Làm thế nào để đánh bom thời gian GPO?


22

Tôi đang làm rất nhiều công việc trong giáo dục đại học, trong đó yêu cầu khá phổ biến là cấu hình lại một số thành viên miền Windows (ví dụ: PC trong lớp học) trong suốt thời gian của một khóa học hoặc sự kiện cụ thể và sau đó có cấu hình này.

Vì hầu hết các thay đổi cấu hình mà chúng tôi được yêu cầu có thể được thực hiện thông qua Đối tượng chính sách nhóm và những thay đổi đó sẽ tự động bị đảo ngược khi GPO không được liên kết hoặc hủy kích hoạt ở cấp OU, đây là một lộ trình rất thoải mái.

Nhược điểm duy nhất là liên kết thủ công lặp lại và không liên kết GPO trên các OU cần rất nhiều lời nhắc nhở và nhân viên CNTT làm nhiệm vụ trước khi các khóa học bắt đầu và sau khi kết thúc - điều mà nhóm hoạt động không thể đảm bảo mọi lúc.

Có cách nào để xác định khung thời gian cho tính hợp lệ của GPO cụ thể không?

Câu trả lời:


32

Điều này có thể được thực hiện bằng các phương tiện lọc WMI . Máy khách chính sách nhóm sẽ thực hiện truy vấn WQL từ bộ lọc WMI đính kèm và chỉ áp dụng GPO nếu truy vấn sẽ trả về số lượng hàng khác không. Vì vậy, bằng cách tạo bộ lọc WMI, kiểm tra xem thời gian hệ thống hiện tại có nằm trong một khoảng thời gian nhất định không và liên kết bộ lọc WMI này với GPO mà bạn muốn timebomb bạn có được chính xác những gì bạn muốn.

Các win32_operatingsystem WMI lớp có một localdatetime thuộc tính có thể được so sánh với một chuỗi ngày được đưa ra trong định dạng 'hh yyyymmdd: nn: ss' để sử dụng chuỗi WQL như

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

trong root\CIMv2không gian tên sẽ đảm bảo rằng GPO chỉ được áp dụng cho các hệ thống có giờ địa phương là giữa tháng 2, 20 2015 00:00:00 và Feb, 23 2015 15:00:00:

cấu hình bộ lọc WMI với chuỗi WQL

Đảm bảo bạn đã liên kết bộ lọc WMI với GPO mong muốn:

liên kết bộ lọc WMI với GPO

Những điều cần lưu ý:

  • WQL đang đánh giá ngày và giờ địa phương trên máy khách, có thể hoặc không thể đồng bộ hóa với nguồn thời gian bạn muốn sử dụng. Thời gian của khách hàng sẽ không chạy quá xa hoặc chậm hơn thời gian của bộ điều khiển miền, nếu không, xác thực Kerberos sẽ bị hỏng, nhưng có thể có những sai lệch nhỏ, hãy tính đến chúng
  • khách hàng chính sách nhóm sẽ kiểm tra các thay đổi GPO và áp dụng lại chúng theo cách không thường xuyên theo mặc định:

    Theo mặc định, Chính sách nhóm máy tính được cập nhật trong nền sau mỗi 90 phút, với độ lệch ngẫu nhiên từ 0 đến 30 phút.

    Vì vậy, cài đặt mặc định sẽ chỉ cho phép độ chính xác +2 giờ. Khoảng thời gian cập nhật có thể được thay đổi bởi cài đặt chính sách nhóm (khác), nếu cần.

  • chính sách của bạn cần có thể hoàn nguyên tất cả các thay đổi khi không còn được áp dụng. Đây là trường hợp theo mặc định cho tất cả các Mẫu quản trị được quản lý. Cài đặt tùy chọn chính sách nhóm có thể cần được thiết lập rõ ràng để "xóa mục này khi không còn được áp dụng" : GPP-chung-tab


3
Rất thông minh, kudos cho bạn.
Massimo

3
Theo kinh nghiệm của tôi, có một số chính sách trong Mẫu quản trị không hoàn nguyên các thay đổi họ đã thực hiện, vì vậy tốt hơn nên thực hiện thử nghiệm trước ... Ngoài ra, những gì Massimo đã nói ...
EliadTech 17/03/2015

Đồng ý, mọi cài đặt có quyền đăng ký không chỉ trở về mặc định khi không được liên kết hoặc thậm chí được đặt thành "Không được định cấu hình"
mortenya 17/03/2015

Thêm vào một tác vụ theo lịch trình để kích hoạt GPupdate vào thời gian bắt đầu và kết thúc và bạn có thể (?) Có thể chính xác hơn một chút mà không phải điều chỉnh khoảng thời gian cập nhật?
Get-HomeByFiveOClock 17/03/2015

2
@mortenya, phần "được quản lý" của Mẫu quản trị đảm bảo rằng các cài đặt thực sự được thực hiện trong một cây con khác của tổ ong đăng ký - ví dụ: HKLM\Software\Policieshoặc HKCU\Software\Policies. Các vị trí "chính sách" này sẽ bị xóa nếu đối tượng chính sách cài đặt khóa không còn áp dụng hoặc thuộc tính được đặt thành "Không được định cấu hình". Đối với các mẫu ADM kiểu cũ ghi vào sổ đăng ký, bạn đã đúng, chúng được "xăm" vào sổ đăng ký của khách hàng và không bị xóa sau đó. Liên quan: serverfault.com/questions/566180
the-wmus
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.