Проверка применения Microsoft WMI фильтров в GPO

Обновлено 14.03.2019

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами разобрали установку принтеров с помощью средств групповой политики. Сегодня мы разберем вопрос, как проверять применение фильтров WMI в GPO политике. Рассмотрим удобные, бесплатные инструменты и научимся экономить свое время. Если вы часто экспериментируете с различными выборками и фильтрацией GPO, то этот материал для вас самое то.

Что такое WMI фильтр, мы уже подробно рассматривали, напоминаю вам прошлую ситуацию. у нас была задача в групповой политике произвести фильтрацию ее применения по ноутбукам. Там был создан специальный Microsoft Windows WMI запрос, который по определенным параметрам отсеивал участников. Перед применением политики, всегда хочется ее проверить и понять отработает она по вашему критерию или нет. Если у вас есть тестовый стенд с виртуальными машинами, то это хорошо, но может быть ситуация, что они могут не помочь, например в случае, тестирования политики с настройками WI-FI. Вот для таких вещей есть специальные инструменты позволяющие вам выполнить вашу задумку.

И так, у меня есть политика "WIFI профиль Pyatilistnik.Work" в задачи которой входит создание на ноутбуках компании WIFI сетей с нужными SSID и настройками. К политике настроен Microsoft WMI фильтр, именно его я и буду тестировать на применение к настоящим ноутбукам, не линкуя пока нужной политики.

Утилита WMI Filter Validation Utility

WMI Filter Validation Utility - Эта утилита была создана, чтобы помочь проверить, применяется ли определенный фильтр WMI к определенному компьютеру (или пользователю, вошедшему в систему на этом компьютере). Инструмент возвращает список фильтров WMI, определенных для данного домена, GPO, с которой они связаны, и запрос WMI, содержащийся в них. Если вы щелкнете правой кнопкой мыши по определенному фильтру, вы можете запустить мастер, который позволит вам подключиться к целевому компьютеру и выполнить запрос к компьютеру, чтобы определить, будет ли фильтр иметь значение true или false на этом конкретном компьютере (или пользователя вошедшего в систему). Если значение фильтра равно true, это означает, что объект групповой политики, связанный с этим фильтром, будет применен. Если фильтр оценивается как ложный, объект групповой политики не будет применяться. Это быстрый и простой способ, без необходимости запуска модели RSOP, определить применяется ли фильтр или нет. Инструмент также позволяет распечатывать список фильтров WMI, определенных в домене.

Запускаете утилиту, обязательно от имени учетной записи. у которой есть права на доступ к нужному вам компьютеру. Напоминаю делается, это с зажатой клавишей Shift и правым кликом по исполняемому файлу, выбрав из контекстного меню пункт "Запуск от имени другого пользователя"

У вас откроется интерфейс WMI Filter Validation Utility. Чтобы получить все текущие фильтры WMI, вам необходимо нажать кнопку "Retrieve". В моем примете в списке появилась одна записи. Вы увидите имя фильтра, его описание, сам WQL запрос и применен ли он к политике, в моем случае да, под названием "WIFI профиль Pyatilistnik.Work".

Щелкаем по нужному фильтру Microsoft Windows WMI и нажимаем "Validate".

У вас откроется окно "Validate Wizard". От вас потребуется ввести DNS-имя или IP-адрес устройства. Так же хочу отметить оно должно у вас отвечать на PING пакеты иначе WMI Filter Validator не сможет отработать.

Если компьютер не будет доступен, то вы получите сообщение "Ping Failed: Make sure Host is running and avaliable".

Если все хорошо, то нажимаем "Validate Now".

И так, если данный WMI фильтр применим к вашему подопытному, и он соответствует всем его критериям, то вы увидите статус TRUE, если нет, то будет FALSE. TRUE показывает, что ваша выборка по критериям подходит для данного компьютера и к нему может быть применена групповая политика из фильтруемого GPO.

Теперь еще осталось протестировать применение политики фильтрации WMI, через утилиту Gpresult на конечном компьютере. Для этого откройте на тестовом стационарном компьютере или виртуальной машине, командную строку от имени администратора. Введите команду, которая покажет применяемые групповые политики для компьютера:

После вывода команды, найдите раздел "Следующие политики GPO не были применены, так как они отфильтрованы" и видно, что в скобках есть (фильтр WMI).

На этом у меня все, в статье мы разобрали и научились проверять применение фильтров WMI к нужным компьютерам и серверам. С вами был Иван Семин. автор и создатель IT блога Pyatilistnik.org.