 17134
Regisztrált felhasználó: Windows felhasználó
Sorozatszám: 00331-10000-00001-AA494
Verzió: 10.0.17134
Az összes elérhető osztályparaméter megjelenítése:
Get-WMIObject Win32_OperatingSystem | Válassza a *
A PowerShell segítségével tesztelheti a WMI szűrőket a számítógépeken. Tegyük fel, hogy írt egy összetett WMI-kérelmet, és ellenőrizni akarja (a számítógép megfelel-e ennek a kérésnek vagy sem). Például létrehozott egy WMI IE 11 szűrőt a számítógépén. A célszámítógépen végrehajthatja ezt a WMI-kérést a parancsmag segítségével get-wmiobject:
get-wmiobject -query 'KIVÁLASZT * A CIM_DataFile-ből WHERE path = "\\ Program Files \\ Internet Explorer \\" ÉS fájlnév = "iexplore" ÉS kiterjesztés = "exe" ÉS A LIKE "11.%" "
Ha ez a parancs visszaad valamit, akkor a számítógép megfelel a kérés feltételeinek. Ha a get-wmiobject parancs semmit nem ad vissza, akkor a számítógép nem felel meg a kérelemnek.
Például, ha a megadott kérést egy számítógépen futtatja a Windows 10 és IE 11 rendszeren, a parancs visszatér:Tömörítve: hamis
Titkosítva: hamis
Méret:
Rejtett: Hamis
Név: c: \ program fájlok \ Internet Explorer \ iexplore.exe
Olvasható: Igaz
Rendszer: hamis
Verzió: 11.0.17134.1
Írható: Igaz
Ez azt jelenti, hogy az IE 11 telepítve van a számítógépre, és egy ilyen WMI-szűrővel rendelkező GPO-t alkalmaznak erre a számítógépre.
Ezért kitaláltuk, hogyan lehet WMI-szűrőket alkalmazni a csoportszabályok alkalmazására csak a lekérdezési feltételek alá tartozó számítógépekre. Az okok elemzésekor, amelyek miatt a számítógépes házirendet nem alkalmazzák, figyelembe kell venni a WMI-szűrők jelenlétét.
