Используем WMI фильтр для привязки GPO к IP подсети

Используем WMI фильтр для привязки GPO к IP подсети

В этот раз возникла необходимость применить GPO к компьютерам в определённой IP подсети. В самом простом случае, когда данная подсеть включена в отдельный сайт Active Directory (и эта подсеть в сайте одна), можно назначить политику на сайт AD (пример привязки политики к сайту есть здесь), это простой и удобный метод. В нашем случае, назначить политику на весь сайт мы не можем, т.к. к сайту AD привязано несколько IP подсетей. Придется воспользоваться возможностями фильтрации политик с помощью WMI фильтров.

Ранее мы рассматривали, пример использования WMI фильтров для применения конкретной групповой политики только к определенным версиям ОС Windows. В данном случае аналогичным образом нужно создать WMI фильтр и изменить запрос так, чтобы он содержал условие на проверку IP адресов.

  1. Откройте консоль редактора GPMC.msc (Group Policy Management) и найдите раздел WMI Filters.
  2. Создадим новый фильтр. Для этого щелкните по разделу ПКМ и в контекстном меню выберите New.WMI фильтры в консоли управления политиками GPMC
  3. Укажите имя фильтра, его описание.
  4. Чтобы добавить WMI запрос на выборку нажмите кнопку Add.Новый WMI фильтр
  5. В качестве пространства имен оставьте значение rootCIMv2, а в окно запроса скопируйте следующий код.
    Select * FROM Win32_IP4RouteTable
    WHERE (Mask='255.255.255.255'
    AND (Destination Like '191.168.55.%' OR Destination Like '191.168.56.%'))

    Код WMI запроса на выборку по IP адресу

    Примечание. В данном примере мы создали фильтр, позволяющий нацелить политику на клиентов с шаблонами IP адресов, удовлетворяющих маскам 191.168.55.x и 191.168.56.x. Замените IP подсети своими.

  6. Сохраните запрос.
  7. Теперь в консоли GPMC нужно выбрать политику, которую вы хотите применить на клиентах.
  8. В параметрах данной политики в секции WMI Filtering в выпадающем списке нужно выбрать созданный фильтр и назначить политику на OU с компьютерами.Назначить WMI фильтр на политику (wmi filtering)

Примечание. В некоторых случаях удобнее нацелить политику на определенные подсети клиентов – воспользоваться таргетингом Group Policy Preferences, в которых в одном из фильтров можно указать диапазон IP адресов.

Теперь нужно обновить политики на клиентах (gpupdate /force) и проверить их применение (для проверки назначения GPO можно воспользоваться стандартной командой gpresult).

Итак, с помощью простого WMI фильтра мы можем назначить политику на клиентов, расположенных в определенных IP подсетях, или диапазоне IP адресов.

Qiziqarli malumotlar
Используем WMI фильтр для привязки GPO к IP подсети