Вопрос или проблема
У меня есть две групповые политика (GPO), которые влияют на Bitlocker. Одна GPO для компьютеров с TPM и одна для компьютеров без TPM. Затем мы структурируем нашу организационную единицу (OU) в Active Directory, где отделы находятся в OU с TPM или в OU без TPM, к которым привязаны соответствующие GPO. Вот визуальное представление.
- Компьютеры
- TPM (связанная GPO с TPM)
- Финансовый отдел
- Бизнес
- Без TPM (связанная GPO “Без TPM”)
- Финансовый отдел
- Бизнес
- Пользователи
- и т.д…
Вместо того чтобы создавать OU для “TPM” и “Без TPM”, а затем дублировать одни и те же отделы в каждой родительской OU, я хочу создать фильтр WMI, который будет применять GPO “Без TPM” к соответствующим компьютерам.
Некоторые рекомендации, которые я видел, заключались в том, чтобы запросить класс Win32_SystemDriver, но имена могут различаться, и иногда состояние не всегда остановлено, если у них нет TPM.
Я пытался запросить класс Win32_Tpm в root\CIMv2\Security\MicrosoftTpm, но нет никаких данных, если у компьютера нет TPM. Что, как я понимаю, означает, что если записи не возвращаются, это приведет к тому, что фильтр WMI не будет соответствовать. Поэтому я не думаю, что смогу запросить этот класс.
Не стесняйтесь сообщить мне, если я неправ в своих рассуждениях, но кто-нибудь знает точный запрос фильтра WMI для компьютеров, которые не имеют модуля TPM?
Ответ или решение
Вопрос о фильтрации WMI для компьютеров без модуля TPM (Trusted Platform Module) является актуальным для организаций, которые стремятся оптимизировать управление групповыми политиками (GPO) в Active Directory. Ваша задача — создать правильный WMI-фильтр, который позволит применять конкретную GPO для компьютеров без TPM, не дублируя организационную структуру в Active Directory.
Что такое WMI-фильтры?
WMI (Windows Management Instrumentation) фильтры позволяют создавать условия для применения GPO в зависимости от параметров и характеристик компьютеров в сети. Это позволяет более гибко управлять политиками, минимизируя дублирование настроек.
Подходящие классы WMI
Вы правильно заметили, что класс Win32_Tpm не содержит данных на компьютерах без TPM, поэтому использование этого класса не приведет к результату. В этом случае вам следует использовать альтернативный подход.
Пример WMI-запроса
Для определения того, имеет ли компьютер модуль TPM или нет, мы можем использовать свойство TPMEnabled класса Win32_ComputerSystem. Если значение данного свойства равно False, значит TPM отсутствует. В таком случае WMI-фильтр может выглядеть следующим образом:
SELECT * FROM Win32_ComputerSystem WHERE TPMEnabled = FalseКонструкция WMI-фильтра
Для создания WMI-фильтра через консоль управления групповой политикой (GPMC) выполните следующие шаги:
- Откройте GPMC.
- Найдите раздел "WMI Filters" и создайте новый WMI-фильтр.
- Введите имя и описание вашего фильтра (например, "Компьютеры без TPM").
- В поле запроса введите предложенный выше запрос.
Применение WMI-фильтра
После создания фильтра его необходимо связать с GPO, которую вы хотите применить к компьютерам без TPM:
- Найдите вашу GPO в GPMC.
- Перейдите на вкладку "WMI Filtering".
- Выберите созданный вами WMI-фильтр из списка.
- Сохраните изменения.
Заключение
Создание WMI-фильтра для GPO, применяемой к компьютерам без TPM, позволяет упорядочить управление политиками и избежать дублирования организационной структуры в Active Directory. Использование правильного WMI-запроса значительно оптимизирует процесс управления групповыми политиками, улучшая безопасность и управление устройствами.
Если у вас возникнут дополнительные вопросы или потребуется помощь в настройке, пожалуйста, обращайтесь за консультацией.