Computer >> कंप्यूटर >  >> प्रणाली >> Windows Server

WMI फ़िल्टरिंग के साथ समूह नीति को प्रतिबंधित करना

ग्रुप पॉलिसी (जीपीओ) में डब्लूएमआई फिल्टर आपको विभिन्न नियमों का उपयोग करके ग्राहकों को अधिक लचीले ढंग से नीतियां लागू करने की अनुमति देते हैं। WMI फ़िल्टर WMI प्रश्नों का एक समूह है (WMI क्वेरी भाषा / WQL का उपयोग किया जाता है) जिसका उपयोग आप उन कंप्यूटरों को लक्षित करने के लिए कर सकते हैं जिन पर एक विशिष्ट समूह नीति लागू की जानी चाहिए। उदाहरण के लिए, WMI GPO फ़िल्टर का उपयोग करके, आप केवल Windows 10 चलाने वाले कंप्यूटरों पर OU से जुड़ी नीति लागू कर सकते हैं (ऐसे WMI फ़िल्टर वाली नीति अन्य Windows संस्करणों वाले कंप्यूटरों पर लागू नहीं होगी)।

WMI GPO फ़िल्टर किसके लिए उपयोग किए जाते हैं?

आमतौर पर, WMI . का उपयोग करके समूह नीति फ़िल्टरिंग (विंडोज मैनेजमेंट इंस्ट्रुमेंटेशन) का उपयोग तब किया जा सकता है जब एकाधिक डोमेन ऑब्जेक्ट्स (उपयोगकर्ता या कंप्यूटर) अलग ओयू के बजाय फ्लैट एडी संरचना में स्थित हों, या यदि आपको ओएस संस्करण, नेटवर्क सेटिंग्स, स्थापित सॉफ़्टवेयर के अनुसार समूह नीतियों को लागू करने की आवश्यकता है। या कोई अन्य मानदंड जिसे WMI का उपयोग करके चुना जा सकता है। जब क्लाइंट ऐसी समूह नीति को संसाधित करता है, तो Windows निर्दिष्ट WMI क्वेरी के अनुपालन के लिए अपनी स्थिति की जाँच करेगा, और यदि फ़िल्टर शर्तें पूरी होती हैं, तो GPO इस कंप्यूटर पर लागू किया जाएगा।

WMI समूह नीति फ़िल्टर पहली बार Windows XP/Server 2003 में दिखाई दिए, और नवीनतम Windows संस्करणों (Windows Server 2019, 2016 और Windows 10, 8.1) में उपलब्ध हैं।

नया WMI फ़िल्टर बनाएं और उसे GPO से लिंक करें

एक नया WMI फ़िल्टर बनाने के लिए, समूह नीति प्रबंधन खोलें कंसोल (gpmc.msc और फ़ॉरेस्ट पर जाएँ -> डोमेन -> woshub.com -> WMI फ़िल्टर . इस खंड में AD डोमेन के सभी WMI फ़िल्टर हैं। एक नया WMI फ़िल्टर बनाएं (नया )।

WMI फ़िल्टरिंग के साथ समूह नीति को प्रतिबंधित करना

फ़िल्टर का नाम और उसका विवरण टाइप करें (वैकल्पिक)। फ़िल्टर में WMI क्वेरी कोड जोड़ने के लिए, जोड़ें . क्लिक करें बटन, WMI नेमस्पेस का नाम निर्दिष्ट करें (डिफ़ॉल्ट रूप से, root\CIMv2 ) और WMI कोड निर्दिष्ट करें।

निम्नलिखित WMI क्वेरी प्रारूप का उपयोग किया जाता है:

Select * from <WMI Class> WHERE <Property> = <Value>

इस उदाहरण में, मैं एक WMI फ़िल्टर बनाना चाहता हूँ जो GPO को केवल Windows 10 चलाने वाले कंप्यूटरों पर लागू करने की अनुमति देता है। WMI क्वेरी इस तरह दिख सकती है:

Select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1" जैसा है

WMI फ़िल्टरिंग के साथ समूह नीति को प्रतिबंधित करना

बनाए गए WMI फ़िल्टर msWMI-Som . में संग्रहीत हैं DC=…, CN=System, CN=WMIPolicy, CN=SOM अनुभाग में सक्रिय निर्देशिका डोमेन के वर्ग ऑब्जेक्ट , आप adsiedit.msc का उपयोग करके उन्हें ढूंढ और संपादित कर सकते हैं।

WMI फ़िल्टरिंग के साथ समूह नीति को प्रतिबंधित करना

WMI फ़िल्टर बनाने के बाद, आप इसे किसी विशिष्ट GPO से लिंक कर सकते हैं। GPMC कंसोल में और दायरे . पर वांछित नीति खोजें टैब, WMI फ़िल्टरिंग . में अनुभाग ड्रॉप-डाउन सूची में, अपना WMI फ़िल्टर चुनें। इस उदाहरण में, मैं केवल Windows 10 चलाने वाले कंप्यूटरों पर प्रिंटर असाइनमेंट नीति लागू करना चाहता हूं।

WMI फ़िल्टरिंग के साथ समूह नीति को प्रतिबंधित करना

क्लाइंट पर इस नीति के लागू होने की प्रतीक्षा करें, या gpupdate /force . कमांड के साथ इसे मैन्युअल रूप से अपडेट करें . क्लाइंट पर लागू नीतियों का विश्लेषण करते समय, gpresult /r कमांड का उपयोग करें। यदि नीति क्लाइंट को प्रभावित करती है, लेकिन WMI फ़िल्टर प्रतिबंधों के कारण लागू नहीं होती है, तो ऐसी नीति की स्थिति फ़िल्टरिंग:अस्वीकृत (WMI फ़िल्टर) होगी। gpresult रिपोर्ट में।

WMI फ़िल्टरिंग के साथ समूह नीति को प्रतिबंधित करना

GPO WMI फ़िल्टरिंग उदाहरण

आइए सबसे अधिक उपयोग किए जाने वाले WMI GPO फ़िल्टर के विभिन्न उदाहरणों पर एक नज़र डालें।

WMI फ़िल्टर की मदद से आप OS का प्रकार चुन सकते हैं:

  • ProductType=1 – कोई भी डेस्कटॉप Windows संस्करण;
  • उत्पाद प्रकार=2 - सक्रिय निर्देशिका डोमेन नियंत्रक;
  • उत्पाद प्रकार=3 - विंडोज सर्वर।

विंडोज़ संस्करण:

  • विंडोज सर्वर 2016 और विंडोज 10 — 10%
  • Windows Server 2012 R2 और Windows 8.1 — 6.3%
  • विंडोज सर्वर 2012 और विंडोज 8 — 6.2%
  • Windows Server 2008 R2 और Windows 7 — 6.1%
  • Windows Server 2008 और Windows Vista - 6.0%
  • विंडोज सर्वर 2003 — 5.2%
  • Windows XP — 5.1%
  • विंडोज 2000 - 5.0%

आप तार्किक ऑपरेटरों का उपयोग करके WMI क्वेरी में शर्तों को जोड़ सकते हैं AND और या . केवल Windows Server 2016 चलाने वाले सर्वर पर नीति लागू करने के लिए, WMI क्वेरी कोड इस प्रकार होगा:

select * from Win32_OperatingSystem WHERE Version LIKE "10.%" AND (ProductType = "2" or ProductType = "3" )

विंडोज 8.1 के 32-बिट संस्करणों का चयन करने के लिए:

select * from Win32_OperatingSystem WHERE Version like "6.3%" AND ProductType="1" AND OSArchitecture = "32-bit"
है।

GPO को केवल 64-बिट OS पर लागू करने के लिए:

Select * from Win32_Processor where AddressWidth = "64"

आप एक विशिष्ट बिल्ड नंबर के साथ विंडोज 10 का चयन कर सकते हैं, उदाहरण के लिए विंडोज 10 1803:

select Version from Win32_OperatingSystem WHERE Version like “10.0.17134” AND ProductType=”1″

नीति केवल VMWare वर्चुअल मशीन पर लागू करें:

SELECT Model FROM Win32_ComputerSystem WHERE Model = “VMWare Virtual Platform”

केवल लैपटॉप पर नीति लागू करें (SCCM में लैपटॉप खोजने के लिए WMI क्वेरी लेख देखें):

select * from Win32_SystemEnclosure where ChassisTypes = "8" or ChassisTypes = "9" or ChassisTypes = "10" or ChassisTypes = "11" or ChassisTypes = "12" or ChassisTypes = "14" or ChassisTypes = "18" or ChassisTypes = "21"

WMI फ़िल्टर, जो केवल उन कंप्यूटरों पर लागू होता है जिनके नाम "lon-pc" से शुरू होते हैं (उदाहरण के लिए, इन उपकरणों पर USB ड्राइव को अक्षम करने के लिए):

SELECT Name FROM Win32_ComputerSystem WHERE Name LIKE ‘lon-pc%’

GPO से IP सबनेट को लक्षित करने के लिए WMI फ़िल्टर का उपयोग करने का एक अन्य उदाहरण आलेख में वर्णित है IP सबनेट पर GPO लागू करने के लिए WMI फ़िल्टर का उपयोग करें। उदाहरण के लिए, एक से अधिक IP सबनेट में क्लाइंट के लिए नीति लागू करने के लिए, WMI क्वेरी का उपयोग करें:

Select * FROM Win32_IP4RouteTable WHERE (Mask='255.255.255.255' AND (Destination Like 10.1.1.%' OR Destination Like '10.1.2.%'))

केवल 1 जीबी से अधिक रैम वाले उपकरणों का चयन करने के लिए:

Select * from WIN32_ComputerSystem where TotalPhysicalMemory >= 1073741824

WMI फ़िल्टर यह सत्यापित करने के लिए कि Internet Explorer 11 स्थापित है:

SELECT path,filename,extension,version FROM CIM_DataFile WHERE path="\\Program Files\\Internet Explorer\\" AND filename="iexplore" AND extension="exe" AND version>"11.0"

पावरशेल का उपयोग करके GPO WMI फ़िल्टर का परीक्षण करें

WMI क्वेरी बनाते समय, कभी-कभी आपको कंप्यूटर पर विभिन्न WMI मापदंडों के मान प्राप्त करने की आवश्यकता होती है। आप Get-WMIObject . का उपयोग करके यह जानकारी प्राप्त कर सकते हैं सीएमडीलेट। उदाहरण के लिए, मुझे Win32_OperatingSystem वर्ग की WMI विशेषताएँ और मान प्रदर्शित करने की आवश्यकता है:

Get-WMIObject Win32_OperatingSystem

SystemDirectory : C:\WINDOWS\system32
Organization    :
BuildNumber     : 17134
RegisteredUser  : Windows User
SerialNumber    : 00331-10000-00001-AA146
Version         : 10.0.17134

सभी उपलब्ध वर्ग गुण प्रदर्शित करने के लिए:

Get-WMIObject Win32_OperatingSystem| Select *

WMI फ़िल्टरिंग के साथ समूह नीति को प्रतिबंधित करना

आप कंप्यूटर पर WMI फ़िल्टर का परीक्षण करने के लिए PowerShell का उपयोग कर सकते हैं। मान लीजिए आपने एक जटिल WMI क्वेरी लिखी है और यह जांचना चाहते हैं कि कंप्यूटर इस क्वेरी से मेल खाता है या नहीं। उदाहरण के लिए, आपने कंप्यूटर पर IE 11 की जांच के लिए WMI फ़िल्टर बनाया है। आप get-wmiobject . का उपयोग करके लक्ष्य कंप्यूटर पर इस WMI क्वेरी का परीक्षण कर सकते हैं cmdlet:
get-wmiobject -query 'SELECT * FROM CIM_DataFile WHERE path="\\Program Files\\Internet Explorer\\" AND filename="iexplore" AND extension="exe" AND version LIKE "11.%"'

यदि यह कमांड कुछ देता है, तो कंप्यूटर क्वेरी शर्तों को पूरा करता है। अगर get-wmiobject कमांड कुछ भी नहीं लौटाता है, तो कंप्यूटर WMI फ़िल्टर क्वेरी से मेल नहीं खाता है।>

Compressed : False
Encrypted  : False
Size       :
Hidden     : False
Name       : c:\program files\internet explorer\iexplore.exe
Readable   : True
System     : False
Version    : 11.0.17134.1
Writeable  : True

WMI फ़िल्टरिंग के साथ समूह नीति को प्रतिबंधित करना

इसका मतलब है कि IE 11 कंप्यूटर पर स्थापित है और इस तरह के WMI फ़िल्टर वाला GPO इस कंप्यूटर पर लागू किया जाएगा।

इसलिए, हमने देखा कि केवल उन कंप्यूटरों पर GPO लागू करने के लिए WMI फ़िल्टर का उपयोग कैसे करें जो विभिन्न WMI प्रश्नों को पूरा करते हैं। उन कारणों का विश्लेषण करते समय WMI फ़िल्टर की उपस्थिति को ध्यान में रखना आवश्यक है जिनके लिए कंप्यूटर पर कुछ GPO लागू नहीं किया जाता है।


  1. Windows 10 में ग्रुप पॉलिसी द्वारा ब्लॉक किए गए विंडोज डिफेंडर को कैसे ठीक करें?

    विंडोज डिफेंडर आपके ऑपरेटिंग सिस्टम की सुरक्षा के लिए माइक्रोसॉफ्ट का बिल्ट-इन एंटी-वायरस है। इसे अपने घर की चारदीवारी की तरह समझें। यह आपके कंप्यूटर को प्रभावित करने वाले वायरस और मैलवेयर को तब तक रोकता है जब तक कि यह संदेश दिखाई न दे विंडोज डिफेंडर समूह नीति द्वारा बंद कर दिया गया है। उह ओह! इस सम

  1. विंडोज 10 में स्थानीय समूह नीति संपादक खोलने के 5 तरीके

    स्थानीय समूह नीति संपादक आपको विभिन्न एकल यूजर इंटरफेस के माध्यम से आपके विंडोज डिवाइस पर सेटिंग्स। आप रजिस्ट्री को संशोधित किए बिना उपयोगकर्ता कॉन्फ़िगरेशन और कंप्यूटर कॉन्फ़िगरेशन में परिवर्तन कर सकते हैं। यदि आप सही परिवर्तन करते हैं, तो आप उन सुविधाओं को आसानी से अनलॉक और अक्षम कर सकते हैं जिन्ह

  1. Windows 10 - कोई समूह नीति संपादक नहीं? पॉलिसी प्लस!

    यदि आप विंडोज में कुछ प्रशासनिक कार्यक्षमता को सक्षम, प्रतिबंधित या नियंत्रित करना चाहते हैं, तो ऐसे कई तरीके हैं जिनसे आप ट्वीक लागू कर सकते हैं। लेकिन अंत में, यह सब रजिस्ट्री परिवर्तन के लिए नीचे आता है। आप इन्हें एक रजिस्ट्री संपादक (regedit.exe) के साथ मैन्युअल रूप से बना सकते हैं या आप उन्हें