GPO를 시한 폭격하는 방법?


22

특정 코스 나 이벤트 기간 동안 여러 Windows 도메인 구성원 (예 : 교실의 PC)을 재구성하고 나중에이 구성을 취소하는 것이 일반적으로 요구되는 고등 교육에서 많은 작업을 수행하고 있습니다.

우리가 요청한 대부분의 구성 변경은 그룹 정책 개체를 통해 수행 될 수 있으며 OU 수준에서 GPO가 연결 해제되거나 비활성화 될 때 해당 변경 사항이 자동으로 취소되므로 매우 편리한 방법입니다.

유일한 단점은 OU에서 GPO를 반복적으로 수동으로 연결하고 연결을 끊기 위해서는 코스가 시작되기 전과 끝날 때까지 많은 알림과 IT 직원이 필요하다는 것입니다. 운영 팀은 항상 보장 할 수없는 것입니다.

특정 GPO의 유효 기간을 지정하는 방법이 있습니까?

답변:


32

이는 WMI 필터링을 통해 수행 할 수 있습니다 . 그룹 정책 클라이언트는 연결된 WMI 필터에서 WQL 쿼리를 실행하고 쿼리가 0이 아닌 행을 반환하는 경우에만 GPO를 적용합니다. 따라서 현재 시스템 시간이 주어진 시간 간격 내에 있는지 확인하고이 WMI 필터를 원하는 폭탄으로 GPO에 연결하면 WMI 필터를 만들 수 있습니다.

의 Win32_OperatingSystem WMI 클래스는이 localdatetime의 '윈 : SS YYYYMMDD hh가'그래서 WQL 문자열 등을 사용하여 형식의 지정된 문자열 날짜에 비교 될 수 속성을

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

root\CIMv2네임 스페이스, 20 2015 00:00:00 2 월 (23) 2015 15시 0분 0초을 GPO는 현지 시간 2 월 사이에 시스템에 적용 될 수 있는지 확인합니다 :

WQL 문자열로 WMI 필터 구성

WMI 필터를 원하는 GPO에 연결했는지 확인하십시오.

WMI 필터를 GPO에 연결

명심해야 할 사항 :

  • WQL은 클라이언트 에서 현지 날짜 및 시간을 평가하고 있으며 이는 사용하려는 시간 소스와 동기화되거나 동기화되지 않을 수 있습니다. 클라이언트 시간이 도메인 컨트롤러 시간보다 너무 앞뒤로 실행되지 않습니다. 그렇지 않으면 Kerberos 인증이 중단되지만 사소한 편차가있을 수 있습니다.
  • 그룹 정책 클라이언트는 기본적으로 GPO 변경 사항을 확인하고 자주 적용하지 않습니다.

    기본적으로 컴퓨터 그룹 정책은 90 분마다 백그라운드에서 업데이트되며 임의 오프셋은 0 ~ 30 분입니다.

    따라서 기본 설정은 +2 시간의 정밀도 만 허용합니다. 필요한 경우 (다른) 그룹 정책 설정으로 업데이트 간격 을 변경할 수 있습니다 .

  • 더 이상 적용되지 않으면 정책이 모든 변경 사항을 되돌릴 수 있어야합니다. 기본적으로 모든 관리되는 관리 템플릿의 경우입니다. "더 이상 적용되지 않으면이 항목을 제거"하도록 그룹 정책 기본 설정을 명시 적으로 설정해야 할 수 있습니다 . GPP 공통 탭


3
매우 영리한, 당신에게 kudos.
Massimo

3
내 경험상 관리 템플릿에는 변경 한 내용을 되 돌리지 않는 정책이 있으므로 먼저 테스트를 수행하는 것이 좋습니다. 또한 Massimo의 말 ...
EliadTech

동의합니다. 레지스트리에 대한 모든 설정은 연결이
끊어졌을

예약 된 작업을 추가하여 시작 및 종료 시간에 GPupdate를 트리거하면 업데이트 간격을 조정하지 않고도 좀 더 정밀하게 할 수 있습니까?
Get-HomeByFiveOClock

2
@mortenya 관리 템플릿의 "관리되는"부분은 설정이 레지스트리 하이브의 다른 하위 트리에서 실제로 이루어 지도록합니다 (예 : HKLM\Software\Policies또는) HKCU\Software\Policies. 이 "정책" 위치는 키가 더 이상 적용되지 않는 정책 개체 또는 속성이 "구성되지 않음"으로 설정된 경우 지워집니다. 레지스트리에 쓰는 기존 스타일의 ADM 템플릿의 경우 클라이언트 레지스트리에 "문신"되어 나중에 제거되지 않습니다. 관련 : serverfault.com/questions/566180
the-wabbit
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.