配置组策略筛选

Microsoft?Windows?Management Instrumentation (WMI) 大概是我们已知的 Microsoft 保存最好的秘密。尽管如此，但毫无疑问，WMI 是 Microsoft 主要的针对 Windows 的管理支持技术。

在Windows Server 2008的组策略高级管理中，对于将所添加设置的各种策略对象应用在组织单位上，除了一般常见的全部应用之外，还可以进一步结合WMI(Windows Management Instrumentation)筛选器，更进一步地将组策略只应用在组织单位中特定的计算机类别或用户属性上。

6.3.1什么是Windows 管理规范 (WMI)过虑器

图 6-58 WMI过滤器

关于WMI筛选器内容的设置，如图658-所示，可以应用在特定目标计算机的硬件规格(例如，CPU规格、内存大小、硬盘剩余空间)、所安装的软件列表、所安装的补丁程序(例如，Windows Vista Service Pack 1、Windows XP Service Pack 3)、操作系统的配置文件(例如，登录文件设置、驱动程序、网络配置设置值)等。

一个WMI筛选器可以包括一个或多个查询条件的建立，并且是采用SQL语法来完成建立，在建立多个条件下，可以使用AND与OR的逻辑表达式来表示，而每一个所建立的WMI筛选器都可以连接不同的现有组策略对象，一旦产生关联与应用之后，只要组织单位中的目标计算机符合WMI筛选器所设置的条件，那么这项组策略对象将会生效。

一个WMI过虑器连接到一个GPO，当你应用这个GPO到一个计算机，活动目录将会在目标计算机上评估该过虑器。一个WMI过虑器包含一个或多个查询，活动目录评估目标计算机那些属性。如果查询的结果与过虑器设置的属性值不相同，活动目录将不对该计算机应用这个GPO。WMI 筛选器是用 WMI 查询语言 (WQL) 编写的。查询语言类似SQL查询。

每一个组策略只能有一个WMI过虑器，你可以将一个过虑器连接到多个组策略。你可以针对网络上不同的类型的对象将WMI过滤器连接到GPO。下面的列出了WMI过虑器使用的一些例子。

u Services. 运行了DHCP服务的服务器

u Hardware Inventory. 有Pentium III处理器和至少128MB的内存的计算机。

u Software configuration. 启用多播软件的计算机。

对于运行Windows 2000的客户机，活动目录忽略WMI过滤器总是应用GPO。

关于WMI筛选器的使用，有以下3点注意事项需要特别留意。

1. 关于WMI筛选器与组策略对象的连接必须位于相同的域中。

2. 目前支持WMI筛选器组策略管理功能的Windows操作系统只有Windows XP、Windows Server 2003、Windows Vista及Windows Server 2008，如果是更旧版的Windows 2000的计算机，则将会忽略WMI筛选器的设置。

3. WMI筛选器的使用必须在有Windows Server 2003或Windows Server 2008域控器的域才可以，如果整个域中只有旧版的Window 2000 Server的域控制器，则在GPMC(Group Policy Management Console)界面中将看不到有关WMI筛选器的项目节点。

6.3.2示例：使用WMI筛选

您使用组策略为培训部计算机部署了画图软件，因为部署的软件默认安装在c:\program files文件夹下，有些计算机C盘的剩余空间如果不够大，安装部署的软件有可能将C盘空间用完。

你可以创建WMI筛选，只将部署软件的组策略应用到C盘有足够剩余空间的计算机。本例将会验证WMI筛选对计算机应用组策略的影响。

本示例将会创建两个WMI筛选，一个查询条件是：C盘剩余空间大于20G的计算机。第二个WMI的查询条件是：C盘剩余空间大于10G的计算机。

培训部的eduPC1的C盘剩余空间大于20G，marketPC1的剩余空间小于20G。

在培训部组织单元编辑组策略eduGPO部署画图软件，设置eduGPO应用器，检查软件部署情况，eduPC1能够应用组策略，由于marketPC1不满足组策略的WMI筛选，不能应用eduGPO组策略。

配置组策略eduGPO应用“C盘剩余空间大于10G的计算机”WMI筛选，在marketPC1上刷新组策略，重启系统。可以看到marketPC1满足了组策略关联的WMI筛选条件，应用了eduGPO组策略，启动时安装了部署的软件。

任务：

u 将eduPC1和marketPC1移动到培训部组织单元

u 查看培训部门计算机C盘可用空间

u 创建WMI筛选器 “C盘可用空间大于20G的计算机”

u 创建WMI筛选器 “C盘可用空间大于10G的计算机”

u 为使用组策略eduGPO为培训计算机部署画图软件

u 设置eduGPO应用“C盘可用空间大于20G的计算机” WMI筛选

u 在eduPC1和marketPC1上查看软件部署情况

u 设置eduGPO应用“C盘可用空间大于10G的计算机”WMI筛选

u marketPC1上刷新组策略重启系统查看软件部署情况

步骤：

4. 如图6-59所示，将eduPC1和MarketPC1都是放到“培训部”组织单元中。

5. 如图6-60所示，在eduPC1上登录，打开计算机，可以看到C盘可用空间为31.7G。

图 6-59 培训部的两个计算机 图 6-60 C盘可用空间

6. 如图6-61所示，登录marketPC1，打开我的电脑，可以看到C盘可用空间16.8G。

7. 如图6-62所示，在DCServer上，以域管理员登录，打开组策略管理工具，右击“WMI筛选器”，点击“新建”。

图 6-61 C盘可用空间 图 6-62 新建WMI筛选器

8. 如图6-63所示，在出现的新建WMI筛选器对话框，输入名称，点击“添加”。

9. 如图6-64所示，在出现的WMI查询对话框，名称空间输入 root\CIMv2，在查询下输入以下查询语句

Select * from Win32_LogicalDisk where Name = "C:" and FreeSpace > 20971520000

图 6-63 输入WMI筛选器名称 图 6-64 添加查询

10. 如图6-65所示，右击“WMI筛选器”，点击“新建”。

11. 如图6-66所示，在出现的新建WMI筛选器，输入名称，点击“添加”。

图 6-65 新建WMI筛选 图 6-66 输入WMI筛选器

12. 如图6-67所示，在出现的WMI查询对话框，命名空间输入root\CIMv2 查询命令输入

Select * from Win32_LogicalDisk where Name = "C:" and FreeSpace > 10485760000

13. 如图6-68所示，右击eduGPO，点击“编辑”。

图 6-67 输入查询 图 6-68 编辑组策略

14. 如图6-69所示，打开组策略管理编辑器，使用组策略为计算机部署画图软件。关闭组策略管理编辑器。

15. 如图6-70所示，点中eduGPO，在作用域标签下，WMI筛选选择，C盘剩余空间20G的计算机，在出现的提示对话框，点击“是”。

图 6-69 为计算机部署软件 图 6-70 绑定WMI筛选

16. 如图6-71所示，在eduPC上，点击“开始”à“运行”，输入gpupdate /force 点击“确定”。刷新组策略。输入Y，重启计算机。

17. 如图6-72所示，重启计算机后，登录，可以看到Cosmov1.0软件已经安装。说明该计算机满足组策略的WMI筛选条件，应用该组策略。

图 6-71 刷新组策略 图 6-72 满足WMI条件的计算机应用了组策略

18. 如图6-73所示，在eduPC1上输入gpupdate /force刷新策略完成后不提示重启。

19. 如图6-74所示，强制重启之后登录，你也看到不到部署的程序。说明部署画图软件的组策略没有应用到marketPC1上，因为不满足WMI筛选器的要求。

图 6-73 刷新组策略 图 6-74 不满足WMI筛选没有应用组策略

20. 如图6-75所示，在DCServer上，以域管理员登录，打开组策略管理工具。将eduGPO组策略的WMI筛选，选择“C盘剩余空间10G的计算机”。在出现的提示对话框，点击“是”。

21. 如图6-76所示，在marketPC1上，运行gpudate /force，输入Y，重启计算机。

图 6-75 更改组策略绑定的WMI筛选 图 6-76 刷新组策略

22. 如图6-77所示，在启动过程可以看到安装软件。说明该计算机满足了WMI筛选，应用组策略。

图 6-77 满足了WMI筛选应用了组策略

6.3.3WMI筛选器语法

在上述WMI筛选器查询条件的范例中，我们只是以一个简单语法的设置来筛选特定操作系统版本编号的方式，并且应用在指定组策略对象上。关于这些查询语法的范例除了可以在微软官方网站上找到之外，也可以参考表3-1的说明。

WMI筛选器语法范例条件 管理目标 WMI筛选器语法

配置设置 为避免应用在有启用Netmon功能的计算机上，可以去针对支持并启用Multicasting通信协议的计算机来应用 Select * from Win32_NetworkProtocol where SupportsMulticasting = true

时区设置 指定将策略对象应用在特定的时区计算机上 Root\cimv2 ; Select * from win32_timezone where bias =-300

补丁程序 指定将策略对象应用在已经完成某一些补丁程序安装的计算机上 Root\cimv2 ; Select * from Win32_QuickFixEngineering where HotFixID = 'q147222'

软件列表 指定将策略对象应用在有安装顾大侠外传或顾大侠外传II软件的计算机上 Root\cimv2;Select * from Win32_Product where name = "顾大侠外传" OR name = "顾大侠外传II"

操作系统 指定将策略对象应用在组织单位中的Windows XP专业版计算机上 Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"

硬件资源 指定将策略对象应用在硬盘空间至少还剩余600MB的计算机上 Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace > 629145600

硬件架构 指定将策略对象应用在特定的计算机厂商规格及指定的模块型号上 Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = "Toshiba" and Model = "Tecra 800" OR Model = "Tecra 810"

6.3.4组策略安全筛选

如果你将“管理用户环境”的组策略连接到“培训部”组织单元，只允许该部门的“水环所学员”组应用该组策略，你可以设置组策略安全筛选，指定能够应用该组策略的用户。

23. 如图6-78所示，在DCServer上打开，组策略管理工具，点中“培训部”组织单元下的“用户环境管理”组策略，在作用域标签下，可以看到安全筛选，默认所有Authenticated Users(通过身份验证的用户)都能应用。

24. 如图6-78所示，点中“Authenticated Users”，点击“删除”。在出现的确认对话框，点击“确定”。

25. 如图6-79所示，在出现的选择用户、计算机或组对话框，输入“水环所学院”，点击“确定”。

图 6-78 安全筛选 图 6-79 添加用户和组

26. 如图6-80所示，这样只有培训部组织单元中的“水环所学员”组能够应用此组策略。

图 6-80 授权用户应用组策略

广告