Soru GPO'yu ne zaman bombalamak?


Belirli bir kursun veya etkinliğin süresi boyunca bir dizi Windows etki alanı üyesini (ör. Sınıftaki PC'ler) yeniden yapılandırmanın ve bu yapılandırmanın daha sonra geri alınmasının oldukça yaygın bir gereksinim olduğu yüksek öğrenimde çok çalışıyorum.

Yapmamız gereken konfigürasyon değişikliklerinin çoğunun Grup İlkesi Nesneleri ile yapılabilmesi ve OO seviyesinde GPO bağlantısı kesildiğinde veya devre dışı bırakıldığında bu değişiklikler otomatik olarak tersine çevrilebilir, bu çok rahat bir rotadır.

Tek dezavantajı, OO'lar üzerindeki GPO'ların manuel olarak bağlanması ve bağlantısının kesilmesinin, kurslar başlamadan önce ve görev bittikten sonra görev başında olan çok sayıda hatırlatma ve BT personeline ihtiyaç duymasıdır - operasyon ekibi her zaman garanti edemez.

Belirli bir GPO'nun geçerliliği için bir zaman dilimi belirtmenin bir yolu var mı?


21
2018-03-17 20:39


Menşei




Cevaplar:


Bu aracılığıyla yapılabilir WMI filtreleme. Grup ilkesi istemcisi, WQL sorgusunu ekli bir WMI filtresinden yürütür ve yalnızca sorgu, sıfır olmayan sayıda satır döndürürse, GPO'yu uygular. Böylece, geçerli sistem zamanının belirli bir zaman aralığı içinde olup olmadığını kontrol etmek ve bu WMI filtresini timebomb yapmak istediğiniz GPO'ya bağlamak için bir WMI filtresi oluşturarak tam olarak istediğinizi elde edersiniz.

Win32_OperatingSystem WMI sınıfında bir localdatetime "yyyymmdd hh: nn: ss" biçiminde verilen bir dize tarihiyle karşılaştırılabilecek öznitelik gibi WQL dizesini kullanarak

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

içinde root\CIMv2 ad alanı, GPO'nun yalnızca yerel saatin Şubat, 20 2015 00:00 ve Şubat, 23 2015 15:00:00 arasında olduğu sistemlere uygulanacağından emin olur:

configure WMI filter with WQL string

WMI filtresini istediğiniz GPO'ya bağladığınızdan emin olun:

link WMI filter to GPO

Akılda tutulması gerekenler:

  • WQL değerlendiriyor yerel Kullanmak istediğiniz zaman kaynağıyla senkronize edilebilecek veya senkronize edilemeyen istemcideki tarih ve saat. İstemcinin zamanı, etki alanı denetleyicisinin zamanının çok uzağında veya arkasında çalışmaz, aksi takdirde Kerberos kimlik doğrulaması bozulur, ancak küçük sapmalar olabilir, bunları hesaba katın
  • Grup ilkesi istemcisi GPO değişikliklerini kontrol eder ve bunları varsayılan olarak çok seyrek olarak yeniden uygular:

    Varsayılan olarak, bilgisayar Grup İlkesi arka planda her 90 dakikada bir güncellenir ve 0 ile 30 dakika arasında bir rasgele ofset.

    Dolayısıyla, varsayılan ayarlar sadece +2 saatlik bir hassasiyete izin verir. Güncelleme aralığı değiştirilebilir gerekiyorsa (başka) grup ilkesi ayarı ile.

  • Politikanız artık uygulanmadığında tüm değişiklikleri geri döndürebilmelidir. Tüm yönetilen Yönetim Şablonları için varsayılan olarak durum budur. Grup İlkesi Tercihleri ​​ayarlarının açıkça ayarlanması gerekebilir. "artık uygulanmadığında bu öğeyi kaldır": GPP-common-tab


31
2018-03-17 20:39



Çok zeki, sana şükürler olsun. - Massimo
Deneyimlerime göre, Yönetici Şablonları'nda yaptığımız değişiklikleri geri almayan bazı politikalar var, bu yüzden ilk önce bazı testler yapın ... Ayrıca Massimo ne dedi ki ... - EliadTech
Kabul edildiğinde, kayıt defterinin sağındaki tüm ayarlar bağlantısız olduğunda yalnızca varsayılan değere geri dönmez, hatta "Yapılandırılmamış" olarak ayarlanmış olur. - mortenya
Başlangıç ​​ve bitiş zamanlarında GPupdate'i tetiklemek için zamanlanmış bir görev ekleyin ve güncelleme aralığını değiştirmek zorunda kalmadan (?) Biraz daha hassas olabilirsiniz? - Get-HomeByFiveOClock
Yönetim Şablonlarının "yönetilen" kısmı olan mortenya, ayarların aslında kayıt defteri kovanının başka bir alt ağacında yapılmasını sağlar - örn. HKLM\Software\Policies veya HKCU\Software\Policies. Bunlar "politika" Anahtar ilke nesnesi artık geçerli değilse veya özellik "Yapılandırılmadı" olarak ayarlanmışsa konumlar silinir. Kayıt defterine yazılan eski tarz ADM şablonları için haklısınız, bunlar müşterinin kayıt defterine "dövmeli" ve daha sonra kaldırılmaz. İlgili: serverfault.com/questions/566180 - the-wabbit