发布时间 : 星期五 文章Windows - Server - 2008组策略详解更新完毕开始阅读c125e12225c52cc58bd6bea6
可以使用 WMI 筛选器来控制如何应用 GPO。每个 GPO 可以链接到一个 WMI 筛选器上;但同一 WMI 筛选器可以链接到多个 GPO 上。在将 WMI 筛选器链接到 GPO 之前,您必须先创建该筛选器。在处理组策略期间,将在目标计算机上评估 WMI 筛选器。只有在 WMI 筛选器评估结果为 true 时,才会应用 GPO。在基于 Windows 2000 的计算机上,将忽略 WMI 筛选器并始终应用 GPO。 备注
我们建议您将 WMI 筛选器主要用于例外情况管理。这些筛选器提供了一个强大的解决方案,以便将 GPO 应用于特定用户和计算机,但由于每次处理组策略时都会评估 WMI 筛选器,这会增加启动和登录时间。另外,WMI 筛选器没有超时。因此,只有在必要时才能使用这些筛选器。
通过使用 GPMC,您可以为 WMI 筛选器执行下列操作:创建和删除、链接和取消链接、复制和粘贴、导入和导出以及查看和编辑属性。
只有在域中至少有一个域控制器运行的是 Windows Server 2008 或 Windows Server 2003,或者在该域中使用 /Domainprep 选项运行了 ADPrep 时,才能使用 WMI 筛选器。否则,GPO 的“作用域”选项卡上的“WMI 筛选”部分以及该域下面的“WMI 筛选器”节点不存在。请参阅图 3 以帮助您确定本节中介绍的内容。
设置 WMI 筛选选项
WMI 将显示目标计算机中的管理数据。该数据可能包括硬件和软件清单、设置以及配置信息,其中包括注册表、驱动程序、文件系统、Active Directory、SNMP、Windows 安装程序以及网络中的数据。管理员可以创建 WMI 筛选器以控制是否应用 GPO,这些筛选器包含一个或多个基于此数据的查询。将在目标计算机上评估筛选器。如果 WMI 筛选器评估结果为 true,则会将 GPO 应用于该目标计算机;如果筛选器评估结果为 false,则不会应用 GPO。在基于 Windows 2000 的客户端或服务器目标上,将忽略 WMI 筛选器并始终应用 GPO。如果没有任何 WMI 筛选器,则始终应用 GPO。 可以使用 WMI 筛选器,根据各种对象和其他参数来确定组策略设置的目标。表 2 说明了可以为 WMI 筛选器指定的示例查询条件。
表 2 示例 WMI 筛选器
查询的 WMI 数据 服务 注册表 操作系统版本 硬件清单 硬件配置 服务关联
示例查询条件
运行 DHCP 服务的计算机 填充了指定注册表项的计算机
运行 Windows Server 2003 和更高版本的计算机 具有 Pentium III 处理器的计算机 在级别 3 启用网络适配器的计算机 具有任何依赖于 SQL 服务的服务的计算机
Windows 事件日志 最后五分钟报告审核事件的计算机
WMI 筛选器包含一个或多个 WMI 查询语言 (WQL) 查询。WMI 筛选器应用于 GPO 中的每个策略设置,因此,如果管理员要为不同策略设置指定不同的筛选要求,则必须创建单独的 GPO。在基于安全组成员身份确定并筛选可能的 GPO 列表后,将在目标计算机上评估 WMI 筛选器。
虽然可以将基于组策略的软件部署与 WMI 筛选器相结合来执行有限的基于清单的软件部署目标设置,但建议不要将其作为通常的作法,原因如下:
?
每个 GPO 只能有一个 WMI 筛选器。如果应用程序具有不同的清单要求,则您需要多个 WMI 筛选器,因而需要多个 GPO。增加 GPO 数量会影响启动和登录时间,并且还会增加管理开销。
WMI 筛选器评估可能需要很长时间才能完成,因此,它们可能会延长登录和启动时间。具体需要多少时间取决于查询结构。
?
示例 WMI 筛选器
如上所述,WMI 筛选器非常适于作为例外情况管理工具。通过按照特定条件进行筛选,您可以将特定 GPO 的目标指定为仅限特定的用户和计算机。下一节介绍了 WMI 筛选器以说明这一技术。
基于操作系统的目标设置
在本示例中,管理员要部署一个企业监视策略,但希望仅将基于 Windows Vista 的计算机作为目标。管理员可以创建如下 WMI 筛选器:
复制
Select * from Win32_OperatingSystem where Caption like \
大多数 WMI 筛选器使用 Root\\CimV2 命名空间;默认情况下,将在 GPMC 用户界面中填充此选项。 由于在基于 Windows 2000 的计算机上忽略 WMI 筛选器,因此,在这些计算机上始终应用筛选的 GPO。不过,您可以使用以下方法解决该问题:使用两个 GPO,并为具有 Windows 2000 设置的 GPO 指定较高的优先级(通过使用链接顺序)。然后,使用 WMI 筛选器筛选该 Windows 2000 GPO,并且仅在操作系统是 Windows 2000(而不是 Windows Vista 或 Windows XP)时才应用该筛选器。基于 Windows 2000 的计算机将接收 Windows 2000 GPO 并覆盖 Windows Vista 或 Windows XP GPO 中的策略设置。Windows Vista 或 Windows XP 客户端将接收 Windows Vista 或 Windows XP GPO 中的所有策略设置。 基于硬件清单的目标设置
在本示例中,管理员希望仅将新网络连接管理器工具分发到具有调制解调器的桌面。管理员可以使用以下 WMI 筛选器,将这些桌面指定为目标以部署该程序包: 复制
Select * from Win32_POTSModem Where Name = \
如果将组策略与 WMI 筛选器一起使用,请记住 WMI 筛选器应用于 GPO 中的所有策略设置。如果不同部署具有不同的要求,则需要使用不同的 GPO,每个 GPO 具有其自己的 WMI 筛选器。 基于配置的目标设置
在本示例中,管理员不希望在支持多播的计算机上应用 GPO。管理员可以使用以下筛选器确定支持多播的计算机:
复制
Select * from Win32_NetworkProtocol where SupportsMulticasting = true 基于磁盘空间数量和文件系统类型的目标设置
在本示例中,管理员希望将 C、D 或 E 分区上的可用空间超过 10 兆字节 (MB) 的计算机作为目标。这些分区必须位于一个或多个本地固定磁盘中,并且它们必须运行 NTFS 文件系统。管理员可以使用以下筛选器确定满足这些条件的计算机:
复制
SELECT * FROM Win32_LogicalDisk WHERE (Name = \AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = \
在上一示例中,DriveType = 3 表示本地磁盘,FreeSpace 单位为字节(10 MB = 10,485,760 字节)。
创建 WMI 筛选器的步骤
1. 在 GPMC 控制台树中,在要添加 WMI 筛选器的林和域中右键单击“WMI 筛选器”。 2. 单击“新建”。
3. 在“新建 WMI 筛选器”对话框中,在“名称”框中键入新 WMI 筛选器的名称,然后在“描述”框中键入该筛选器的说明。 4. 单击“添加”。
5. 在“WMI 查询”对话框中,保留默认命名空间,或执行以下某种操作以指定其他命名空间:
o 在“命名空间”框中,键入要用于 WMI 查询的命名空间的名称。默认值为 root\\CimV2。大多数情况下,您不需要更改该值。
o
单击“浏览”,从列表中选择一个命名空间,然后单击“确定”。
6. 在“查询”框中键入 WMI 查询,然后单击“确定”。
7. 若要添加更多查询,请重复步骤 4 至 6 以添加各个查询。 8. 在添加所有查询后,单击“保存”。 现在,便可以链接 WMI 筛选器了。
使用组策略继承
它通常用于定义企业标准 GPO。就本文而言,“企业标准”是指应用于组织中范围很广的一组用户的策略设置。适合定义企业标准 GPO 的示例方案是一项业务要求,它规定了:“只有经过特别授权的用户能够访问命令提示符或注册表编辑器。”在为不同用户组自定义策略设置时,组策略继承可以帮助您应用这些企业标准。
要实现此目的,一种方法是在链接到 OU(如用户帐户 OU)的 GPO(如标准用户策略 GPO)中设置“阻止访问命令提示符”和“阻止访问注册表编辑工具”策略设置。这会将这些策略设置应用于该 OU 中的所有用户。然后创建一个 GPO(如管理员用户策略 GPO),以明确允许管理员访问命令提示符和注册表编辑工具。将该 GPO 链接到管理员 OU,以覆盖标准用户策略 GPO 中配置的策略设置。图 4 中说明了这种方法。