使用WMI筛选器管理组策略应用

1、3.2使用WMI筛选器管理组策略应用在Windows Server 2008的组策略高级管理中，对于将所添加设置的各种策略对象应用在组织单位上，除 了一般常见的全部应用之外，还可以进一步结合WMI (Windows Management Instrumentation)筛选器， 更进一步地将组策略只应用在组织单位中特定的计算机类别或用户属性上。关于WMI筛选器内容的设置，可以应用在特定目标计算机的硬件规格(例如，CPU规格、内存大小、硬盘 剩余空间)、所安装的软件列表、所安装的补丁程序(例如，Windows Vista Service Pack 1 Windows XP Service Pac

2、k 3)、操作系统的配置文件(例如，登录文件设置、驱动程序、网络配置设置值)等。一个WMI筛选器可以包括一个或多个查询条件的建立，并且是采用SQL语法来完成建立，在建立多个条件 下，可以使用AND与OR的逻辑表达式来表示，而每一个所建立的WMI筛选器都可以连接不同的现有组策略 对象，一旦产生关联与应用之后，只要组织单位中的目标计算机符合WMI筛选器所设置的条件，那么这项 组策略对象将会生效。关于WMI筛选器的使用，有以下3点注意事项需要特别留意。关于WMI筛选器与组策略对象的连接必须位于相同的域中。目前支持WMI筛选器组策略管理功能的Windows操作系统只有Windows XP、Window

3、s Server 2003、Windows Vista及Windows Server 2008，如果是更旧版的Windows 2000的计算机，则将会忽略WMI筛选器的设置。WMI筛选器的使用必须在有Windows Server 2003或Windows Server 2008域控器的域才可以，如果整个 域中只有旧版的 Window 2000 Server 的域控制器，则在 GPMC (Group Policy Management Console)界面 中将看不到有关WMI筛选器的项目节点。当我们已经在组策略管理界面中建立了许多应用在不同的Active Directory组织单位上后，便可以

4、进一 步来建立更细部的WMI筛选器。如图3-19所示，在此界面中展开至林一域”一”f ”组策略对 象一WMI筛选器节点，单击鼠标右键，在弹出的快捷菜单中选择新建命令。打开如图3-20所示的新建WMI筛选器页面，首先设置筛选器的名称与描述，然后单击添加”按钮来 设置查询条件，其中一个筛选器可以定义多个WMI查询条件，完成设置后单击保存”按钮。如图3-21所示是在前一步骤中单击添加按钮后出现的WMI查询页面，你只需要在查询”字段中输入以 WMI为主的SQL语法即可，其中字段名称与所设置的条件值一定不能输入错误，否则策略应用将会失败。范例中便是设置此策略只应用在组织单位中的Windows Serve

5、r 2008与Windows Vista的计算机上，因为 它们的实际操作系统版本编号是以6.0开头的，而其中的%”是通用符号。如图3-22所示，是完成WMI筛选器添加设置的页面，必要的话你可以继续在此节点项目上单击鼠标右键来 添加其他筛选器。完成了各类WMI筛选器的添加设置之后，便可以展开至组策略对象项目节点，如图3-23所示，然后挑选 所要设置的策略对象项目，在该对象的作用域选项卡的最下方的WMI筛选下拉选项中挑选所要应用的 WMI筛选器项目即可。完成了指定组策略对象的WMI筛选器关联设置之后，你可以再回到WMI筛选器”项目节点，在该筛选器项 目的常规”页面中，便可以看到它所关联的组策略对象

6、项目有哪些，以及它目前的查询条件有哪些，如图 3-24所示。在上述WMI筛选器查询条件的范例中，我们只是以一个简单语法的设置来筛选特定操作系统版本编号的方 式，并且应用在指定组策略对象上。关于这些查询语法的范例除了可以在微软官方网站上找到之外，也可 以参考表3-1的说明。表3-1 WMI筛选器语法范例条件管理目标WMI筛选器语法配置设置为避免应用在有启用Netmon功能的计 算机上，可以去针对 支持并启用Multicasting 通 信协议的计算机来应用Select * from Win32_NetworkProtocol where SupportsMulticasting = true时区

7、设置指定将策略对象 应用在特定的时 区计算机上Rootcimv2 ; Select * from win32_ timezone where bias =-300补丁程 序指定将策略对象 应用在已经完 成某一些补丁程 序安装的计算机上Rootcimv2 ; Select * from Win32_QuickFixEngineering whereHotFixID = q147222软件列 表指定将策略对象应用在有安装顾大侠外传或顾大侠外传II软件的计算机上Rootcimv2;Select * from Win32_ Product where name =顾大侠外传 OR name =顾大侠外

8、传II操作系 统指定将策略对象应用在组织单位中的WindowsXP专业版计算机上RootCimV2; Select * from Win32 _OperatingSystem where Caption = Microsoft Windows XP Professional硬件资 源指定将策略对象应用在硬盘空间至少还剩余600MB的计算机上RootCimV2; Select * from Win32_LogicalDisk where FreeSpace 629145600硬件架 构指定将策略对象应用在特定的计算机厂商规格及指定的模块型号上RootCimV2; Select * from Wi

9、n32_ ComputerSystem where manufacturer = Toshiba and Model = Tecra 800OR Model = Tecra 8103.3检查组策略无法成功应用的问题Active Directory所提供的组策略管理功能固然好用，但是一旦发生应用失败，那么再多的集中配置设置 或软件分配设置都是枉然的。然而，什么样的情况下会导致组策略应用失败呢？这恐怕不是三言两语可以 道尽的，因为可能的因素太多了，并且还得看所设置的策略是什么来加以判断。可能造成组策略应用失败 的原因大致区分为：服务器本身的设置问题、客户端的系统或兼容性问题、网络问题、域架构问题等

10、。为 了预防可能应用组策略发生失败的问题，我们可以在组策略设置刚完成添加之后，在服务器端进行测试一 下。如何进行组策略的应用测试呢？很简单，首先打开组策略管理界面，在组策略结果项目节点上单击鼠 标右键，在弹出的快捷菜单中选择组策略结果向导命令，如图3-25所示。如图3-26所示，打开组策略结果向导界面，单击下一步按钮继续。如图3-27所示你可以在计算机选择页面中，单击浏览”按钮选择所要应用测试的计算机，如果不想测试 计算机的策略设置可以勾选不在结果中显示选定计算机的策略设置复选框，单击下一步按钮继续。如图3-28所示，在用户选择页面中可以挑选所要应用测试的用户账户，你可以视情况选择不在结果中显示选定用户的策略设置单选按钮，单击下一步按钮继续。续。如图3-29所示，可