(我应该先说我最近换了工作,从一家主要是 linux 环境的小公司到一家拥有非常标准的 windows 服务器环境的大公司,而且在 Active 方面我仍在追赶目录和组策略)
为 Win7 机器和 Win10 机器创建单独的 GPO 的最佳方法是什么?基本上,我们正在尝试管理“底部滑块”UAC 设置,但我们发现这在 Win7 和 Win10 上完全不同。据我所知,在 Goup Policy 中没有检测操作系统的“本地”方法。我们已经在 Active Directory 中按部门组织了我们的计算机。我不确定是否可以创建第二个组织单元并使 PCxxx 的计算机对象存在于两个地方。
我想出的最好的想法似乎非常麻烦,那就是手动委派这两个策略并分解每台计算机。不过,这在组策略管理本身似乎真的很麻烦,有没有更好的方法来做到这一点,或者有更好的方法来解决我的整体问题?
您可以通过创建两个特定于操作系统的 GPO 并使用 WMI 筛选器将它们分配给适当的计算机来完成此操作。
一个 GPO 将包含 Windows 7 的设置,并有一个 WMI 过滤器,确保它仅适用于运行 Windows 7 的计算机。同样,第二个 GPO 将包含 Windows 10 的设置,并有一个 WMI 过滤器,确保它仅适用于运行 Windows 10 的计算机。
Microsoft 的 Docs 站点有一个不错的指南来创建检查已安装操作系统版本的WMI 过滤器。
简而言之,您对 Windows 7 的 WMI 查询将是:
您对 Windows 10 的 WMI 查询将是: