Home > GPO, Windows > #5 GPO Serial – WMI Filtre a Loopback Processing

#5 GPO Serial – WMI Filtre a Loopback Processing

Takže po dlhšej dobe pokračujem. Dneska popišem WMI filtre a taktiež Loopback Processing.

WMI Filtre

 WMI filtre sa používajú na to, aby sa lepšie špecifikovali podmienky aplikovania GPO politík. Ale najprv si vysvetlime, čo to vlastne WMI je. WMI je skratka od Windows Management Instrumentation, čo predstavuje rozhranie cez ktoré je možné tak vyčítať rôzne údaje z OS ako aj samotné nastavenia OS meniť. WMI si predstavte ako databázu na každom Windows OS. Pomocou podobných príkazov ako sú SQL príkazy je možné vyčítavať rôzne informácie. Napríklad je možné vyčitať informácie o type a modele BIOSu na počítači. Ďalej napríklad informácie o veľkosti RAM pamäte, verzia OS, zoznam hotfixov, rýchlosť otáčok ventilátora na CPU,…

Ako malú ukážku môžeme vylistovať triedu Win32_ComputerSystem, ktorá obsahuje základné informácie o počítači. Spravíme to cez powershell sputením príkazu Get-WmiObject -Class win32_computersystem:

 

Win32_ComputerSystem

Win32_ComputerSystem

 

Kde sa môžeme dočítať informácie ako je výrobca počítača a napríklad veľkosť RAM pamäte. Na webe je veľmi veľa popísané ohľadom WMI, takže tu sa rozpisovať nebudem.

A späť ku GPO politikám. Vďaka WMI implementácii môžeme zabezpečiť, že daná GPO politika sa aplikuje len na počítače, ktoré majú viac ako 4GB RAM. Robí sa to tak, že na GPO politiku sa aplikuje WMI filter, ktorý ak sa vyhodnotí ako pravda (True), tak sa daná GPO politika aplikuje, inak sa ignoruje.

WMI filter na to, aby sa politika aplikovala by vyzeral takto:

SELECT * from Win32_ComputerSystem WHERE TotalPhysicalMemory > 4221392896

V GPMC konzole klikneme na WMI Filter a vyberieme New

Nový WMI filter

Nový WMI filter

V ďalšom okne si pomenujeme WMI filter a klikneme na Add

Nový WMI filter

Nový WMI filter

Vložíme dotaz a v prípade iného namespace zvolíme daný namespace

Vloženie dotazu

Vloženie dotazu

OK, Save a máme WMI filter

WMI filter hotový

WMI filter hotový

Vyberime si GPO politiku, na ktorú chceme aplikovať WMI filter a na záložke Scope v dolnej časti si vyberieme WMI filter, ktorý sme práve vytvorili:

Aplikovanie WMI filtra

Aplikovanie WMI filtra

A teraz sa pri aplikovaní GPO politiky vyhodnotí WMI filter a ak má daný počítač viac ako 4GB RAM, tak sa daná politika aplikuje.

Treba však vediet to, že WMI sú funkčné od Windows XP, takže Windows 2000 pri spracuvávaní GPO politík nevyhodnocujú WMI filtre, takže WMI filtre nie je možné použiť na Windows 2000. Windows 2000 ak ma GPO politiku a je tam WMI filter, tak sa vždy vyhodnotí ako pravda, takže sa aplikuje aj ked WMI filter by danú Windows 2000 vylúčil. Taktiež sa neodporúča moc využivať WMI filtre, pretože môžu spomaľovať aplikovanie GPO politík, čiže v konečnom dôsledku predĺžiť čas prihlasenia.

Loopback processing

Keď si uvedomíme ešte raz aplikovanie GPO politík, tak GPO politiky s časťou Computer Settings sa aplikujú na počítače podľa toho v ktorej OU sa účet daného počítača nachádza v AD. A naopak, GPO politiky s časťou User Settings sa aplikujú na základe umiestnenia užívateľského účtu v OU v AD. Taktiež je nutné si uvedomiť, že najprv sa aplikujú nastavenia pre počítač a následne pre používateľa. Toto je štandardné chovanie sa aplikovania GPO politík. Je však možné spraviť to, že sa na používateľa aplikujú nastavenia User Settings podľa toho, kde sa nachádza počítač, na ktorý sa použivateľ hlási. Inak povedané, je možné zabezpečiť, aby sa používateľovi aplikovali nastavenia User Settings podľa počítača na ktorý sa prihlasujú. Toto sa veľmi používa tam kde sú terminálové servery (RDS servery). Keď sa užívateľ prihlasuje na svoj počítač, tak ma iné nastavenia ako keď sa prihlasuje na server s terminalovými službami.

Loopback processing je možné zapnuť do dvoch módov:

Merge Mode – V tomto nastavení sa GPO nastavenia “zlepia” dokopy. Prvé sa aplikujú User Settings z GPO politík podľa umiestnenia používateľského účtu a následne sa aplikujú User Settings z politík podľa umiestnenia účtu počítača na ktorý sa užívateľ hlási. Pri konflikte v aplikovaní vyhrávajú nastavenia User Settings, ktoré sa aplikovali ako posledné, čiže tie, ktoré boli aplikované podľa umiestnenia účtu počítača.

Replace Mode – V tomto nastavení sa aplikujú User Settings len podľa umiestnenia účtu počítača v AD. Takže toto nastavenie je ideálne pre terminalové prostredie. Ak sa používateľ prihlasuje na terminalové služby počítača, tak sa aplikujú User Settings len tie, ktoré platia pre počítači s terminalovými službami. Nastavenia podľa umiestnenia používateľského účtu sú ignorované.

Takže na príklade to vysvetlím. Máme nasledovnú AD štruktúru:

AD štrutúra

AD štrutúra

  • Ak užívateľ má účet v OU Company//Users, prihlasuje sa na počítač v OU Company//Computers a Loopback processing nie je nastaveny: Aplikujú sa Computer Settings podľa OU Company//Computers (Default Domain Policy, GPO_Computers) a User Settings podľa OU Company//Users (Default Domain Policy, GPO_Users)
  • Ak užívateľ má účet v OU Company//Users, prihlasuje sa na počítač v OU Company//Computers a Loopback processing  je nastaveny na Merge mode: Aplikujú sa Computer Settings podľa OU Company//Computers (Default Domain Policy, GPO_Computers) a User Settings podľa OU Company//Users (Default Domain Policy, GPO_Users, GPO_Computers)
  • Ak užívateľ má účet v OU Company//Users, prihlasuje sa na počítač v OU Company//Computers a Loopback processing  je nastaveny na Replace mode: Aplikujú sa Computer Settings podľa OU Company//Computers (Default Domain Policy, GPO_Computers) a User Settings podľa OU Company//Users (Default Domain Policy, GPO_Computers)

 Lookback processing sa zapína a konfiguruje cez GPO

Computer Configuration // Policies // Administrative Templates // System // Group Policy

Tuna sa zapne Loopback Processing a zároveň vyberie mód:

Loopback Processing

Loopback Processing

Takže dneska len toľko. Na budúce sa pozrieme viacej na ADM a ADMX subory.

———

Obsah serialu:

#1 GPO Serial – Lokalne Politiky
#2 GPO Serial – GPO v domene cast 1.
#3 GPO Serial – GPO v domene cast 2.
#4 GPO Serial – Aplikovanie GPO
#5 GPO Serial – WMI filtre a Loopback Processing

Categories: GPO, Windows Tags: , , ,