Bộ lọc WMI trong Chính sách Nhóm (GPO) cho phép bạn áp dụng linh hoạt hơn các chính sách cho khách hàng bằng cách sử dụng các quy tắc khác nhau. Bộ lọc WMI là một tập hợp các truy vấn WMI (Ngôn ngữ truy vấn WMI / WQL được sử dụng) mà bạn có thể sử dụng để nhắm mục tiêu các máy tính cần áp dụng chính sách nhóm cụ thể. Ví dụ:sử dụng bộ lọc WMI GPO, bạn chỉ có thể áp dụng chính sách được liên kết với đơn vị tổ chức cho các máy tính chạy Windows 10 (chính sách có bộ lọc WMI như vậy sẽ không áp dụng cho các máy tính chạy phiên bản Windows khác).
Bộ lọc WMI GPO được sử dụng để làm gì?
Thông thường, lọc chính sách nhóm bằng WMI (Công cụ quản lý Windows) có thể được sử dụng khi nhiều đối tượng miền (người dùng hoặc máy tính) nằm trong cấu trúc AD phẳng thay vì đơn vị tổ chức riêng biệt hoặc nếu bạn cần áp dụng các chính sách nhóm, theo phiên bản hệ điều hành, cài đặt mạng, phần mềm đã cài đặt hoặc bất kỳ tiêu chí nào khác có thể được chọn bằng WMI. Khi máy khách xử lý chính sách nhóm như vậy, Windows sẽ kiểm tra trạng thái của nó để tuân thủ truy vấn WMI được chỉ định và nếu đáp ứng các điều kiện bộ lọc, GPO sẽ được áp dụng cho máy tính này.
Bộ lọc chính sách nhóm WMI lần đầu tiên xuất hiện trong Windows XP / Server 2003 và có sẵn trong các phiên bản Windows mới nhất (Windows Server 2019, 2016 và Windows 10, 8.1).
Tạo Bộ lọc WMI Mới và Liên kết nó với GPO
Để tạo bộ lọc WMI mới, hãy mở Quản lý chính sách nhóm console (gpmc.msc và đi tới Forest -> Domains -> woshub.com -> WMI Filters . Phần này chứa tất cả các bộ lọc WMI trong miền AD. Tạo bộ lọc WMI mới ( Mới ).
Nhập tên bộ lọc và mô tả của nó (tùy chọn). Để thêm mã truy vấn WMI vào bộ lọc, hãy nhấp vào nút Thêm , chỉ định tên của không gian tên WMI (theo mặc định, root \ CIMv2 ) và chỉ định mã WMI.
Định dạng truy vấn WMI sau được sử dụng:
Select * from <WMI Class> WHERE <Property> = <Value>
Trong ví dụ này, tôi muốn tạo một bộ lọc WMI cho phép chỉ áp dụng GPO cho các máy tính chạy Windows 10. Truy vấn WMI có thể trông giống như sau:
Select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"
Bộ lọc WMI đã tạo được lưu trữ trong msWMI-Som các đối tượng lớp của miền Active Directory trong phần DC =…, CN =System, CN =WMIPolicy, CN =SOM , bạn có thể tìm và chỉnh sửa chúng bằng cách sử dụng adsiedit.msc.
Sau khi bạn đã tạo bộ lọc WMI, bạn có thể liên kết nó với một GPO cụ thể. Tìm chính sách mong muốn trong bảng điều khiển GPMC và trên Phạm vi trong tab Lọc WMI danh sách thả xuống phần, chọn bộ lọc WMI của bạn. Trong ví dụ này, tôi chỉ muốn áp dụng chính sách gán máy in cho các máy tính chạy Windows 10.
Chờ chính sách này áp dụng cho ứng dụng khách hoặc cập nhật thủ công bằng lệnh gpupdate /force . Khi phân tích các chính sách được áp dụng trên máy khách, hãy sử dụng lệnh gpresult / r. Nếu chính sách ảnh hưởng đến khách hàng, nhưng không áp dụng do các hạn chế của bộ lọc WMI, chính sách như vậy sẽ có trạng thái Lọc:Bị từ chối (Bộ lọc WMI) trong báo cáo gpresult.
Ví dụ về lọc GPO WMI
Hãy xem các ví dụ khác nhau về bộ lọc WMI GPO thường được sử dụng nhất.
Với sự trợ giúp của bộ lọc WMI, bạn có thể chọn loại hệ điều hành:
- ProductType =1 - mọi phiên bản Windows dành cho máy tính để bàn;
- ProductType =2 - Bộ điều khiển miền Active Directory;
- ProductType =3 - Máy chủ Windows.
Phiên bản Windows:
- Windows Server 2016 và Windows 10 - 10%
- Windows Server 2012 R2 và Windows 8.1 - 6,3%
- Windows Server 2012 và Windows 8 - 6,2%
- Windows Server 2008 R2 và Windows 7 - 6,1%
- Windows Server 2008 và Windows Vista - 6,0%
- Windows Server 2003 - 5,2%
- Windows XP - 5,1%
- Windows 2000 - 5,0%
Bạn có thể kết hợp các điều kiện trong một truy vấn WMI bằng cách sử dụng các toán tử logic VÀ và HOẶC . Để chỉ áp dụng chính sách cho các máy chủ chạy Windows Server 2016, mã truy vấn WMI sẽ như sau:
select * from Win32_OperatingSystem WHERE Version LIKE "10.%" AND (ProductType = "2" or ProductType = "3" )
Để chọn phiên bản 32-bit của Windows 8.1:
select * from Win32_OperatingSystem WHERE Version like "6.3%" AND ProductType="1" AND OSArchitecture = "32-bit"
Để chỉ áp dụng GPO cho hệ điều hành 64 bit:
Select * from Win32_Processor where AddressWidth = "64"
Bạn có thể chọn Windows 10 với một số bản dựng cụ thể, ví dụ:Windows 10 1803:
select Version from Win32_OperatingSystem WHERE Version like “10.0.17134” AND ProductType=”1″
Chỉ áp dụng chính sách cho máy ảo VMWare:
SELECT Model FROM Win32_ComputerSystem WHERE Model = “VMWare Virtual Platform”
Chỉ áp dụng chính sách cho máy tính xách tay (xem bài viết Truy vấn WMI để tìm máy tính xách tay trong SCCM):
select * from Win32_SystemEnclosure where ChassisTypes = "8" or ChassisTypes = "9" or ChassisTypes = "10" or ChassisTypes = "11" or ChassisTypes = "12" or ChassisTypes = "14" or ChassisTypes = "18" or ChassisTypes = "21"
Bộ lọc WMI, chỉ áp dụng cho các máy tính có tên bắt đầu bằng “lon-pc” (ví dụ:để tắt ổ USB trên các thiết bị này):
SELECT Name FROM Win32_ComputerSystem WHERE Name LIKE ‘lon-pc%’
Một ví dụ khác về việc sử dụng bộ lọc WMI để nhắm mục tiêu GPO tới mạng con IP được mô tả trong bài viết Sử dụng bộ lọc WMI để áp dụng GPO cho mạng con IP. Ví dụ:để áp dụng chính sách cho các máy khách trong nhiều mạng con IP, hãy sử dụng truy vấn WMI:
Select * FROM Win32_IP4RouteTable WHERE (Mask='255.255.255.255' AND (Destination Like 10.1.1.%' OR Destination Like '10.1.2.%'))
Để chỉ chọn các thiết bị có RAM trên 1 GB:
Select * from WIN32_ComputerSystem where TotalPhysicalMemory >= 1073741824
Bộ lọc WMI để xác minh rằng Internet Explorer 11 đã được cài đặt:
SELECT path,filename,extension,version FROM CIM_DataFile WHERE path="\\Program Files\\Internet Explorer\\" AND filename="iexplore" AND extension="exe" AND version>"11.0"
Kiểm tra Bộ lọc WMI GPO bằng PowerShell
Khi tạo các truy vấn WMI, đôi khi bạn cần lấy các giá trị của các tham số WMI khác nhau trên máy tính. Bạn có thể lấy thông tin này bằng cách sử dụng Get-WMIObject cmdlet. Ví dụ:tôi cần hiển thị các thuộc tính và giá trị WMI của lớp Win32_OperatingSystem:
Get-WMIObject Win32_OperatingSystem
SystemDirectory : C:\WINDOWS\system32
Organization :
BuildNumber : 17134
RegisteredUser : Windows User
SerialNumber : 00331-10000-00001-AA146
Version : 10.0.17134
Để hiển thị tất cả các thuộc tính lớp có sẵn:
Get-WMIObject Win32_OperatingSystem| Select *
Bạn có thể sử dụng PowerShell để kiểm tra bộ lọc WMI trên máy tính. Giả sử bạn đã viết một truy vấn WMI phức tạp và muốn kiểm tra xem máy tính có khớp với truy vấn này hay không. Ví dụ:bạn đã tạo bộ lọc WMI để kiểm tra IE 11 trên máy tính. Bạn có thể kiểm tra truy vấn WMI này trên máy tính mục tiêu bằng cách sử dụng get-wmiobject lệnh ghép ngắn:
get-wmiobject -query 'SELECT * FROM CIM_DataFile WHERE path="\\Program Files\\Internet Explorer\\" AND filename="iexplore" AND extension="exe" AND version LIKE "11.%"'
Nếu lệnh này trả về một cái gì đó, thì máy tính đáp ứng các điều kiện truy vấn. Nếu lệnh get-wmiobject không trả về kết quả nào, máy tính không khớp với truy vấn bộ lọc WMI.
Ví dụ:khi chạy lệnh được chỉ định trên máy tính chạy Windows 10 và IE 11, lệnh sẽ trả về:
Compressed : False
Encrypted : False
Size :
Hidden : False
Name : c:\program files\internet explorer\iexplore.exe
Readable : True
System : False
Version : 11.0.17134.1
Writeable : True
Điều này có nghĩa là IE 11 đã được cài đặt trên máy tính và GPO có bộ lọc WMI như vậy sẽ được áp dụng cho máy tính này.
Vì vậy, chúng tôi đã xem xét cách sử dụng bộ lọc WMI để chỉ áp dụng GPO cho các máy tính đáp ứng các truy vấn WMI khác nhau. Cần phải tính đến sự hiện diện của các bộ lọc WMI khi phân tích các lý do mà GPO nhất định không được áp dụng trên máy tính.