Технологија ВМИ филтера у групним политикама (ГПО) омогућава флексибилнију примену политика клијентима, коришћењем различитих правила која вам омогућавају да одредите ВМИ захтеве да бисте формирали критеријуме за избор рачунара на које ће утицати групна политика. На пример, користећи ВМИ ГПО филтере, можете да примените политику додељену ОУ само рачунарима са оперативним системом Виндовс 10 (на осталим верзијама оперативног система Виндовс, таква смерница са филтером се неће применити).
Садржај:
- За шта се користе ВМИ ГПО филтери??
- Како створити нови ВМИ филтер и везати га за ГПО?
- Примјери упита за ВМИ ГПО филтере
- Тестирање ВМИ филтера помоћу ПоверСхелл-а
За шта се користе ВМИ ГПО филтери??
Обично ВМИ технологија филтрирања помоћу ВМИ (Виндовс Менаџмент Инструментација) користи се у ситуацијама када су објекти домена (корисници или рачунари) у равној АД структури, а не у наменском ОУ, или ако требате да примените смернице, у зависности од верзије ОС-а, мрежних поставки, присуства одређеног инсталираног софтвера или било ког другог критеријума који може да се изабере помоћу ВМИ. Када обрађује такву групну политику од стране клијента, Виндовс ће проверити његов статус у односу на наведени ВМИ упит на ВКЛ језику (ВМИ језик упита), а ако су испуњени услови филтрирања, такав ГПО ће се применити на рачунар.
Филтри за ВМИ Гроуп Полици први пут су се појавили у Виндовс КСП и доступни су до најновијих верзија оперативног система Виндовс (Виндовс Сервер 2019, 2016, Виндовс 10, 8.1).
Како створити нови ВМИ филтер и везати га за ГПО?
Да бисте креирали нови ВМИ филтер, отворите ГПМЦ Групно Политика Менаџмент (гпмц.мсц) и идите на одељак Форест -> Домене -> винитпро.ру -> Вми Филтери. Овај одељак садржи све филтре домена ВМИ. Креирајте нови ВМИ филтер (Ново).
У пољу Име наведите назив филтра у пољу Описи његов опис (факултативно). Да бисте додали захтев у ВМИ филтер, кликните на дугме Додај, одредите име простора ВМИ имена (подразумевано) роот \ ЦИМв2) и одредите ВМИ захтев код.
Захтев за ВМИ има следећи формат:
Изаберите * од ВХЕРЕ =
У нашем примеру желите да направите ВМИ филтер који вам омогућава да примените групну политику само на рачунарима са оперативним системом Виндовс 10. Код захтева ВМИ може изгледати овако:
Изаберите * из Вин32_ОператингСистем где је верзија попут "10.%" и ПродуцтТипе = "1"
Створени ВМИ филтри се чувају у објектима класе мсВМИ-Сом у домени Ацтиве Дирецтори у одељку ДЦ = ..., ЦН = Систем, ЦН = ВМИПолици, ЦН = СОМ, можете их пронаћи и уредити помоћу конзоле адсиедит.мсц.
Након креирања ВМИ филтера, можете га повезати за одређени ГПО. Пронађите жељену политику у ГПМЦ конзоли и на картици Обим у падајућем менију одељка Вми Филтрирање Изаберите претходно створени ВМИ филтер. У овом примјеру желим да се правила о аутоматском додјељивању штампача примјењују само на рачунаре на којима је покренут Виндовс 10.
Сачекајте да се ова смерница примењује на клијенте или је ажурирајте користећи гпупдате / форце. Када анализирате примењене смернице на клијенту, користите команду гпресулт /р. Ако полиса делује на клијента, али се не примењује због ВМИ филтра, таква политика ће у извештају имати статус Филтрирање: одбијено (ВМИ филтер) и биће назначено име ВМИ филтра.
Примјери упита за ВМИ ГПО филтере
Размотримо различите примере ВМИ ГПО филтера који се најчешће користе..
Помоћу ВМИ филтера можете одабрати врсту ОС-а:
- ПродуцтТипе = 1 - било који клијент оперативног система
- ПродуцтТипе = 2 - АД контролер домена
- ПродуцтТипе = 3 - сервер ОС (Виндовс Сервер)
Верзије система Виндовс:
- Виндовс Сервер 2016 и Виндовс 10 - 10.%
- Виндовс Сервер 2012 Р2 и Виндовс 8.1 - 6,3%
- Виндовс Сервер 2012 и Виндовс 8 - 6.2%
- Виндовс Сервер 2008 Р2 и Виндовс 7 - 6,1%
- Виндовс Сервер 2008 и Виндовс Виста - 6,0%
- Виндовс Сервер 2003 - 5,2%
- Виндовс КСП - 5,1%
- Виндовс 2000 - 5,0%
Можете комбиновати услове узорковања у ВМИ захтеву користећи логичке операторе И и ИЛИ. Да бисте примењивали смернице само на сервере на којима је покренут Виндовс Сервер 2016, ВМИ захтев код био би:
одаберите * из Вин32_ОператингСистем Где верзија ЛИКЕ "10.%" АНД (ПродуцтТипе = "2" или ПродуцтТипе = "3")
Изаберите 32-битне верзије система Виндовс 8.1:
одаберите * из Вин32_ОператингСистем ВХЕРЕ верзија попут "6.3%" АНД ПродуцтТипе = "1" АНД ОСАрцхитецтуре = "32-бит"
Примените смернице само на 64-битни ОС:
Изаберите * из Вин32_Процессор-а где АддрессВидтх = "64"
Изаберите Виндовс 10 са одређеном градњом, на пример Виндовс 10 1803:изаберите верзију из система Вин32_ОператингСистем ВХЕРЕ верзија попут „10.0.17134“ АНД ПродуцтТипе = „1“
Примените смернице само на ВМВаре виртуелне машине:
ОДАБИР Модел ИЗ Вин32_ЦомпутерСистем ВХЕРЕ Модел = „ВМВаре Виртуал Платформ“
Примените смернице само на лаптопове (погледајте вми чланак који захтева избор лаптопа у СЦЦМ-у:
изаберите * из Вин32_СистемЕнцлосуре где ЦхассисТипес = "8" или ЦхассисТипес = "9" или ЦхассисТипес = "10" или ЦхассисТипес = "11" или ЦхассисТипес = "12" или ЦхассисТипес = "14" или ЦхассисТипес = "18" или ЦхассисТипес = " 21 "
ВМИ филтер, који се односи само на рачунаре чија имена почињу са „мск-пц“ (на пример, да блокирају везу УСБ драјвова на овим уређајима):ОДАБЕРИТЕ Име ИЗ Вин32_ЦомпутерСистем ВХЕРЕ Име ЛИКЕ 'мск-пц%'
Пример употребе ВМИ филтера за фино подешавање Групне политике на ИП подмреже описан је у чланку ВМИ Филтер за мапирање ГПО-ова у ИП подмреже. На пример, да бисте примењивали смернице на клијенте на више ИП подмрежа, користите филтер:
Изаберите * ИЗ Вин32_ИП4РоутеТабле ВХЕРЕ (Маска = '255.255.255.255' АНД (Дестинатион Лике '192.168.1.%' ИЛИ Дестинатион Лике '192.168.2.%'))
Примените смернице на рачунаре са више од 1 ГБ РАМ-а:
Изаберите * из ВИН32_ЦомпутерСистем где је ТоталПхисицалМемори> = 1073741824
ВМИ филтер за провјеру доступности на Интернет Екплорер-у 11:
ОДАБИР пут, име датотеке, проширење, верзија ОД ЦИМ_ДатаФиле ГДЕ пут = "\\ програмске датотеке \\ Интернет Екплорер \\" АНД филенаме = "иекплоре" АНД ектенсион = "еке" АНД версион> "11.0"
Тестирање ВМИ филтера помоћу ПоверСхелл-а
Када пишете ВМИ упите, понекад морате добити вредности различитих параметара на рачунару. Усудите се да их дате помоћу цмдлета Гет-Вмиобјецт. На примјер, изведите ВМИ атрибуте и вриједности класе Вин32_ОператингСистем:
Гет-ВМИОбјецт Вин32_ОператингСистем
СистемДирецтори: Ц: \ ВИНДОВС \ систем32
Организација:
БуилдНумбер: 17134
РегистередУсер: Виндовс корисник
Серијски број: 00331-10000-00001-АА494
Верзија: 10.0.17134
Да бисте приказали све доступне параметре класе:
Гет-ВМИОбјецт Вин32_ОператингСистем | Изабери *
Можете да користите ПоверСхелл за тестирање ВМИ филтера на рачунарима. Претпоставимо да сте написали сложени ВМИ захтев и желите да га проверите (да ли рачунар одговара овом захтеву или не). На пример, креирали сте ВМИ ИЕ 11 филтер на свом рачунару. На циљном рачунару можете извршити овај ВМИ захтев помоћу цмдлета добити-вмиобјецт:
гет-вмиобјецт -куери 'СЕЛЕЦТ * ИЗ ЦИМ_ДатаФиле ВХЕРЕ патх = "\\ Програм Филес \\ Интернет Екплорер \\" АНД филенаме = "иекплоре" АНД ектенсион = "еке" АНД версион ЛИКЕ "11.%"'
Ако ова команда нешто врати, рачунар испуњава услове захтева. Ако наредба гет-вмиобјецт не врати ништа, рачунар не одговара захтеву.
На пример, покретањем наведеног захтева на рачунару са системима Виндовс 10 и ИЕ 11, наредба ће се вратити:Компримовано: Лажно
Шифрирано: Лажно
Величина:
Скривено: Лажно
Назив: ц: \ програмске датотеке \ Интернет Екплорер \ иекплоре.еке
Читљиво: Тачно
Систем: Лажно
Верзија: 11.0.17134.1
Може се написати: Тачно
То значи да је ИЕ 11 инсталиран на рачунар и ГПО са таквим ВМИ филтером ће се применити на овај рачунар.
Дакле, смислили смо како помоћу ВМИ филтера применити групне смернице само на рачунаре који спадају у услове упита. Потребно је узети у обзир присуство ВМИ филтера приликом анализе разлога због којих се политика на рачунару не примењује.
