Come bombardare un oggetto Criteri di gruppo?


22

Sto facendo un sacco di lavoro nell'istruzione superiore dove è un requisito piuttosto comune riconfigurare un certo numero di membri del dominio Windows (ad esempio PC in una classe) per la durata di un corso o evento specifico e questa configurazione viene annullata in seguito.

Poiché la maggior parte delle modifiche alla configurazione che ci viene richiesto di eseguire può essere effettuata tramite Oggetti Criteri di gruppo e tali modifiche vengono automaticamente invertite quando l'oggetto Criteri di gruppo è scollegato o disattivato a livello di unità organizzativa, questa è una strada molto comoda da prendere.

L'unico aspetto negativo è che il ripetuto collegamento manuale e un-linking degli oggetti Criteri di gruppo sulle unità organizzative richiede molti promemoria e personale IT in servizio prima dell'inizio dei corsi e dopo la loro fine, cosa che il team operativo non può garantire in ogni momento.

Esiste un modo per specificare un intervallo di tempo per la validità di un oggetto Criteri di gruppo specifico?

Risposte:


32

Questo può essere fatto mediante il filtro WMI . Il client dei criteri di gruppo eseguiva la query WQL da un filtro WMI collegato e applicava l'oggetto Criteri di gruppo solo se la query restituiva un numero di righe diverso da zero. Quindi, creando un filtro WMI verificando se l'ora corrente del sistema rientra in un determinato intervallo di tempo e collegando questo filtro WMI all'oggetto Criteri di gruppo si desidera eseguire il timebomb per ottenere esattamente ciò che si desidera.

La classe WMI win32_operatingsystem ha un attributo localdatetime che può essere confrontato con una data data stringa nel formato 'yyyymmdd hh: nn: ss', quindi usando la stringa WQL come

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

nello root\CIMv2spazio dei nomi farebbe in modo che l'oggetto Criteri di gruppo venga applicato solo ai sistemi in cui l'ora locale è compresa tra il 20 febbraio 2015 00:00:00 e il 23 febbraio 2015 15:00:00:

configurare il filtro WMI con stringa WQL

Assicurarsi di aver collegato il filtro WMI all'oggetto Criteri di gruppo desiderato:

collega il filtro WMI all'oggetto Criteri di gruppo

Cose da tenere a mente:

  • WQL sta valutando la data e l'ora locali sul client, che potrebbero essere o meno sincronizzate con l'origine temporale che intendi utilizzare. Il tempo del client non scorrerà troppo avanti o indietro rispetto al tempo del controller di dominio, altrimenti l'autenticazione Kerberos si interromperà, ma potrebbero esserci piccole deviazioni, tenere conto di loro
  • il client dei criteri di gruppo verificherà le modifiche all'oggetto Criteri di gruppo e le applicherà di nuovo piuttosto raramente per impostazione predefinita:

    Per impostazione predefinita, i Criteri di gruppo del computer vengono aggiornati in background ogni 90 minuti, con un offset casuale compreso tra 0 e 30 minuti.

    Quindi le impostazioni predefinite consentiranno solo una precisione di +2 ore. L'intervallo di aggiornamento può essere modificato da (un'altra) impostazione di criteri di gruppo, se necessario.

  • la tua politica deve essere in grado di ripristinare tutte le modifiche quando non vengono più applicate. Questo è il caso per impostazione predefinita per tutti i modelli amministrativi gestiti. Potrebbe essere necessario configurare esplicitamente le impostazioni delle Preferenze dei criteri di gruppo per "rimuovere questo elemento quando non viene più applicato" : GPP-common-scheda


3
Molto intelligente, complimenti a te.
Massimo

3
Dalla mia esperienza ci sono alcune politiche nei modelli amministrativi che non ripristinano le modifiche che hanno apportato, quindi meglio fare alcuni test prima ... Inoltre, quello che ha detto Massimo ...
EliadTech

D'accordo, tutte le impostazioni che hanno diritto al registro non si limitano a ripristinare le impostazioni predefinite quando non collegate, o addirittura impostate su "Non configurato"
mortenya

Aggiungi un'attività pianificata per attivare un GPupdate all'inizio e alla fine e potresti (?) Ottenere un po 'più di precisione senza dover modificare l'intervallo di aggiornamento?
Get-HomeByFiveOClock

2
@mortenya la parte "gestita" dei Modelli amministrativi si assicura che le impostazioni vengano effettivamente effettuate in un'altra sottostruttura dell'hive di registro - ad es . HKLM\Software\Policiesoppure HKCU\Software\Policies. Questi percorsi "criteri" vengono cancellati se l'oggetto criterio che imposta la chiave non è più applicabile o la proprietà è impostata su "Non configurato". Per i vecchi modelli ADM che scrivono nel registro, hai ragione, questi sono "tatuati" nel registro del client e non rimossi in seguito. Correlato: serverfault.com/questions/566180
the-wabbit
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.