locked
關於WSUS設定的WMI篩選器問題 RRS feed

  • 問題

  • 請問各位先進:

    公司設定WSUS的群組原則,需針對iwn7 64位元與32位元的Client,設置了WMI篩選如下圖,但發現只有Win7 64位元才能正常套用原則,32位元則不能套用此原則,請問是我下圖設定有問題嗎?還是需另針對win7 32位元在建立WSUS原則並套用WMI篩選才可行呢?還請各位先進協助解惑,謝謝!

    2014年5月12日 下午 03:11

解答

  • 啊..我發現問題所在了, 你應該要建立兩個WMI Filter, 分別的條件就是找出32Bit Windows 7或64Bits Windows7

    而不是在同一個WMI Filter裡面出現兩個條件, 因為兩個條件是相衝的, 結果就是兩種電腦都拒絕套用GPO了.

    再來你應該建立兩組GPO, 一組是給32 Bit Windows 7的, 另一組是給64 Bits Windows 7的, 附上正確的WMI Filter上去.

    如果你不確定WMI Filter有沒有寫正確, 你可以開wbemtest.exe這個工具, 在目標電腦上Query,

    如果WMI Filter能夠命中這台電腦, 就會有最少一條結果顯示出來, 不然就是寫錯篩選器或不能命中


    邊幫助, 邊鍛鍊


    2014年5月28日 上午 01:51
  • to Justin Lau:

    感謝協助,以下是按照的解決方式來回答:
    1.針對Default Domain Policy顯示 並未套用 (原因不明),已Administrator身份開啟cmd來執行gpresult /r ,一樣顯示 並未套用 (原因不明),下圖是Resultant Set of Policy查看未套用原因,拒絕理由:中止SOM,請問該如何排除?

    2.針對Default Domain Policy和WSUS的權組原則在安全性篩選上,前者目標群組是Authenticated Users,後者目標    群組是 Domain Computers,針對他們的權限僅有 讀取 的權限可以選擇也是目前的設定,如下圖:


    3.如果沒有WMI Filter,經另一台win7 32bit與一台win7 64bit,確認都可以正常套用Default Domain Policy和WSUS的GPO,只有我使用的電腦如第2個回答一樣都不能套用!,這部分還想問另一個問題就是若沒有WMI Filter,那是不是表示只有電腦加入Domsin compute不管是啥windows OS版本都會被套用此WSUS的群組原則ㄋ?

    以上在勞煩先進解惑了,感謝!!!




    • 已標示為解答 小謝 2014年5月27日 上午 10:42
    2014年5月22日 上午 04:26

所有回覆

  • 要篩選出Windows 7 32 Bit主機, 試試用以下的語句

    select * from Win32_OperatingSystem WHERE Version like "6.1%" AND ProductType="1" AND NOT OSArchitecture = "64-bit"


    邊幫助, 邊鍛鍊

    2014年5月13日 上午 01:34
  • Hi 小謝

    歡迎您將後續測試結果回報至論壇, 或將對您有幫助的回覆標示為解答,

    以利討論的進行並幫助其他有類似問題的朋友. 謝謝您!

    2014年5月15日 上午 09:01
  • to Justin Lau:
    抱歉現在才回~我明天會在公司試試,到時才向您回覆是否可行,感謝您的協助,謝謝!
    2014年5月18日 下午 03:13
  • to Lissam Coyote

    好的~明天
    我會測試看看,在回覆測試結果~感謝!
    2014年5月18日 下午 03:14
  • to Justin Lau:

    我今天測試作法是在同一個WSUS群組原則裡加上您給的這WMI篩選,再套用後32位元可以正常套用此原則,但64位元就變成無法套用,下gpresult /r發現無法套用(原因不明),但若另再鍵一個群組原則各套用WMI篩選,64位元的也是無法套用出現一樣訊息,請問這正常嗎?還是因公司Join Domain的電腦都是放在同一個OU,是我需要將32位元與64位元的電腦先分別放置不同OU再用各不同的WSUS群組原則去套運原則,不過若是這方法才行的話~那WMI篩選不就沒用了,再麻煩解惑~感謝!

    2014年5月19日 上午 11:47
  • 你好, 在有問題的64 Bit電腦上打gpresult /r 顯示的報告是怎樣說的?

    邊幫助, 邊鍛鍊

    2014年5月20日 上午 04:05
  • 目前原則都是套用在電腦設定,gpresult /r在有問題的電腦結果如下:
    2014年5月20日 上午 05:40
  • 1. 基於你的Default Domain Policy 也顯示 並未套用 (原因不明), 如果你的Default Domain Policy沒有套用WMI篩選, 那麼原因可能就是顯示上的問題, 請以Administrator身份開啟cmd來執行gpresult /r 以取得正確的訊息. 或以mmc裡的Resultant Set of Policy來檢查

    2. 確認GPO裡所選擇的Security Filtering, 目標群組 (如Authenticated Users) 在 Delegation頁裡也最少擁有 Read跟Apply Group Policy兩個權限.

    3. 如果沒有WMI Filter是不是就可以正確套用到



    邊幫助, 邊鍛鍊

    2014年5月20日 上午 06:56
  • to Justin Lau:

    感謝協助,以下是按照的解決方式來回答:
    1.針對Default Domain Policy顯示 並未套用 (原因不明),已Administrator身份開啟cmd來執行gpresult /r ,一樣顯示 並未套用 (原因不明),下圖是Resultant Set of Policy查看未套用原因,拒絕理由:中止SOM,請問該如何排除?

    2.針對Default Domain Policy和WSUS的權組原則在安全性篩選上,前者目標群組是Authenticated Users,後者目標    群組是 Domain Computers,針對他們的權限僅有 讀取 的權限可以選擇也是目前的設定,如下圖:


    3.如果沒有WMI Filter,經另一台win7 32bit與一台win7 64bit,確認都可以正常套用Default Domain Policy和WSUS的GPO,只有我使用的電腦如第2個回答一樣都不能套用!,這部分還想問另一個問題就是若沒有WMI Filter,那是不是表示只有電腦加入Domsin compute不管是啥windows OS版本都會被套用此WSUS的群組原則ㄋ?

    以上在勞煩先進解惑了,感謝!!!




    • 已標示為解答 小謝 2014年5月27日 上午 10:42
    2014年5月22日 上午 04:26
  • 1. 中止 SOM (Blocked SOM) 通常是因為你在OU上勾選了 Block Inheritance中止承繼, 請看看是不是這個原因.

    2. Apply Group Policy 這個權限要在委派頁右下角選進階->進階 才能查看到

    3. 如果沒有WMI Filter就只看套用到那一個OU和GPO裡面的Security Filtering了

    抱歉我只有英文版本的系統, 所以字眼上可能跟你不一樣, 請多多包涵


    邊幫助, 邊鍛鍊

    2014年5月22日 上午 06:02
  • to Justin Lau:

    抱歉~我使用的電腦因要測試其他的GPO所以另鍵一個test的OU並選中止繼承,所以才如您所說的有中止 SOM訊息,所以用我的電腦檢視套用結果是不準的~真是抱歉,目前只能等下星期一到公司我在測試確認下,到時再勞煩指教~萬分感謝!

    2014年5月23日 上午 05:59
  • 不要緊, 最重要是大家從過程中學習和得到經驗!

    邊幫助, 邊鍛鍊

    2014年5月23日 上午 06:35
  • Hi 小謝

    歡迎您將後續測試結果回報至論壇, 或將對您有幫助的回覆標示為解答,

    以利討論的進行並幫助其他有類似問題的朋友. 謝謝您!

    2014年5月27日 上午 02:54
  • to Justin Lau:

    1.WSUS的群組原則所設定的WMI篩選器針對win7 32bit & win7 64bit已按照您說的設定共兩個條件如下:


    此WSUS套用主要群組為Domain Coputers權限(讀取與套用群組原則,都有勾選)設定如下:

    內容接下個回覆

    • 已編輯 小謝 2014年5月27日 上午 11:39
    2014年5月27日 上午 10:46
  • administrator執行gpupdate /force,再執行gpresult /r,結果如下紅框處,win7 64bit也無法套用:

    群組原則模擬我的電腦,檢視套用WSUS是沒問題的,如下:

    <o:p></o:p>

    為何無法正確套用WMI篩選的WSUS群組原則,另公司規定一定要針對win7 32bit & 64bit 套用WSUS,在勞煩先進解惑,謝謝!<o:p></o:p>

    2014年5月27日 上午 11:45
  • 啊..我發現問題所在了, 你應該要建立兩個WMI Filter, 分別的條件就是找出32Bit Windows 7或64Bits Windows7

    而不是在同一個WMI Filter裡面出現兩個條件, 因為兩個條件是相衝的, 結果就是兩種電腦都拒絕套用GPO了.

    再來你應該建立兩組GPO, 一組是給32 Bit Windows 7的, 另一組是給64 Bits Windows 7的, 附上正確的WMI Filter上去.

    如果你不確定WMI Filter有沒有寫正確, 你可以開wbemtest.exe這個工具, 在目標電腦上Query,

    如果WMI Filter能夠命中這台電腦, 就會有最少一條結果顯示出來, 不然就是寫錯篩選器或不能命中


    邊幫助, 邊鍛鍊


    2014年5月28日 上午 01:51
  • To Justin Lau:

    感謝您的說明,我再測試,結果將會再來這報告,謝謝!

    2014年6月5日 下午 12:49
  • To Justin Lau:

    已建立兩組GPO分別套用各自for win7  32bit and win7 64 bit的WMI篩選,確認可以各別正常套用了,但想請問wbemtest.exe這工具在確認WMI Filter有沒有寫正確,我試著您上述的測試下,出現如下圖結果,請問是否代表WMI Filter有沒有寫正確,再麻煩您解惑了,感謝!

    2014年6月11日 下午 04:02
  • 你這個畫面就是WMI Filter有寫正確, 而且你的電腦合乎這條WMI篩選時的回應畫面

    如果你稍為更改條件令電腦不符合篩選, 中間的Textbox就會甚麼都沒有


    邊幫助, 邊鍛鍊

    2014年6月12日 上午 01:19
  • To Justin Lau:

    瞭解了~感謝您的協助,謝謝^^

    2014年6月12日 上午 10:58