В настоящее время у нас есть несколько объектов групповой политики, связанных с более чем 200 компьютерными объектами, которые фильтруются через WMI (запрос для операционной системы).
Кажется, есть какое-то состояние гонки, поскольку эти объекты групповой политики иногда применяются, а иногда - нет.
В любом случае ... мы можем проследить это до нестабильности WMI, почему я хотел бы переключиться на фильтрацию безопасности на основе групп AD (ServerW2012, ServerW2008 и так далее).
Мой путь миграции выглядит следующим образом:
1) Создайте группы AD и соответственно добавьте объекты компьютеров
2) Добавьте группы AD в списки управления доступом соответствующих объектов групповой политики и удалите «Прошедшие проверку».
3) Удалить фильтр WMI
Объекты групповой политики используют несколько CSE, синхронные / асинхронные, Securits CSE и т. Д. Меня беспокоит стабильность, потому что, если это изменение пойдет не так, это повлияет на 200+ компьютерных объектов.
Возможен ли это путь миграции? Есть какой-нибудь опыт, которым можно поделиться? Спасибо
Создайте группы AD и соответственно добавьте объекты компьютеров.
Добавьте группы AD в списки ACL соответствующих объектов групповой политики и удалите «Прошедшие проверку пользователи». Применить разрешение групповой политики.
Компьютеры необходимо перезагрузить или klist purge запустить, чтобы обновить членство в группах компьютеров.
Есть ли способ обновить членство в группе компьютеров без перезагрузки?
Свяжите новую групповую политику.
Удалите фильтр WMI.