Використовуємо WMI фільтр для прив'язки GPO до IP підмережі

Цього разу виникла необхідність застосувати GPO до комп'ютерів в певній IP підмережі. У найпростішому випадку, коли дана підмережа включена в окремий сайт Active Directory (і ця підмережа в сайті одна), можна призначити політику на сайт AD (приклад прив'язки політики до сайту є тут), це простий і зручний метод. У нашому випадку, призначити політику на весь сайт ми не можемо, тому що до сайту AD прив'язане кілька IP підмереж. Доведеться скористатися можливостями фільтрації політик за допомогою WMI фільтрів.

Раніше ми розглядали, приклад використання WMI фільтрів для застосування конкретної групової політики тільки до певних версіями ОС Windows. В даному випадку аналогічним чином потрібно створити WMI фільтр і змінити запит так, щоб він містив умову на перевірку IP адрес.

  1. Відкрийте консоль редактора GPMC.msc (Group Policy Management) і знайдіть розділ WMI Filters.
  2. Створимо новий фільтр. Для цього клацніть по розділу ПКМ і в контекстному меню виберіть New.
  3. Вкажіть ім'я фільтра, його опис.
  4. Щоб додати WMI запит на вибірку натисніть кнопку Add.
  5. Як простору імен залиште значення root \ CIMv2, а в вікно запиту скопіюйте наступний код.
    Select * FROM Win32_IP4RouteTable
    WHERE (Mask = '255.255.255.255'
    AND (Destination Like '191.168.55.%' OR Destination Like '191.168.56.%'))

    Примітка. В даному прикладі ми створили фільтр, що дозволяє націлити політику на клієнтів з шаблонами IP адрес, які відповідають маскам 191.168.55.x і 191.168.56.x. Замініть IP підмережі своїми.
  6. збережіть запит.
  7. Тепер в консолі GPMC потрібно вибрати політику, яку ви хочете застосувати на клієнтах.
  8. В параметрах даної політики в секції WMI Filtering в випадаючому списку потрібно вибрати створений фільтр і призначити політику на OU з комп'ютерами.
Примітка. У деяких випадках зручніше націлити політику на певні підмережі клієнтів - скористатися націлених Group Policy Preferences, в яких в одному з фільтрів можна вказати діапазон IP адрес.

Тепер потрібно оновити політики на клієнтах (gpupdate / force) і перевірити їх застосування (для перевірки призначення GPO можна скористатися стандартною командою gpresult).

Отже, за допомогою простого WMI фільтра ми можемо призначити політику на клієнтів, розташованих в певних IP подсетях, або діапазоні IP адрес.

Категорія