Пометка компьютеров с помощью групповой политики… чтобы затем использовать групповую политику
Введение
Я обнаружил, что многим администраторам не хватает времени для использования большего количества доступных им технологий из-за их занятости. При этом я хотел убедиться, что более сложные решения, такие как недавно опубликованное другим MVP групповой политики (и хорошим другом), Дарреном Мар-Элиа, могли быть использованы всеми. В этой статье я приведу базовые требования и шаги, необходимые для того, чтобы в полной мере воспользоваться мощным решением, которое Даррен предлагает в своей статье, которая указана ниже. В двух словах, в настройки групповой политики встроена удивительная технология, которая называется Item-Level-Targeting (ILT). Параметры в ILT обеспечивают очень детальный контроль того, как параметры политики развертываются на целевых объектах на основе динамического запроса целевого объекта перед применением политики. Единственное ограничение ILT заключается в том, что он действителен только для предпочтений групповой политики, а не для каких-либо других (часто называемых устаревшими) параметров групповой политики. Используя комбинацию технологий, включая запросы WMI, вы можете помечать ноутбуки, настольные компьютеры, планшеты, работающие версии ОС, имеющиеся приложения и т. д., а затем развертывать другие параметры групповой политики ТОЛЬКО на тех компьютерах, которые вам нужны, на основе тега.
Использование предпочтений групповой политики
Чтобы воспользоваться преимуществами предпочтений групповой политики, необходимо убедиться, что у вас установлены все правильные компоненты. Существуют две части расширения групповой политики, такие как предпочтения групповой политики, которые необходимо установить, прежде чем вы сможете использовать эту технологию.
Во-первых, вам должен быть доступен правильный редактор групповой политики. Редактор групповой политики — это не отдельный инструмент, а инструмент, входящий в состав консоли управления групповыми политиками (GPMC). Доступны две версии GPMC, и вам необходимо получить самую последнюю и лучшую версию. Старая версия GPMC работает в Windows XP, Windows Server 2003 и Windows Vista (до SP1). Этот GPMC не будет работать для того, что вам нужно сделать с настройкой предпочтений групповой политики. Нужная вам версия будет работать в Windows Vista SP1 (и более поздних версиях), Windows Server 2008, Windows 7 и Windows Server 2008 R2. GPMC поставляется с серверной ОС, но вам потребуется загрузить RSAT (инструменты администрирования удаленного сервера), чтобы запустить GPMC на настольном компьютере.
Чтобы запустить RSAT и GPMC, перейдите сюда.
Во-вторых, необходимо убедиться, что клиентское расширение (CSE) для предпочтений групповой политики установлено. См. Таблицу 1 для поддержки CSE предпочтения групповой политики.
Операционная система | Установлено по умолчанию | Где получить ЕГЭ |
Windows 2000 | Нет | Н/Д (не работает на 2000) |
Windows XP | Нет | XYZ |
Windows сервер 2003 | Нет | XYZ |
Windows Vista/SP1 | Нет | XYZ |
Windows Сервер 2008 | Да | Н/Д |
Windows 7 | Да | Н/Д |
Windows Server 2008 R2 | Да | Н/Д |
Таблица 1: Матрица CSE для предпочтений групповой политики
Пометка компьютеров с помощью настроек групповой политики Environment Policy
Теперь, когда у вас есть готовые настройки групповой политики, вам просто нужно настроить правильную политику для маркировки компьютеров. Пометка компьютеров будет выполняться путем помещения переменной среды в предпочтения групповой политики. Вы можете найти этот параметр в разделе Computer ConfigurationPreferencesWindows settingsEnvironment, как показано на рисунке 1.
Рисунок 1: Политика среды в редакторе групповой политики.
Чтобы настроить политику, щелкните правой кнопкой мыши узел «Среда» и выберите «Создать — переменная среды». Откроется диалоговое окно New Environment Properties, как показано на рисунке 2.
Рис. 2. Диалоговое окно «Новые свойства среды».
Вы можете оставить настройки по умолчанию, просто введите имя и значение для новой переменной. Например, вы можете пометить все компьютеры под управлением 32-разрядной версии Windows 7. Это может быть имя переменной, такое как WindowsOS, и присвойте ей значение Windows7_32.
Имя и значение переменной — это только первый шаг в маркировке вашего компьютера. Второй шаг — «нацелить» 32-разрядные компьютеры Windows 7 с помощью ILT. ILT является функцией каждой настройки групповой политики и находится на вкладке «Общие» диалогового окна «Свойства». Оказавшись на вкладке «Общие», вы просто установите флажок «Таргетинг на уровне элемента», а затем нажмите кнопку «Таргетинг», как показано на рисунке 3.
Рисунок 3. Таргетинг на уровне элементов настраивается на вкладке «Общие» каждой политики предпочтения групповой политики.
Нажмите кнопку «Таргетинг», чтобы загрузить редактор таргетинга. Редактор таргетинга позволяет вам определить (пометить), какие компьютеры получат вашу переменную. Поскольку мы сделали простой выбор только компьютеров с 32-разрядной версией Windows 7, мы просто выберем этот критерий. Чтобы выбрать этот критерий, нажмите «Новый элемент», затем выберите «Операционная система». Поскольку существует несколько 32-разрядных версий Windows 7, в нашем примере мы выбираем все 32-разрядные версии, как показано на рисунке 4.
Рисунок 4: ILT, который определяет, что мы нацелены на все 32-разрядные версии Windows 7.
На рис. 4 видно, что существуют также 64-разрядные версии Windows 7, но мы их не выбрали. На верхней панели рисунка 4 ясно видно, что были выбраны все 3 32-разрядные версии Windows 7, но не 64-разрядные версии. Также не забудьте сделать каждую запись «ИЛИ», изменив «И» по умолчанию на «ИЛИ» с помощью функции «Параметры элемента».
Чтобы убедиться, что эта переменная теперь настроена на ваших компьютерах с Windows 7 после обновления групповой политики, вы можете использовать инструмент System Information, показанный на рисунке 5.
Рисунок 5: Инструмент System Information показывает текущие переменные среды.
Использование переменной среды с использованием устаревших параметров групповой политики
Теперь, когда на нашем 32-разрядном компьютере с Windows 7 настроена переменная, мы можем использовать фильтр WMI для запроса переменной, а затем применить более старую (не поддерживаемую ILT) политику только к тем компьютерам, для которых переменная WindowsOS установлена на Windows7_32.
Во-первых, нам нужно создать фильтр WMI. Это простая задача, и ее можно выполнить, щелкнув правой кнопкой мыши узел WMI Filters в консоли управления групповыми политиками и выбрав New. Затем введите следующий текст и дайте имя фильтру WMI (результат показан на рис. 6).
Выберите * FROM Win32_Environment, ГДЕ Name='WindowsOS' AND VariableValue='Windows7_32'
Рисунок 6: Фильтр WMI для запроса переменной WindowsOS в поисках значения Windows7_32.
Примечание:
Обязательно введите строку непосредственно в графический интерфейс для фильтра, так как копирование и вставка из Блокнота или другого устройства вызовет проблемы.
Связывание фильтра WMI с GPO
Теперь, когда у нас создан фильтр WMI, нам просто нужно связать его с объектом групповой политики в консоли управления групповыми политиками. Конечно, ключевым моментом является то, что фильтр будет ограничивать, к каким компьютерам будут применяться настройки объекта групповой политики. Чтобы связать фильтр WMI с объектом групповой политики, вам необходимо войти в консоль управления групповыми политиками и выделить объект групповой политики, с которым вы работаете. Затем щелкните раскрывающийся список WMI Filtering, который находится на правой панели. Вы должны увидеть созданный выше фильтр WMI. Выберите его, и все готово.
Заключительное замечание по применению объекта групповой политики с использованием фильтров WMI
Некоторые настройки GPO требуют нескольких «перезагрузки», чтобы увидеть результат. Для этого параметра вам необходимо применить фильтр WMI, предназначенный для компьютера. Затем вам нужна настройка «появляться», когда пользователь входит в систему. Это может потребовать перезагрузки, а затем пользователю необходимо выйти из системы и снова войти в нее. В конце концов, если у вас есть компьютер в правильном подразделении, объект групповой политики, связанный с этим подразделением, правильный синтаксис фильтра WMI и фильтр, связанный с объектом групповой политики… вы увидите желаемый результат!
Кроме того, вы можете использовать WMI для запроса 32-битных и 64-битных компьютеров, но ключ здесь в том, что я показываю вам, как использовать «тегирование» системы, которое можно использовать практически для любого из вариантов ILT. OS, казалось, имела наибольший смысл для примера.
Резюме
Хотя эти шаги не так уж сложны, в них много движущихся частей. Если вы будете следовать этим шагам и рекомендациям, вы сможете использовать новые параметры ILT в настройках групповой политики со старыми параметрами GPO. Почти любой параметр, указанный в разделе «Параметры программного обеспечения», «Параметры Windows» и «Административные шаблоны», можно использовать с этим типом элемента управления с помощью фильтра WMI. Попробуйте и посмотрите, как можно использовать новые технологии со старыми настройками. Оригинальная запись в блоге Даррена находится здесь, где вы можете найти еще больше примеров того, как использовать эту технологию.