Frage Wie bombardiere ich ein GPO?


Ich mache eine Menge Arbeit in der Hochschulbildung, wo es eine ziemlich häufige Anforderung ist, eine Anzahl von Windows Domänenmitgliedern (z.B. PCs in einem Klassenzimmer) für die Dauer eines bestimmten Kurses oder Ereignisses neu zu konfigurieren und diese Konfiguration anschließend rückgängig zu machen.

Da die meisten Konfigurationsänderungen über Gruppenrichtlinienobjekte durchgeführt werden können und diese Änderungen automatisch rückgängig gemacht werden, wenn das Gruppenrichtlinienobjekt auf der Organisationseinheitsebene nicht verknüpft oder deaktiviert ist, ist dies ein sehr komfortabler Weg.

Der einzige Nachteil ist, dass wiederholtes manuelles Verknüpfen und Aufheben der Verknüpfung von Gruppenrichtlinienobjekten mit OUs viele Mahnungen und IT-Mitarbeiter vor Beginn und nach dem Ende des Kurses erfordert - etwas, das das Operationsteam nicht immer garantieren kann.

Gibt es eine Möglichkeit, einen Zeitrahmen für die Gültigkeit eines bestimmten Gruppenrichtlinienobjekts anzugeben?


21
2018-03-17 20:39


Ursprung




Antworten:


Dies kann mit Hilfe von erfolgen WMI-Filterung. Der Gruppenrichtlinienclient führt die WQL-Abfrage von einem angefügten WMI-Filter aus und wendet das Gruppenrichtlinienobjekt nur an, wenn die Abfrage eine von null verschiedene Anzahl von Zeilen zurückgibt. Wenn Sie also einen WMI-Filter erstellen, der überprüft, ob die aktuelle Systemzeit innerhalb eines bestimmten Zeitintervalls liegt, und diesen WMI-Filter mit dem GPO verknüpfen, das Sie zeitbomben wollen, erhalten Sie genau das, was Sie wollten.

Das win32_operatingsystem WMI-Klasse hat a lokale Zeit Attribut, das mit einem gegebenen String-Datum im Format 'yyyymmdd hh: nn: ss' verglichen werden kann, um den WQL-String zu verwenden

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

in dem root\CIMv2 Namespace würde sicherstellen, dass das Gruppenrichtlinienobjekt nur auf Systeme angewendet wird, deren Ortszeit zwischen dem 20. Februar 2015 00:00:00 und dem 23. Februar 2015 15:00:00 liegt:

configure WMI filter with WQL string

Stellen Sie sicher, dass Sie den WMI-Filter mit dem gewünschten Gruppenrichtlinienobjekt verknüpft haben:

link WMI filter to GPO

Dinge zu beachten:

  • Der WQL evaluiert die lokal Datum und Uhrzeit auf dem Client, die möglicherweise mit der Zeitquelle synchronisiert ist, die Sie verwenden möchten. Die Zeit des Clients wird nicht zu weit vor oder nach der Zeit des Domänencontrollers laufen, andernfalls wird die Kerberos-Authentifizierung unterbrochen, es können jedoch geringfügige Abweichungen auftreten
  • Der Gruppenrichtlinienclient sucht standardmäßig nach GPO-Änderungen und wendet sie relativ selten erneut an:

    Standardmäßig wird die Computergruppenrichtlinie alle 90 Minuten im Hintergrund mit einem zufälligen Offset von 0 bis 30 Minuten aktualisiert.

    Die Standardeinstellungen erlauben also nur eine Genauigkeit von +2 Stunden. Das Aktualisierungsintervall kann gewechselt werden durch (eine andere) Gruppenrichtlinieneinstellung, falls erforderlich.

  • Ihre Richtlinie muss in der Lage sein, alle Änderungen rückgängig zu machen, wenn sie nicht mehr angewendet werden. Dies ist standardmäßig für alle verwalteten administrativen Vorlagen der Fall. Gruppenrichtlinieneinstellungen müssen möglicherweise explizit eingerichtet werden "Diesen Gegenstand entfernen, wenn er nicht mehr angewendet wird": GPP-common-tab


31
2018-03-17 20:39



Sehr schlau, ein großes Lob an Sie. - Massimo
Aus meiner Erfahrung gibt es einige Richtlinien in administrativen Vorlagen, die die Änderungen, die sie vorgenommen haben, nicht rückgängig machen, also teste lieber zuerst ... Auch was Massimo gesagt hat ... - EliadTech
Einverstanden, alle Einstellungen, die für die Registrierung gelten, werden nicht nur auf den Standard zurückgesetzt, wenn die Verknüpfung aufgehoben wird, oder sie werden sogar auf "Nicht konfiguriert" gesetzt. - mortenya
Fügen Sie eine geplante Aufgabe hinzu, um ein GPupdate zu Start- und Endzeiten auszulösen, und Sie könnten (?) Ein wenig mehr Präzision erhalten, ohne das Aktualisierungsintervall anpassen zu müssen? - Get-HomeByFiveOClock
@ mortenya der "verwaltete" Teil der administrativen Vorlagen stellt sicher, dass die Einstellungen tatsächlich in einem anderen Teilbaum der Registrierungsstruktur vorgenommen werden - z. HKLM\Software\Policies oder HKCU\Software\Policies. Diese "Politik" Positionen werden gelöscht, wenn das Richtlinienobjekt, das den Schlüssel festlegt, nicht mehr gilt oder die Eigenschaft auf "Nicht konfiguriert" gesetzt ist. Für alte ADM-Vorlagen, die in die Registrierung schreiben, haben Sie Recht, diese werden in die Registrierung des Kunden "tätowiert" und danach nicht entfernt. Verbunden: serverfault.com/questions/566180 - the-wabbit