Используем WMI фильтр для привязки GPO к IP подсети | Windows для системных администраторов

Используем WMI фильтр для привязки GPO к IP подсети

В этот раз возникла необходимость применить GPO к компьютерам в определённой IP подсети. В самом простом случае, когда данная подсеть включена в отдельный сайт Active Directory (и эта подсеть в сайте одна), можно назначить политику на сайт AD (пример привязки политики к сайту есть здесь), это простой и удобный метод. В нашем случае, назначить политику на весь сайт мы не можем, т.к. к сайту AD привязано несколько IP подсетей. Придется воспользоваться возможностями фильтрации политик с помощью WMI фильтров.

Ранее мы рассматривали, пример использования WMI фильтров для применения конкретной групповой политики только к определенным версиям ОС Windows. В данном случае аналогичным образом нужно создать WMI фильтр и изменить запрос так, чтобы он содержал условие на проверку IP адресов.

  1. Откройте консоль редактора GPMC.msc (Group Policy Management) и найдите раздел WMI Filters.
  2. Создадим новый фильтр. Для этого щелкните по разделу ПКМ и в контекстном меню выберите New.WMI фильтры в консоли управления политиками GPMC
  3. Укажите имя фильтра, его описание.
  4. Чтобы добавить WMI запрос на выборку нажмите кнопку Add.Новый WMI фильтр
  5. В качестве пространства имен оставьте значение root\CIMv2, а в окно запроса скопируйте следующий код.
    Select * FROM Win32_IP4RouteTable
    WHERE (Mask='255.255.255.255'
    AND (Destination Like '191.168.55.%' OR Destination Like '191.168.56.%'))
    Код WMI запроса на выборку по IP адресу

    Примечание. В данном примере мы создали фильтр, позволяющий нацелить политику на клиентов с шаблонами IP адресов, удовлетворяющих маскам 191.168.55.x и 191.168.56.x. Замените IP подсети своими.
  6. Сохраните запрос.
  7. Теперь в консоли GPMC нужно выбрать политику, которую вы хотите применить на клиентах.
  8. В параметрах данной политики в секции WMI Filtering в выпадающем списке нужно выбрать созданный фильтр и назначить политику на OU с компьютерами.Назначить WMI фильтр на политику (wmi filtering)
Примечание. В некоторых случаях удобнее нацелить политику на определенные подсети клиентов – воспользоваться таргетингом Group Policy Preferences, в которых в одном из фильтров можно указать  диапазон IP адресов.

Теперь нужно обновить политики на клиентах (gpupdate /force) и проверить их применение (для проверки назначения GPO можно воспользоваться стандартной командой gpresult).

Итак, с помощью простого WMI фильтра мы можем назначить политику на клиентов, расположенных в определенных IP подсетях, или диапазоне IP адресов.

Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 2

Оставить комментарий
  1. Dmitry | 11.01.2017

    В статье, считаю, главный недостаток в том, что не описываются конкретные ситуации в которых «сайты» AD по какой-то причине не применяются по прямому назначению. То есть описывается процесс создания мягкой подвески для велосипеда с ромбовидными колесами, но не показывается, зачем.

    Ответить
    • itpro | 11.01.2017

      У вас соблюдается условие 1 подсеть = 1 сайт AD?
      В больших организациях обычно в состав сайта включены несколько подсетей (здания, кампусы), связанные оптикой. Либо разделение на подсети внутри сайта используется для разграничения доступа. Создавать отдельный сайт для каждой подсети не всегда целесообразно.

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00101 sec