Filtrando GPO por sistema operacional maio 25, 2011
Posted by Leonardo Pucci in Uncategorized.trackback
Quando vamos aplicar uma gpo para os usuários, algumas vezes, além da estação de trabalho, o usuário pode ter que acessar externamente um servidor de terminais, aonde na maioria das vezes, as politicas na estação nao se aplicam para o servidor de terminais.
O comum é utilizar o Security Filtering, que aplica as regras baseado nos membros:
Filtro de segurança para usuários autenticados e abaixo a opção de WMI filtering
Desta forma, se criava um grupo GPO_ESTACAO e um grupo GPO_TS ou Remote Desktop Users e as regras se aplicam conforme voce coloca o usuário para acesso.
Entretanto, e se o usuário for membro do grupo GPO_ESTACAO e Remote Desktop Users, ele irá aplicar as politicas de máquina e terminal ao mesmo tempo.
Neste âmbito, existe uma opção chamada Processamento de loopback da diretiva de grupo (Loopback processing of Group Policy), entretanto, eu achei bem complicada. (Este artigo descreve com uma clareza impecável a respeito).
Comecei a pesquisar sobre filtros WMI, estes filtros permitem aplicar as gpos com uma vasta opção de selects!
Achei perfeito no ambito GPO, pois nao sou muito a favor do wmi a nivel de máquina, não domino a ferramenta para poder formar uma opinião concisa).
Enfim, enumero aqui os selcts mais comuns para que voce possa filtar suas polítcas baseadas em sistema operacional da máquina, liberando os usuários para utilizarem os 2 sistemas sem confusão, scripts de instalação para arquiteturas diferentes, etc!
Aonde criar as queries WMI para aplicar nas GPOS
Controladores de Domínio
Select * from WIN32_OperatingSystem where ProductType=2
Servidores
Select * from WIN32_OperatingSystem where ProductType=3
Estações de Trabalho
Select * from WIN32_OperatingSystem where ProductType=1
Estaçoes de 32-bits
Select * from WIN32_OperatingSystem where ProductType=1
Select * from Win32_Processor where AddressWidth = ’32′
Estaçoes 64-bits
Select * from WIN32_OperatingSystem where ProductType=1
Select * from Win32_Processor where AddressWidth = ’64′
Sistemas Operacionais de 32-bits
Select * from Win32_Processor where AddressWidth = ’32′
Sistemas Operacionais de 64-bits
Select * from Win32_Processor where AddressWidth = ’64′
Windows XP
Select * from WIN32_OperatingSystem where Version=’5.1.2600′ and ProductType=1
Windows Vista
Select * from WIN32_OperatingSystem where Version=’6.0.6002′ and ProductType=1
Windows 7
Select * from WIN32_OperatingSystem where Version=’6.1.7600′ and ProductType=1
Windows 2003
Select * from WIN32_OperatingSystem where Version=’5.2.3790′ and ProductType>1
Windows 2008
Select * from WIN32_OperatingSystem where Version=’6.0.6002′ and ProductType>1
Windows 2008 R2
Select * from WIN32_OperatingSystem where Version=’6.1.7600′ and ProductType>1
Fabricante:
Select * from WIN32_ComputerSystem where Manufacturer = ‘Positivo’
Quantidade de Memória (Exemplo: maquinas com mais de 2gb )
Select * from WIN32_ComputerSystem where TotalPhysicalMemory >= 2147483648
Local aonde voce irá selecionar as politicas WMI para a GPO
Isto resolveu minha vida, parei de quebrar a cabeça, depois de 5 dias pensando no problema!
Agora consigo filtrar execução de scripts em máquinas em condições diferentes.
Consigo filtrar scripts em windows 7 que não executam pela falta da elevação no prompt de comando. Que é meu próximo passo: Descobrir como remover o UAC via gpo para que os scripts de Xp executem no Windows 7
Ferramentas Microsft para utilização de filtros WMI:
Até a próxima!
Maravilhaaa amigooo, funciona 100%
muito Obrigado