Зазвичай об'єкти групової політики призначаються на контейнер (домен, сайт або OU) і застосовуються до всіх об'єктів в цьому контейнері. При грамотно організованій структурі домена цього цілком достатньо, проте іноді потрібно додатково обмежити застосування політик певною групою об'єктів.Для цього можна використовувати два типи фільтрів.

Фільтри безпеки

Фільтри безпеки дозволяють обмежити застосування політик певною групою безпеки. Для прикладу візьмемо GPO2, за допомогою якого проводиться централізована настройка меню Пуск на робочих станціях з Windows 8.1 \ Windows 10. GPO2 призначений на OU Employees і застосовується до всіх без винятку користувачам.

тепер перейдемо на вкладку «Scope», де в розділі «Security Filtering» вказані групи, до яких може бути застосований даний GPO. За замовчуванням тут вказується група Authenticated Users. Це означає, що політика може бути застосована до будь-якого користувача або комп'ютера, що успішно пройшов аутентифікацію в домені.

Насправді кожен GPO має свій список доступу, який можна побачити на вкладці «Delegation» .

Для застосування політики об'єкт повинен мати права на її читання (Read) і застосування (Apply group policy), які і є у групи Authenticated Users. Відповідно для того, щоб політика застосовувалася до всіх, а тільки до певної групи, необхідно видалити зі списку Authenticated Users, потім додати потрібну групу і видати їй відповідні права.

Так в нашому прикладі політика може застосовуватися тільки до групи Accounting.

WMI фільтри

Windows Management Instrumentation (WMI) - один з найбільш потужних інструментів для управління операційною системою Windows. WMI містить величезну кількість класів, за допомогою яких можна описати практично будь-які параметри користувача і комп'ютера.Подивитися всі наявні класи WMI у вигляді списку можна за допомогою PowerShell, виконавши команду:

Get-WmiObject -List

Для прикладу візьмемо клас Win32_OperatingSystem, який відповідає за властивості операційної системи. Припустимо, що потрібно відфільтрувати всі операційні системи крім Windows 10.Заходимо на комп'ютер зі встановленою Window 10, відкриваємо консоль PowerShell і виводимо ім'я, версію і тип операційної системи за допомогою команди:

Get-WmiObject -Class Win32_OperatingSystem | fl Name, Version, ProductType

Для фільтра використовуємо версію і тип ОС. Версія однакова для клієнтських і серверних ОС і визначається так:

• Window Server 2016 \ Windows 10 - 10.0
• Window Server 2012 R2 \ Windows 8.1 - 6.3
• Window Server 2012 \ Windows 8 - 6.2
• Window Server 2008 R2 \ Windows 7 - 6.1
• Window Server 2008 \ Windows Vista - 6.0

Тип продукту відповідає за призначення комп'ютера і може мати 3 значення:

• 1 - робоча станція;
• 2 - контролер домену;
• 3 - сервер.

Тепер переходимо безпосередньо до створення фільтра.Для цього відкриваємо оснащення "Group Policy Management» і переходимо до розділу «WMI Filters». Кількома на ньому правою клавішею миші і в контекстному меню вибираємо пункт «New».

У відкритому вікні даємо фільтру ім'я і опис. Потім тиснемо кнопку «Add» і поле «Query» вводимо WQL запит, який і є основою WMI фільтра.Нам необхідно відібрати ОС версії 10.0 з типом 1, відповідно запит буде виглядати так:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0%" AND ProductType = "1"

Примітка. Windows Query Language (WQL) - мова запитів WMI. Детальніше про нього можна дізнатися на MSDN.

Зберігаємо вийшов фільтр.

Тепер залишилося тільки призначити WMI фільтр на об'єкт групової політики, наприклад на GPO3. Переходимо до властивостей GPO, відкриваємо вкладку «Scope» і в полі «WMI Filtering» вибираємо зі списку потрібний фільтр.

Аналіз застосування групових політик

При такій кількості способів фільтрації GPO необхідно мати можливість діагностики та аналізу їх застосування.Найпростіше перевірити дію групових політик на комп'ютері можна за допомогою утиліти командного рядка gpresult.

Для прикладу зайдемо на комп'ютер wks2, на якому встановлена ​​ОС Windows 7, і перевіримо, чи спрацював WMI фільтр. Для цього відкриваємо консоль cmd з правами адміністратора і виконуємо команду gpresult/r, яка виводить сумарну інформацію про групових політиках, застосованих до користувача і комп'ютера.

Примітка. Утиліта gpresult має безліч налаштувань, подивитися які можна командою gpresult /?.

Как видно з отриманих даних, до комп'ютера не застосовуючи політика GPO3, оскільки вона була відфільтрована за допомогою фільтра WMI.

Також перевірити дію GPO можна з оснащення «Group Policy Management», за допомогою спеціального майстра.Для запуску майстра натискаємо правою клавішею миші на розділі «Group Policy Results» і в меню вибираємо пункт «Group Policy Results Wizard».

Вказуємо ім'я комп'ютера, для якого буде складений звіт. Якщо потрібно переглянути тільки призначені для користувача настройки групової політики, то настройки для комп'ютера можна не брати взагалі.Для цього необхідно поставити галочку знизу (display user policy settings only).

Потім вибираємо ім'я користувача , для якого будуть збиратися дані, або можна вказати не включати до звіту настройки групової політики для користувача (display computer policy settings only).

Перевіряємо вибрані настройки, тиснемо «Next» і чекаємо, поки збираються дані і генерується звіт.

Звіт містить вичерпні дані про об'єкти групових політик, застосованих (або не застосованих) до користувача і комп'ютера, а також про вибір потрібного фільтрах.

для прикладу складемо звіти для двох різних користувачів і порівняємо їх. Першим відкриємо звіт для користувача Kirill і перейдемо в розділ налаштувань користувача.Як бачите, до цього користувачеві не застосовуючи політика GPO2, оскільки у нього немає прав на її застосування (Reason Denied - Inaсcessible).

А тепер відкриємо звіт для користувача Oleg. Цей користувач є членом групи Accounting, тому до нього політика була успішно застосована.Це означає, що фільтр безпеки успішно відпрацював.

На цьому, мабуть, я закінчу "захоплююче "розповідь про застосування групових політик. Сподіваюся ця інформація буде корисною і допоможе вам у нелегкій справі системного адміністрування