组策略首选项中的三种筛选方式:安全筛选,WMI筛选,项目级定位

问题:如果我们需要微调GP应用程序以仅将OU中的对象子集作为目标,该怎么办?我们是否需要重新设计整个OU概念?

答:不一定,默认情况下,组策略会带来两种可用于调整GP应用范围的工具:安全过滤和项目级定位。

安全性筛选:这只是调整组策略对象上一部分目标的权限(目标=策略范围内的用户和计算机)。用户和计算机需要对对象具有读取应用组策略权限,才能成功应用GPO。如果我们有一个“ LockDown” GP将桌面限制到最小,并且将其应用于“ ManufacturingOU”,则该OU中的所有对象都会受到影响。要将LockDown-GP仅应用于多个目标,我们可以创建一个Active Directory组,将目标对象放入该组中,然后在GP“ Scope”选项卡中修改安全过滤设置,如屏幕快照所示:

我们从安全过滤选项卡中删除授权用户,并向我们的安全组添加目标。另一种方法将涉及委派选项卡。它列出了对GPO的正确权限。单击那里的高级按钮,打开您可能对NTFS权限熟悉的访问控制编辑器:

您可以看到锁定组具有读取应用组策略权限。使用ACL编辑器,您甚至可以采用另一种方式:将已认证的用户保留在允许的组和用户列表中,并拒绝特定的组读取应用组策略权限,以防止他们应用GPO

WMI筛选:您可以通过在GPO上应用WMI筛选器来进一步筛选策略范围。WMI筛选器在执行有问题的GPO之前运行。如果过滤器评估为“ TRUE”,则将应用GPO,否则将忽略该GPO。一个典型的用例是用于不同操作系统的GPO。右键单击GPMC中的“ WMI筛选器节点,然后使用WQL语法创建一个新的WMI筛选器。针对Windows Vista的示例为:

SELECT Version, ProductType FROM Win32_OperatingSystem WHERE Version >= ‘6.0′ AND ProductType = ‘1′ .

之后,打开有问题的GPO范围选项卡,然后在“ WMI筛选器部分中选择Vista-WMI筛选器。GPO将仅应用于Vista计算机,然后过滤器将其评估为“ true”,仅适用于这些计算机。显然,您需要知道如何创建WQL查询。Scriptomatic是将WQL查询放在一起的一个巨大帮助

现在,有了组策略首选项,还有另一种方法可以过滤目标上的策略。称为“ 项目级定位 ”。顾名思义,您现在可以为在GP偏好设置中配置的每个设置定义过滤器。您没有看错:对于每种设置。安全筛选和WMI筛选用于按GPO筛选项级别的目标是按设置进行的。这样一来,您就可以配置一个具有多个GP首选项的GPO,但仅根据过滤器及其评估应用其中的一部分。您将在哪里添加这些过滤器?检查GPP公用选项卡:

您需要勾选项目级定位复选框以启用该按钮。打开定位…”后,您将看到以下编辑器:

我已经为您打开新建项目菜单,因此您可以看到GPP中可以过滤的所有选项。没错,您可以过滤GPP项(在具有其他GPPGP设置的GPO中)仅在以下情况下适用:例如……用户位于安全组 “帮助台中,并且计算机名称“ XP-00233”,是在上午8点到下午5点之间(时间范围),并且用户处于终端会话上,在Windows XP(作为操作系统)上具有特定的会话名称,并且在系统分区上具有20GB的可用磁盘空间。好吧,从理论上讲,您可以。如果这确实有用,则取决于您。

项目级定位编辑器使您可以根据屏幕快照中显示的新项目条件形成过滤器。您可以使用布尔逻辑()来组合过滤器,以实现复杂的逻辑:

在可以在文本框中输入字符串的任何地方,都可以按F3键以获得GPP可以理解的已知环境变量的列表。这样可以更轻松地(例如)创建文件匹配规则,因为您可以使用本地系统将其转换为实际路径的“ CommonAppDir”“ CommonStartUpDir”“ ProgramFilesDir”变量。

考虑一下您可以在单个GPO中使用的配置,并针对已定义的不同设置进行项目级定位-仅需一秒钟:

-在一个GPO中创建多个GPP映射的驱动器,并根据组成员身份应用它们(比编写脚本更容易!)

-根据其时间(工作时间与非工作时间!)将不同的GPP应用于目标。

-根据用户的站点或IP地址创建和部署不同的打印机/快捷方式/文件

-在特定时间范围内的给定日期应用GPP

-根据用户的语言复制文件。

现在你怎么说?值得一看吧?

 

发布了942 篇原创文章 · 获赞 35 · 访问量 16万+

猜你喜欢

转载自blog.csdn.net/allway2/article/details/104002051
今日推荐