Erstellen von WMI-Filtern für Gruppenrichtlinienobjekte

Betrifft

  • Windows 10
  • Windows Server 2016

Wenn Sie sicherstellen möchten, dass jedes Gruppenrichtlinienobjekt, das einer Gruppe zugeordnet ist, nur auf Geräte angewendet werden kann, auf denen die richtige Version von Windows ausgeführt wird, verwenden Sie das MMC-Snap-in Gruppenrichtlinienverwaltung, um dem GPO WMI-Filter zu erstellen und zuzuweisen. Obwohl Sie für jedes GPO eine separate Mitgliedschaftsgruppe erstellen können, müssen Sie die Mitgliedschaften der verschiedenen Gruppen verwalten. Verwenden Sie stattdessen nur eine einzige Mitgliedschaftsgruppe, und lassen Sie WMI-Filter automatisch sicherstellen, dass das richtige Gruppenrichtlinienobjekt auf jedes Gerät angewendet wird.

Administrative Anmeldeinformationen

Um diese Schritte ausführen zu können, müssen Sie ein Mitglied der Gruppe der Domänenadministratoren sein oder anderweitig über die Berechtigung zum Ändern der GPOs verfügen.

Erstellen Sie zunächst den WMI-Filter, und konfigurieren Sie ihn so, dass er nach einer bestimmten Version (oder Versionen) des Windows-Betriebssystems sucht.

So erstellen Sie einen WMI-Filter, der eine bestimmte Version von Windows abfragt

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

  2. Erweitern Sie im Navigationsbereich Gesamtstruktur: YourForestName, erweitern Sie Domänen, erweitern Sie IhrDomänenname, und klicken Sie dann auf WMI-Filter.

  3. Klicken Sie auf Aktionund dann auf neu.

  4. Geben Sie im Textfeld Name den Namen des WMI-Filters ein.

    Hinweis: verwenden Sie unbedingt einen Namen, der den Zweck des Filters eindeutig angibt. Überprüfen Sie, ob Ihre Organisation über eine Benennungskonvention verfügt.

  5. Geben Sie im Textfeld Beschreibung eine Beschreibung für den WMI-Filter ein. Wenn der Filter beispielsweise Domänencontroller ausschließt, sollten Sie dies in der Beschreibung angeben.

  6. Klicken Sie auf Hinzufügen.

  7. Belasse den Namespace -Wert auf root\CIMv2.

  8. Geben Sie im Textfeld Abfrage Folgendes ein:

    select * from Win32_OperatingSystem where Version like "6.%"
    

    Diese Abfrage gibt true für Geräte zurück, auf denen mindestens Windows Vista und Windows Server2008 ausgeführt werden. Verwenden Sie "6,2%", um einen Filter für Windows 8 und Windows Server 2012 einzurichten. Verwenden Sie für Windows 10 und Windows Server 2016 "10.%". Wenn Sie mehrere Versionen angeben möchten, kombinieren Sie Sie mit oder, wie in der folgenden Abbildung dargestellt:

    ... where Version like "6.1%" or Version like "6.2%"
    

    Wenn Sie die Abfrage nur auf Clients oder nur auf Server einschränken möchten, fügen Sie eine Klausel hinzu, die den ProductType-Parameter enthält. Wenn Sie nur nach Clientbetriebssystemen wie Windows 8 oder Windows7 filtern möchten, verwenden Sie nur ProductType = "1". Bei Server Betriebssystemen, bei denen es sich nicht um Domänencontroller handelt, verwenden Sie ProductType = "3". Verwenden Sie bei Domänencontrollern nur ProductType = "2". Dies ist eine nützliche Unterscheidung, da Sie häufig verhindern möchten, dass Ihre GPOs auf die Domänencontroller in Ihrem Netzwerk angewendet werden.

    Die folgende Klausel gibt für alle Geräte, die keine Domänencontroller sind, " true " zurück:

    ... where ProductType="1" or ProductType="3"
    

    Die folgende vollständige Abfrage gibt für alle Geräte, auf denen Windows 10 ausgeführt wird, true zurück, und gibt für alle Server Betriebssysteme oder andere Clientbetriebssysteme false zurück.

    select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"
    

    Mit der folgenden Abfrage wird für jedes Gerät, auf dem Windows Server 2016 ausgeführt wird, mit Ausnahme von Domänencontrollern true zurückgegeben:

    select * from Win32_OperatingSystem where Version like "10.%" and ProductType="3"
    
  9. Klicken Sie auf OK , um die Abfrage im Filter zu speichern.

  10. Klicken Sie auf Speichern , um den abgeschlossenen Filter zu speichern.

Hinweis

Wenn Sie mehrere Abfragen im gleichen WMI-Filter verwenden, müssen diese Abfragen alle true zurückgeben, damit die Filteranforderungen erfüllt werden, und das Gruppenrichtlinienobjekt angewendet werden.

So verknüpfen Sie einen WMI-Filter mit einem Gruppenrichtlinienobjekt

Nachdem Sie einen Filter mit der richtigen Abfrage erstellt haben, verknüpfen Sie den Filter mit dem Gruppenrichtlinienobjekt. Filter können gleichzeitig mit vielen GPOs wieder verwendet werden. Sie müssen für jedes GPO keine neue erstellen, wenn eine vorhandene Person Ihren Anforderungen entspricht.

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

  2. Suchen Sie im Navigationsbereich, und klicken Sie dann auf das Gruppenrichtlinienobjekt, das Sie ändern möchten.

  3. Wählen Sie unter WMI-Filterungden richtigen WMI-Filter aus der Liste aus.

  4. Klicken Sie auf Ja , um den Filter zu akzeptieren.