У нас есть небольшой (> 100 машин) домен Windows под управлением Server 2008R2. Мы используем Symantec Endpoint Protection 12.1. Я хочу, чтобы GPO автоматически развертывал антивирусное программное обеспечение на клиентских машинах, но только на клиентские рабочие станции, а не на серверы, на которых запущено другое программное обеспечение.
Я настроил его перед использованием объекта групповой политики, связанного с доменом mycompany.local, и он работает, но развертывает антивирусное программное обеспечение на ВСЕХ машинах в домене, включая мои серверы. Я могу создать подразделение в активном каталоге для серверов и, возможно, создать его и для клиентских машин, но мне бы не пришлось перемещать новых членов домена из значения по умолчанию в разделе «Компьютеры» в другую папку.
Как я могу использовать GPO для развертывания этого программного обеспечения AV только на рабочих станциях в нашей сети, а не на серверах?
Объекты по умолчанию Computersк контейнеру в AD не применяются групповые политики, за исключением политик, применяемых на уровне домена. Итак, чтобы применить установку ПО ТОЛЬКО к рабочим станциям, вы должны создать еще одно подразделение для рабочих станций и переместить в него все рабочие станции. Затем вы примените свою политику установки программного обеспечения к этому подразделению рабочей станции.
Вот где ваши друзья - фильтры WMI. Создайте следующий фильтр WMI и свяжите его с GPO:
выберите * из Win32_OperatingSystem, где ProductType = "1"
Win32_OperatingSystem класс
http://msdn.microsoft.com/en-us/library/windows/desktop/aa394239%28v=vs.85%29.aspx
Как заявил Cheekaleak, вы можете создать OU для рабочих станций, переместить объекты компьютеров для рабочих станций в это OU и связать свой AV GPO с этим OU.
Если вы не хотите перемещать компьютерные объекты рабочей станции из контейнера Computers по умолчанию (что на самом деле не так уж и важно), вы можете использовать фильтр Security или WMI для AV GPO (связанный с доменом), чтобы он применился только на рабочие станции.