समय-बम GPO कैसे करें?


22

मैं उच्च शिक्षा में बहुत काम कर रहा हूँ जहाँ एक विशिष्ट पाठ्यक्रम या घटना की अवधि के लिए कई विंडोज डोमेन सदस्यों (जैसे एक कक्षा में पीसी) को फिर से कॉन्फ़िगर करना एक सामान्य आवश्यकता है और बाद में यह कॉन्फ़िगरेशन पूर्ववत है।

जैसा कि हमारे द्वारा किए जाने वाले अधिकांश कॉन्फ़िगरेशन परिवर्तनों को समूह नीति ऑब्जेक्ट्स के माध्यम से किया जा सकता है और उन परिवर्तनों को स्वचालित रूप से उलट दिया जाता है जब जीपीओ ओयूएल स्तर पर अनलिंक या निष्क्रिय हो जाता है, यह लेने के लिए एक बहुत ही आरामदायक मार्ग है।

केवल नकारात्मक पक्ष यह है कि OUs पर बार-बार मैन्युअल लिंकिंग और जीपीओ को जोड़ने से कोर्स शुरू होने से पहले और समाप्त होने के बाद ड्यूटी पर बहुत सारे रिमाइंडर और आईटी स्टाफ की आवश्यकता होती है - कुछ ऐसा जो ऑपरेशन टीम हर समय की गारंटी नहीं दे सकती।

क्या किसी विशिष्ट GPO की वैधता के लिए एक समय सीमा निर्दिष्ट करने का कोई तरीका है?

जवाबों:


32

यह WMI फ़िल्टरिंग के माध्यम से किया जा सकता है । समूह नीति क्लाइंट WQL क्वेरी को एक संलग्न WMI फ़िल्टर से निष्पादित करेगा और केवल GPO को लागू करेगा यदि क्वेरी गैर-शून्य संख्या पंक्तियों को वापस कर देगी। तो एक WMI फ़िल्टर जाँच बनाकर यदि मौजूदा सिस्टम का समय एक निश्चित समय अंतराल के भीतर है और इस WMI फ़िल्टर को GPO से लिंक करने से आप उस टाइमबॉम्ब को चाहते हैं, जिसे आप चाहते थे।

Win32_operatingsystem WMI वर्ग एक है localdatetime ': nn: ss yyyymmdd hh' तो जैसे WQL स्ट्रिंग का उपयोग विशेषता है जो प्रारूप में एक दिया स्ट्रिंग तारीख करने के लिए तुलना की जा सकती

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

में root\CIMv2नाम स्थान सुनिश्चित करें कि जीपीओ केवल प्रणालियों जहां स्थानीय समय फ़रवरी के बीच है पर लागू किया जाएगा होगा, 20 2015 00:00:00 और फ़रवरी, 23 2015 15:00:00:

WQL फ़िल्टर को WQL स्ट्रिंग के साथ कॉन्फ़िगर करें

सुनिश्चित करें कि आपने WMI फ़िल्टर को इच्छित GPO से जोड़ा है:

लिंक WMI फ़िल्टर GPO के लिए

ध्यान रखने योग्य बातें:

  • WQL क्लाइंट पर स्थानीय दिनांक और समय का मूल्यांकन कर रहा है , जो आपके द्वारा उपयोग किए जाने वाले समय स्रोत के साथ सिंक्रनाइज़ नहीं हो सकता है या नहीं हो सकता है। क्लाइंट का समय डोमेन नियंत्रक के समय से बहुत आगे या पीछे नहीं चलेगा, अन्यथा केर्बरोस प्रमाणीकरण टूट जाएगा, लेकिन मामूली विचलन हो सकते हैं, उनके लिए खाते करें
  • समूह नीति क्लाइंट GPO परिवर्तनों के लिए जाँच करेगा और उन्हें डिफ़ॉल्ट रूप से बार-बार लागू करेगा:

    डिफ़ॉल्ट रूप से, कंप्यूटर ग्रुप पॉलिसी को हर 90 मिनट में 0 से 30 मिनट की रैंडम ऑफसेट के साथ अपडेट किया जाता है।

    तो डिफ़ॉल्ट सेटिंग्स केवल +2 घंटे की शुद्धता के लिए अनुमति देंगी। यदि आवश्यक हो तो अपडेट अंतराल को (अन्य) समूह नीति सेटिंग द्वारा बदला जा सकता है

  • आपकी नीति को लागू नहीं होने पर सभी परिवर्तनों को वापस करने में सक्षम होना चाहिए। यह सभी प्रबंधित व्यवस्थापकीय टेम्पलेट के लिए डिफ़ॉल्ट रूप से मामला है। समूह नीति प्राथमिकताएं सेटिंग को "अब लागू नहीं होने पर इस आइटम को हटाने" के लिए स्पष्ट रूप से सेट करने की आवश्यकता हो सकती है : GPP-आम-टैब


3
बहुत चालाक, यार तुमको।
मैसिमो

3
मेरे अनुभव से प्रशासनिक टेम्प्लेट्स में कुछ नीतियां हैं जो उनके द्वारा किए गए परिवर्तनों को वापस नहीं लाती हैं, इसलिए बेहतर है कि पहले कुछ परीक्षण करें ... इसके अलावा, मास्सिमो ने क्या कहा ...
एलियाडटेक

सहमत, रजिस्ट्री के लिए कोई भी अधिकार जो
अनलंकृत

आरंभ और समाप्ति समय पर एक GPupdate को ट्रिगर करने के लिए एक निर्धारित कार्य में जोड़ें और आप संभव कर सकते हैं (?) अद्यतन अंतराल को ट्विस्ट किए बिना थोड़ा और सटीक प्राप्त करें?
Get-HomeByFiveOClock

2
@mortenya प्रशासनिक टेम्प्लेट का "प्रबंधित" भाग यह सुनिश्चित करता है कि सेटिंग्स वास्तव में रजिस्ट्री हाइव के किसी अन्य उपप्रकार में बनाई गई हैं - जैसे HKLM\Software\Policiesया HKCU\Software\Policies। यदि नीति ऑब्जेक्ट कुंजी को लागू नहीं करता है या संपत्ति "नहीं कॉन्फ़िगर" के लिए सेट है, तो इन "नीति" स्थानों को साफ़ कर दिया जाता है। पुरानी शैली वाले ADM टेम्प्लेट्स जो आप सही हैं रजिस्ट्री के लिए लिखने के लिए, ये क्लाइंट की रजिस्ट्री में "टैटू" हैं और बाद में नहीं हटाए जाते हैं।
संबं धत लं क
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.