none
GPO WMI филтр RRS feed

  • Вопрос

  • Коллеги день добрый. 

    есть GPO которое применяется на пользователей. Хотел бы ограничить VMI филтром на конкретную OU. 
    но что то не как не могу написать грамотный WMI фитр на опредленную OU. 

    вот мой пример, но он не правильный. подскажите как правильно написать? 

    select SMS_R_SYSTEM.ResourceID,SMS_R_SYSTEM.ResourceType,SMS_R_SYSTEM.Name,SMS_R_SYSTEM.SMSUniqueIdentifier,SMS_R_SYSTEM.ResourceDomainORWorkgroup,SMS_R_SYSTEM.Client from SMS_R_System WHERE SMS_R_System.SystemOUName like "domen.ru/domenComputers"
    20 июля 2017 г. 10:49

Ответы

  • 1. Привязать политику вместо домена к OU, которое содержит пользовательские компьютеры (но не серверы).

    2. Настроить работу политик в режиме замыкания: в политике в контейнере Computer Configuration\Administrative Templates\System\Group Policy, параметр Configure user policy loopback processing mode

    Режим обработки нужно выбирать в зависимости от того, требуется ли применять на этих компьютерах политики, привязанные к OU пользователей: если требуется - то Merge, если требуется игнорировать - Replace, в остальных случаях - без разницы.

    PS Компьютеры должны иметь разрешение на чтение политики (после MS16-072 это, впрочем, требуется вообще для всех политик), а если режим замыкания включается в той же политике - то и на её применение.


    Слава России!


    • Изменено M.V.V. _ 20 июля 2017 г. 12:25
    • Предложено в качестве ответа Dima RazbornovMVP 23 июля 2017 г. 7:17
    • Помечено в качестве ответа Dedman2k3 1 августа 2017 г. 16:25
    20 июля 2017 г. 12:20

Все ответы

  • Правильно в данном случае пользоваться более прямым решением: привязать политику к нужным OU с компьютерами в режиме замыкания (loopback processing).

    Возможность доступа к имени OU, содержащему учётную запись компьютера, через WMI на  этом компьютере вызывает у меня сомнения: эти данные хранятся в каталоге AD и на сам компьютер AFAIK не копируются.


    Слава России!

    20 июля 2017 г. 11:19
  • окей.

    тогда начну сначала.

    есть GPO gpouser03. есть группа groupuser03. Есть виртуальная машина pcpuser03( os win 2008r2).

    Есть ярлык RDP rpdpuser03. на соединение к машине pcpuser03.

    У меня задача состоит в том, что бы когда я включил пользователя в группу groupuser03, пользователь после логона обнаружил у себя на рабочем столе ярлык RDP rpdpuser03, а когда я удалил б пользователя из группы, ярлык бы исчез бы на рабочем столе у пользователя после перелогона.

    Как я сделал это:

    создал GPO gpouser03 в фильтры безопасности включил группу groupuser03, а также  привезал GPO gpouser03 к OU пользователи домена.

    далее в скриншотах как сделал GPO cсоздание ярлыка на рабочем столе.

    далее скрин удаление GPO если пользователь не состоит в группе.

    Вопрос как ограничить применения это политики только для пользовательских машин? на сервера что бы политика не применялась.

    20 июля 2017 г. 11:57
  • 1. Привязать политику вместо домена к OU, которое содержит пользовательские компьютеры (но не серверы).

    2. Настроить работу политик в режиме замыкания: в политике в контейнере Computer Configuration\Administrative Templates\System\Group Policy, параметр Configure user policy loopback processing mode

    Режим обработки нужно выбирать в зависимости от того, требуется ли применять на этих компьютерах политики, привязанные к OU пользователей: если требуется - то Merge, если требуется игнорировать - Replace, в остальных случаях - без разницы.

    PS Компьютеры должны иметь разрешение на чтение политики (после MS16-072 это, впрочем, требуется вообще для всех политик), а если режим замыкания включается в той же политике - то и на её применение.


    Слава России!


    • Изменено M.V.V. _ 20 июля 2017 г. 12:25
    • Предложено в качестве ответа Dima RazbornovMVP 23 июля 2017 г. 7:17
    • Помечено в качестве ответа Dedman2k3 1 августа 2017 г. 16:25
    20 июля 2017 г. 12:20