none
WMI-фильтр GPO на все подразделение с конкретным именем RRS feed

  • Общие обсуждения

  • Приветствую!

    Есть следующая задача:

    в Active Directory имеется несколько подразделений с именем Managers. Создана GPO, которая нацелена на весь домен. Нужно сделать так, чтобы она применялась только на те подразделения, которые имеют имя Managers.

    На текущий момент написал скрипт, который всех пользователей, которые имеют атрибут DistinguishedName –like "*OU=Managers*" добавляет в определенную группу, а GPO соответственно применяется на эту группу.

    Предполагаю, что все это дело можно решить более элегантно с помощью wmi-фильтра, но пока безуспешно. Если кто уже сталкивался с подобной задачей, просьба поделиться решением.


    13 сентября 2018 г. 12:22

Все ответы

  • А нельзя нажать на подразделение и выбрать - "Связать существующий объект групповой политики" ?

    Ну и относительно Вашей задачи решение тут: [Active Directory] WMI Filter OU exclusion in GPO






    13 сентября 2018 г. 12:34
  • Вы имеете в виду что-то вроде:

    namespace - root\directory\LDAP
    query - Select * from Win32_ComputerSystem where objectClass="user" & DS_distinguishedName like "*OU=Managers,OU=Domain*"

    13 сентября 2018 г. 12:49
  • ээээ а почему нельзя политику прилинковать только к менеджеским оушкам и бабушку не лохматить?
    13 сентября 2018 г. 12:58
  • ээээ а почему нельзя политику прилинковать только к менеджеским оушкам и бабушку не лохматить?
    Пример: 
    Имеется 15 подразделений по городам и в каждом есть подразделение допустим Kadry, Fin.
    Варианты событий:
    1) Каждый раз когда создается какая-то GPO для конкретного подразделения придется ручками все это линковать
    2) В одном из филиалов создается 16е подразделение, к которому GPO не прилинковывалась руками, забыли или по другой причине.
    3) Захотели сделать GPO по ограничению софта, нужно это наложить только на Kadry и Fin, придется 30 раз линковать GPO руками.

    В данном случае получается проще сделать линк на весь домен и наложить фильтр, чем линковать все это дело руками по каждому подразделению.
    13 сентября 2018 г. 13:12
  • А нельзя нажать на подразделение и выбрать - "Связать существующий объект групповой политики" ?

    Ну и относительно Вашей задачи решение тут: [Active Directory] WMI Filter OU exclusion in GPO






    Так и не понял как получилось, что правильно отрабатывает wmi-фильтр в указанном примере. Я так полагаю после запроса, должно вернуться тру или фолс. Но если использовать namespace = root\directory\LDAP

    SELECT * FROM ds_organizationalunit WHERE DS_name LIKE "Managers"

    Мы получаем всегда положительный результат, т.к судя по запросу он не смотри где находится пользователь, а ищет просто указанное подразделение в AD, соответственно находит и применяется это GPO в любом случае не зависимо находится пользователь в подразделении Managers или нет.

    Большая вероятность того что я не так понимаю этот процесс.

    13 сентября 2018 г. 13:51
  • нарисовать скрипт для линковки - раз уж ручками так вломы, и зашедулить раз вы такие забывчивые. или сразу нашинковать пустые непоименованные оушки с линками раз вам так часто надо.

    вми фильтры, тем более на уровне домена имхо зло и фу(время и ненадежность помноженное на всех пользюков)... уж лучше группами ограничить.

    если у вас очень большая контора, раз так часто вы оушки создаете - то отсутствие элементарных инструкций и дизайнов говорит о вашей незрелости, прописать одну строчку в документацию о том что при создании оушки не забыть прилинковать гпо - делов на 5 минут.

    13 сентября 2018 г. 15:15

  • если у вас очень большая контора, раз так часто вы оушки создаете - то отсутствие элементарных инструкций и дизайнов говорит о вашей незрелости, прописать одну строчку в документацию о том что при создании оушки не забыть прилинковать гпо - делов на 5 минут.

    Согласен, написать строчку не долго, сложно соблюдать написанное. Ранее так и было на каждую оушку прилинковать ГПО, но когда в некоторых филиалах создавались подразделение, то забывали прилинковать.

    На счет скрипта для линковки, хороший совет.

    На счет вми фильтров и глюков если не сложно расскажите какие могут быть подводные камни. Особо ими не пользовался, в основном GPO через таргеты.

    14 сентября 2018 г. 7:14