ГлавнаяИнформацияСтатьиНастройка Windows 10 и Windows 11 c помощью групповых политик службы каталога Active Directory (часть2)

Настройка Windows 10 и Windows 11 c помощью групповых политик службы каталога Active Directory (часть2)

Назад к всем статьям

25 марта 2025

О фильтрации групповых политик.
Продолжение статьи Настройка Windows 10 и Windows 11 c помощью групповых политик службы каталога Active Directory (часть 1)

Применять GPO можно только к контейнерам AD: к сайтам, доменам или подразделениям (OU). Применять GPO к отдельным учетным записям пользователей, компьютеров или групп невозможно. Действие политик на содержимое контейнеров основано на эффекте наследования.
Если необходимо применить политики к отдельным учетным записям предлагается использовать два вида фильтрации:
1. Фильтрация безопасности.
2. Фильтрация WMI.

Содержание

Фильтрация безопасности Фильтрация WMI

Фильтрация безопасности

По умолчанию политики применяются ко всем пользователям и компьютерам, потому что их применение делегировано группе Authentiсated Users. Проверим это на примере.
На панели навигации в GPMC выберем GPO1 и откроем вкладку Scope. В разделе Security Filtering указана группа Authentiсated Users. Это значит, что политики из GPO1 применяются ко всем пользователям и компьютерам, которые успешно прошли аутентификацию в домене.

Чтобы проверить какие разрешения группа Authentiсated Users имеет на объект GPO1, откроем вкладку Delegation и кликнем кнопку Advanced.

Видим, что группа имеет разрешения Read и Apply group policy. Этого достаточно для применения групповых политик.

Чтобы групповые политики GPO1 применялись только на группу Managers, удалим Authenticated Users на закладке Scope и добавим группу Managers.

Чтобы групповые политики GPO2 применялись на все учетные записи домена, кроме группы IT, оставляем группу Authenticated Users, но в список доступа GPO2 добавляем группу IT. Для этой группы устанавливаем разрешение Apply group policy – Deny.

Фильтрация WMI

WMI фильтры позволяют применять групповые политики к компьютерам только с определенными параметрами. Например, с указанной версией и билдом Windows, типом процессора, объемом ОЗУ, установленными определенными программами, находящимися в указанной IP подсети и т.д.

Создать WMI фильтр можно в оснастке GPMC. Для этого в левой панели навигации надо выбрать раздел WMI Filters, кликнуть правой кнопкой мыши и в контексном меню выбрать New.

В открывшемся окне указываем имя фильтра и можно добавить описание. Затем нажимаем кнопку Add, открывается окно WMI Query, в котором в поле Namespace для большинства задач выбираем root\CIMv2.
В поле Query вводим WMI запрос на языке WQL. Например, для применения GPO
только к рабочим станциям с Windows 10 и 11 код запроса:
SEL ECT * FR OM Win32_OperatingSystem WHERE Version LIKE ″10.%″ AND ProductType = ″1″
Тип продукта (ProductType) может иметь следующие значения:
1 – рабочая станция
2 – контроллер домена
3 – сервер