Как бомбить GPO?

Я много работаю в сфере высшего образования, где довольно часто требуется перенастроить количество членов домена Windows (например, ПК в классе) на время определенного курса или мероприятия, и впоследствии эту конфигурацию отменить.

Поскольку большинство изменений конфигурации, которые мы просим сделать, могут быть выполнены через объекты групповой политики, и эти изменения автоматически отменяются, когда объект групповой политики отключается или деактивируется на уровне OU, это очень удобный путь.

Единственным недостатком является то, что для повторного ручного связывания и разъединения объектов групповой политики в подразделениях требуется много напоминаний и дежурный ИТ-персонал до начала курсов и после их окончания - что операционная группа не может гарантировать в любое время.

Есть ли способ указать временные рамки для действительности определенного объекта групповой политики?

Это можно сделать с помощью фильтрации WMI . Клиент групповой политики будет выполнять запрос WQL из подключенного фильтра WMI и применять объект групповой политики только в том случае, если запрос вернет ненулевое число строк. Таким образом, создав фильтр WMI, проверяющий, находится ли текущее системное время в заданном интервале времени, и связав этот фильтр WMI с объектом групповой политики, который вы хотите, чтобы бомба замедленного действия, вы получите именно то, что вы хотели.

Win32_OperatingSystem класс WMI имеет LocalDateTime атрибут , который можно сравнить с заданной даты строки в формате «ГГГГММДД чч: пп: сс» так , используя WQL строку типа

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

в root\CIMv2пространстве имен убедитесь, что объект групповой политики будет применяться только к системам, где местное время находится между 20 февраля 2015 г. 00:00:00 и 23 февраля 2015 г. 15:00:00:

Убедитесь, что вы связали фильтр WMI с нужным объектом групповой политики:

Что нужно иметь в виду:

• WQL оценивает локальную дату и время на клиенте, которые могут или не могут быть синхронизированы с источником времени, который вы собираетесь использовать. Время клиента не будет слишком далеко опережать или отставать от времени контроллера домена, в противном случае проверка подлинности Kerberos будет нарушена, но возможны незначительные отклонения, учитывайте их

• клиент групповой политики будет проверять изменения объекта групповой политики и по умолчанию применять их довольно редко:

  По умолчанию групповая политика компьютера обновляется в фоновом режиме каждые 90 минут со случайным смещением от 0 до 30 минут.

  Таким образом, настройки по умолчанию позволят с точностью до +2 часов. При необходимости интервал обновления может быть изменен (другим) параметром групповой политики.

• Ваша политика должна иметь возможность отменить все изменения, когда они больше не применяются. Это случай по умолчанию для всех управляемых административных шаблонов. Возможно, необходимо явно настроить параметры предпочтений групповой политики, чтобы «удалить этот элемент, если он больше не применяется» :