Início / server / Perguntas / 676246
Accepted
the-wabbit
Asked: 2015-03-18 12:39:20 +0800 CST

Como bombardear um GPO?

  • 772

Estou trabalhando muito no ensino superior, onde é um requisito bastante comum reconfigurar vários membros do domínio do Windows (por exemplo, PCs em uma sala de aula) durante um curso ou evento específico e desfazer essa configuração posteriormente.

Como a maioria das alterações de configuração que somos solicitados a fazer pode ser feita por meio de objetos de política de grupo e essas alterações são revertidas automaticamente quando o GPO é desvinculado ou desativado no nível da UO, esse é um caminho muito confortável a ser seguido.

A única desvantagem é que a vinculação e desvinculação manual repetida de GPOs em OUs requer muitos lembretes e equipe de TI de plantão antes e depois do início dos cursos - algo que a equipe de operações não pode garantir o tempo todo.

Existe uma maneira de especificar um prazo para a validade de um GPO específico?

active-directory

1 respostas

  1. Best Answer

    Isso pode ser feito por meio de filtragem WMI . O cliente da política de grupo executaria a consulta WQL de um filtro WMI anexado e só aplicaria o GPO se a consulta retornasse um número diferente de zero de linhas. Portanto, ao criar um filtro WMI verificando se a hora atual do sistema está dentro de um determinado intervalo de tempo e vincular esse filtro WMI ao GPO que você deseja bombardear, você obtém exatamente o que deseja.

    A classe WMI win32_operatingsystem tem um atributo localdatetime que pode ser comparado a uma determinada string de data no formato 'aaaammdd hh:nn:ss', portanto, usando a string WQL como

    select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

    no root\CIMv2namespace garantiria que o GPO seria aplicado apenas a sistemas em que o horário local está entre 20 de fevereiro de 2015 00:00:00 e 23 de fevereiro de 2015 15:00:00:

    configurar filtro WMI com string WQL

    Certifique-se de ter vinculado o filtro WMI ao GPO desejado:

    vincular o filtro WMI ao GPO

    Coisas a ter em mente:

    • o WQL está avaliando a data e hora locais no cliente, que podem ou não estar sincronizadas com a fonte de horário que você pretende usar. O tempo do cliente não será muito adiantado ou atrasado em relação ao tempo do controlador de domínio, caso contrário, a autenticação Kerberos será interrompida, mas pode haver pequenos desvios, considere-os

    • o cliente da política de grupo verificará as alterações de GPO e as reaplicará com pouca frequência por padrão:

      Por padrão, a Diretiva de Grupo do computador é atualizada em segundo plano a cada 90 minutos, com um deslocamento aleatório de 0 a 30 minutos.

      Portanto, as configurações padrão permitirão apenas uma precisão de +2 horas. O intervalo de atualização pode ser alterado por (outra) configuração de política de grupo, se necessário.

    • sua política precisa ser capaz de reverter todas as alterações quando não forem mais aplicadas. Este é o caso por padrão para todos os Modelos administrativos gerenciados. As configurações de preferências de política de grupo podem precisar ser definidas explicitamente para "remover este item quando não for mais aplicado" : GPP-common-tab

    • 32

relate perguntas