Bagaimana cara mengebom GPO?


22

Saya melakukan banyak pekerjaan di pendidikan tinggi di mana itu adalah persyaratan yang agak umum untuk mengkonfigurasi ulang sejumlah anggota domain Windows (misalnya PC di kelas) selama durasi kursus atau acara tertentu dan konfigurasi ini dibatalkan setelahnya.

Karena sebagian besar perubahan konfigurasi yang kami minta dapat dilakukan melalui Objek Kebijakan Grup dan perubahan-perubahan itu secara otomatis dibatalkan ketika GPO tidak terhubung atau dinonaktifkan pada tingkat OU, ini adalah rute yang sangat nyaman untuk diambil.

Satu-satunya downside adalah bahwa penghubungan manual berulang dan penghentian GPO pada OU membutuhkan banyak pengingat dan staf TI yang bertugas sebelum kursus dimulai dan setelah mereka berakhir - sesuatu yang tidak dapat dijamin oleh tim operasi setiap saat.

Apakah ada cara untuk menentukan kerangka waktu untuk validitas GPO tertentu?

Jawaban:


32

Ini dapat dilakukan dengan cara penyaringan WMI . Klien kebijakan grup akan menjalankan kueri WQL dari filter WMI yang terlampir dan hanya menerapkan GPO jika kueri akan mengembalikan jumlah baris yang tidak nol. Jadi dengan membuat filter WMI memeriksa apakah waktu sistem saat ini dalam interval waktu tertentu dan menghubungkan filter WMI ini dengan GPO Anda ingin timebomb Anda mendapatkan apa yang Anda inginkan.

The Win32_OperatingSystem WMI kelas memiliki localdatetime atribut yang dapat dibandingkan dengan tanggal string yang diberikan dalam format 'hh YYYYMMDD: nn: ss' sehingga menggunakan string WQL seperti

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

di root\CIMv2namespace akan memastikan bahwa GPO hanya akan diterapkan ke sistem di mana waktu setempat adalah antara 20 Februari 2015 00:00:00 dan 23 Februari 2015 15:00:00:

mengkonfigurasi filter WMI dengan string WQL

Pastikan Anda telah menautkan filter WMI ke GPO yang diinginkan:

tautan filter WMI ke GPO

Hal-hal yang perlu diingat:

  • WQL sedang mengevaluasi tanggal dan waktu lokal pada klien, yang mungkin atau mungkin tidak disinkronkan dengan sumber waktu yang ingin Anda gunakan. Waktu klien tidak akan berjalan terlalu jauh di depan atau di belakang waktu pengontrol domain, jika tidak otentikasi Kerberos akan rusak, tetapi mungkin ada penyimpangan kecil, lakukan perhitungan untuk mereka
  • klien kebijakan grup akan memeriksa perubahan GPO dan menerapkannya agak jarang secara default:

    Secara default, Kebijakan Grup komputer diperbarui di latar belakang setiap 90 menit, dengan offset acak 0 hingga 30 menit.

    Jadi pengaturan default hanya akan memungkinkan untuk ketepatan +2 jam. Interval pembaruan dapat diubah dengan pengaturan kebijakan grup (lain), jika perlu.

  • kebijakan Anda harus dapat mengembalikan semua perubahan saat tidak lagi diterapkan. Ini adalah kasus secara default untuk semua Template Administratif yang dikelola. Pengaturan Preferensi Kebijakan Grup mungkin perlu diatur secara eksplisit untuk "menghapus item ini ketika tidak lagi diterapkan" : GPP-common-tab


3
Sangat pintar, pujian untuk Anda.
Massimo

3
Dari pengalaman saya ada beberapa kebijakan dalam Template Administratif yang tidak mengembalikan perubahan yang telah mereka buat, jadi lebih baik lakukan beberapa pengujian terlebih dahulu ... Juga, apa yang dikatakan Massimo ...
EliadTech

Setuju, pengaturan apa pun yang tepat ke registri tidak hanya kembali ke default saat tidak ditautkan, atau bahkan diatur ke "Tidak Dikonfigurasi"
mortenya

Tambahkan tugas terjadwal untuk memicu pembaruan GP saat awal dan akhir dan Anda bisa (?) Mendapatkan sedikit lebih presisi tanpa harus mengubah interval pembaruan?
Dapatkan-HomeByFiveOClock

2
@mortenya bagian "managed" dari Administrative Templates memastikan bahwa pengaturan benar-benar dibuat di subtree lain dari kumpulan registri - misalnya HKLM\Software\Policiesatau HKCU\Software\Policies. Lokasi "kebijakan" ini dihapus jika objek kebijakan pengaturan kunci tidak lagi berlaku atau properti diatur ke "Tidak Dikonfigurasi". Untuk template ADM gaya lama yang menulis ke registri Anda benar, ini "tato" ke dalam registri klien dan tidak dihapus sesudahnya. Terkait: serverfault.com/questions/566180
the-wabbit
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.