Найти в Дзене
Учебный Центр АйТи Клауд
2 подписчика

Настройка Windows 10 и Windows 11 c помощью групповых политик службы каталога Active Directory (часть 2)

2
2 мин
Вторая часть статьи посвящена фильтрации групповых политик Active Directory - тонкой настройке применения правил через Security Filtering и WMI-фильтры для Windows 10/11. Фильтрация групповых политик Применять GPO можно только к контейнерам AD: к сайтам, доменам или подразделениям (OU). Применять GPO к отдельным учетным записям пользователей, компьютеров или групп невозможно. Действие политик на содержимое контейнеров основано на эффекте наследования. Если необходимо применить политики к отдельным учетным записям предлагается использовать два вида фильтрации: Фильтрация безопасности. Фильтрация WMI. Фильтрация безопасности По умолчанию политики применяются ко всем пользователям и компьютерам, потому что их применение делегировано группе Authentiсated Users. Проверим это на примере. На панели навигации в GPMCвыберем GPO1 и откроем вкладку Scope. В разделе Security Filtering указана группа Authentiсated Users. Это значит, что политики из GPO1 применяются ко всем пользователям и компьют
Оглавление

Вторая часть статьи посвящена фильтрации групповых политик Active Directory - тонкой настройке применения правил через Security Filtering и WMI-фильтры для Windows 10/11.

Фильтрация групповых политик

Применять GPO можно только к контейнерам AD: к сайтам, доменам или подразделениям (OU). Применять GPO к отдельным учетным записям пользователей, компьютеров или групп невозможно. Действие политик на содержимое контейнеров основано на эффекте наследования.

Если необходимо применить политики к отдельным учетным записям предлагается использовать два вида фильтрации:

  1. Фильтрация безопасности.
  2. Фильтрация WMI.

Фильтрация безопасности

По умолчанию политики применяются ко всем пользователям и компьютерам, потому что их применение делегировано группе Authentiсated Users. Проверим это на примере.

На панели навигации в GPMCвыберем GPO1 и откроем вкладку Scope. В разделе Security Filtering указана группа Authentiсated Users. Это значит, что политики из GPO1 применяются ко всем пользователям и компьютерам, которые успешно прошли аутентификацию в домене.

-2

Чтобы проверить какие разрешения группа Authentiсated Users имеет на объект GPO1, откроем вкладку Delegation и кликнем кнопку Advanced.

-3

Видим, что группа имеет разрешения Readи Apply group policy. Этого достаточно для применения групповых политик.

-4

Чтобы групповые политики GPO1 применялись только на группу Managers, удалим Authenticated Usersна закладке Scopeи добавим группу Managers.

-5

Чтобы групповые политики GPO2 применялись на все учетные записи домена, кроме группы IT, оставляем группу Authenticated Users, но в список доступа GPO2 добавляем группу IT. Для этой группы устанавливаем разрешение Apply group policy – Deny.

-6

Фильтрация WMI

WMI фильтры позволяют применять групповые политики к компьютерам только с определенными параметрами. Например, с указанной версией и билдом Windows, типом процессора, объемом ОЗУ, установленными определенными программами, находящимися в указанной IP подсети и т.д.

Создать WMI фильтр можно в оснастке GPMC. Для этого в левой панели навигации надо выбрать раздел WMI Filters, кликнуть правой кнопкой мыши и в контекстном меню выбрать New.

-7

В открывшемся окне указываем имя фильтра и можно добавить описание. Затем нажимаем кнопку Add, открывается окно WMI Query, в котором в поле Namespace для большинства задач выбираем root\CIMv2. В поле Query вводим WMI запрос на языке WQL. Например, для применения GPO только к рабочим станциям с Windows10 и 11 код запроса:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE ″10.%″ AND ProductType = ″1″

Тип продукта (ProductType) может иметь следующие значения:

  1. Рабочая станция
  2. Контроллер домена
  3. Сервер
-8

Для сохранения запроса нажимаем Save.

-9

Созданный фильтр привязываем к GPO2. Для этого в GPMC выбираем GPO2, в разделе WMI Filtering в выпадающем меню выбираем WMI фильтр.

-10