Wie bombardiere ich ein Gruppenrichtlinienobjekt mit der Zeit?

22

Ich arbeite viel in der Hochschulbildung, wo es ziemlich häufig erforderlich ist, eine Reihe von Windows-Domänenmitgliedern (z. B. PCs in einem Klassenzimmer) für die Dauer eines bestimmten Kurses oder Ereignisses neu zu konfigurieren und diese Konfiguration anschließend rückgängig zu machen.

Da die meisten von uns angeforderten Konfigurationsänderungen über Gruppenrichtlinienobjekte vorgenommen werden können und diese Änderungen automatisch rückgängig gemacht werden, wenn das Gruppenrichtlinienobjekt auf Organisationseinheitsebene nicht verbunden oder deaktiviert ist, ist dies ein sehr komfortabler Weg.

Der einzige Nachteil ist, dass das wiederholte manuelle Verknüpfen und Aufheben der Verknüpfung von Gruppenrichtlinienobjekten in Organisationseinheiten viele Erinnerungen und IT-Mitarbeiter erfordert, die vor und nach dem Beginn der Kurse im Einsatz sind. Dies kann das Betriebsteam nicht immer garantieren.

Gibt es eine Möglichkeit, einen Zeitrahmen für die Gültigkeit eines bestimmten Gruppenrichtlinienobjekts anzugeben?

das-wabbit
quelle

Antworten:

32

Dies kann mittels WMI-Filterung erfolgen . Der Gruppenrichtlinienclient führt die WQL-Abfrage von einem angehängten WMI-Filter aus und wendet das Gruppenrichtlinienobjekt nur dann an, wenn die Abfrage eine von Null verschiedene Anzahl von Zeilen zurückgibt. Wenn Sie einen WMI-Filter erstellen, der überprüft, ob die aktuelle Systemzeit innerhalb eines bestimmten Zeitintervalls liegt, und diesen WMI-Filter mit dem Gruppenrichtlinienobjekt verknüpft, möchten Sie eine Zeitbombe erstellen, die genau Ihren Wünschen entspricht.

Die WMI-Klasse win32_operatingsystem verfügt über ein localdatetime- Attribut, das mit einem bestimmten String-Datum im Format 'yyyymmdd hh: nn: ss' verglichen werden kann. Verwenden Sie dazu den WQL-String wie

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

im root\CIMv2Namespace würde sicherstellen, dass das Gruppenrichtlinienobjekt nur auf Systeme angewendet wird, bei denen die Ortszeit zwischen dem 20. Februar 2015, 00:00:00 und dem 23. Februar 2015, 15:00:00 Uhr liegt:

Konfigurieren Sie den WMI-Filter mit einer WQL-Zeichenfolge

Stellen Sie sicher, dass Sie den WMI-Filter mit dem gewünschten Gruppenrichtlinienobjekt verknüpft haben:

Verknüpfen Sie den WMI-Filter mit dem Gruppenrichtlinienobjekt

Dinge zu beachten:

  • Der WQL wertet das lokale Datum und die Uhrzeit auf dem Client aus, die möglicherweise mit der von Ihnen beabsichtigten Zeitquelle synchronisiert sind oder nicht. Die Zeit des Clients wird nicht zu weit vor oder hinter der Zeit des Domänencontrollers liegen. Andernfalls wird die Kerberos-Authentifizierung unterbrochen, es kann jedoch zu geringfügigen Abweichungen kommen, berücksichtigen Sie diese
  • Der Gruppenrichtlinienclient prüft, ob Änderungen an den Gruppenrichtlinienobjekten vorgenommen wurden, und wendet sie standardmäßig eher selten erneut an:

    Standardmäßig wird die Computergruppenrichtlinie alle 90 Minuten im Hintergrund mit einem zufälligen Versatz von 0 bis 30 Minuten aktualisiert.

    Die Standardeinstellungen erlauben also nur eine Genauigkeit von +2 Stunden. Das Aktualisierungsintervall kann bei Bedarf durch eine (andere) Gruppenrichtlinieneinstellung geändert werden.

  • Ihre Richtlinie muss in der Lage sein, alle Änderungen rückgängig zu machen, wenn sie nicht mehr angewendet werden. Dies ist standardmäßig für alle verwalteten administrativen Vorlagen der Fall. Möglicherweise müssen die Einstellungen für Gruppenrichtlinieneinstellungen explizit festgelegt werden, um "dieses Element zu entfernen, wenn es nicht mehr angewendet wird" : GPP-Common-Tab

das-wabbit
quelle
3
Sehr klug, ein großes Lob an Sie.
Massimo
3
Aus meiner Erfahrung gibt es einige Richtlinien in administrativen Vorlagen, die die vorgenommenen Änderungen nicht
rückgängig machen. Daher sollten Sie
Einverstanden, alle Einstellungen, die das Recht auf die Registrierung haben, werden nicht einfach auf den Standardwert zurückgesetzt, wenn sie nicht
verlinkt sind
Fügen Sie eine geplante Aufgabe hinzu, um ein GPupdate zu Start- und Endzeiten auszulösen, und Sie könnten möglicherweise (?) Etwas präziser werden, ohne das Aktualisierungsintervall anpassen zu müssen.
Get-HomeByFiveOClock
2
@mortenya der "verwaltete" Teil der administrativen Vorlagen stellt sicher, dass die Einstellungen tatsächlich in einem anderen Teilbaum des Registrierungsstocks vorgenommen werden - zB HKLM\Software\Policiesoder HKCU\Software\Policies. Diese "Richtlinien" -Positionen werden gelöscht, wenn das Richtlinienobjekt, für das der Schlüssel festgelegt ist, nicht mehr gilt oder die Eigenschaft auf "Nicht konfiguriert" festgelegt ist. Für ADM-Vorlagen alten Stils, die Sie mit Recht in die Registrierung schreiben, werden diese in die Registrierung des Clients "tätowiert" und anschließend nicht entfernt. Siehe auch
the-wabbit