Как бомбы замедленного действия на GPO?
Я много работаю в сфере высшего образования, где довольно распространено требование перенастроить ряд членов домена Windows (например, ПК в классе) на время определенного курса или мероприятия и затем отменить эту конфигурацию.
Поскольку большинство изменений конфигурации, которые нас просят сделать, можно сделать с помощью объектов групповой политики, и эти изменения автоматически отменяются, когда GPO отключается или деактивируется на уровне подразделения, это очень удобный путь.
Единственным недостатком является то, что для многократного ручного связывания и отмены связывания GPO в OU требуется много напоминаний и дежурный ИТ-персонал до начала курсов и после их окончания - чего операционная группа не может гарантировать в любое время.
Есть ли способ указать временные рамки для действия конкретного объекта групповой политики?
Это можно сделать с помощью WMI фильтрация. Клиент групповой политики будет выполнять WQL-запрос из присоединенного WMI-фильтра и применять GPO только в том случае, если запрос вернет ненулевое количество строк. Таким образом, создав фильтр WMI, проверяющий, находится ли текущее системное время в пределах заданного интервала времени, и связав этот фильтр WMI с объектом групповой политики, который вы хотите уничтожить, вы получите именно то, что хотели.
В win32_operatingsystem Класс WMI имеет местное время атрибут, который можно сравнить с заданной строковой датой в формате 'yyyymmdd hh: nn: ss', чтобы использовать строку WQL, например
select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'
в root\CIMv2 пространство имен будет гарантировать, что объект групповой политики будет применяться только к системам, где местное время находится между 20 февраля 2015 00:00:00 и 23 февраля 2015 15:00:00:
Убедитесь, что вы связали фильтр WMI с желаемым GPO:
Что нужно иметь в виду:
- WQL оценивает местный дата и время на клиенте, которые могут или не могут быть синхронизированы с источником времени, который вы собираетесь использовать. Время клиента не будет слишком опережать или отставать от времени контроллера домена, в противном случае проверка подлинности Kerberos будет нарушена, но могут быть незначительные отклонения, учитывайте их
клиент групповой политики проверяет наличие изменений GPO и по умолчанию применяет их довольно редко:
По умолчанию групповая политика компьютера обновляется в фоновом режиме каждые 90 минут со случайным смещением от 0 до 30 минут.
Таким образом, настройки по умолчанию допускают точность только +2 часа. Интервал обновления может быть изменено с помощью (другого) параметра групповой политики, если необходимо.
ваша политика должна иметь возможность отменять все изменения, когда они больше не применяются. Это по умолчанию для всех управляемых административных шаблонов. Параметры предпочтений групповой политики, возможно, потребуется явно настроить для "удалить этот элемент, когда он больше не применяется":
