如何在gpmc下使用WMI篩選器,讓群組原則套用至特定的作業系統?

以Windows 防火牆為例,在Windows XP 下有傳統的Windows 防火牆,而在Windows Vista及Windows 7下提供了更進階功能的Windows 防火牆。如果IT想要設定二條Policy,第一條policy是使用新的Windows Firewall policy,希望只套用在Windows Vista及Windows 7的作業系統,而另一條Policy設定傳統的Windows Firewall policy,只套用在Windows XP,可以參考以下的做法。

1.在DC 上,開啟GPMC,找到WMI篩選器。

clip_image002

2.右鍵點選「新增」,在名稱裏輸入您指定的名稱(例如Windows 7 /Vista),再點選「新增」。

clip_image004

3.在下方的查詢裏,請直接貼入Select * from Win32_OperatingSystem Where (Caption Like "%Microsoft Windows 7%") OR (Caption Like "%Microsoft® Windows Vista%") 文字 ,再按下「確定」,再到步驟2的圖中,按下「儲存」。

clip_image006

4.重覆步驟2和3,新增一條For Windows XP的規則,其內容為Select * from Win32_OperatingSystem Where (Caption Like "%Microsoft Windows XP%")

clip_image008

5.在Group policy上,建立二條Policy,分別是針對舊的防火牆和新的防火牆做設定。假設這條Policy要套在Vista和Win7上,請在右下方的WMI篩選上以下拉選單選到剛剛步驟3產生的條件。同樣的,假設您的policy是要套在XP上,請選到for XP的條件。

clip_image010

如此,即使 OU下同時有不同版本的作業系統,即使這二條policy同時和此 OU產生連結,當Client電腦開機後,會依照WMI篩選器的條件,只套用符合規定的policy來套用。