我们有一个小型(超过 100 台机器)Windows 域,运行 Server 2008R2。我们使用 Symantec Endpoint Protection 12.1,我希望 GPO 自动将 AV 软件部署到客户端机器,但仅限于客户端工作站,而不是运行不同软件的服务器。
我之前已经使用链接到域 mycompany.local 的 GPO 进行了设置,并且它可以正常工作,但它会将 AV 软件部署到域中的所有计算机,包括我的服务器。我可以在 Active Directory 中为服务器创建一个 OU,也许还可以为客户端计算机创建一个 OU,但我不想将新的域成员从计算机下的默认文件夹移动到其他文件夹。
如何使用 GPO 将此 AV 软件仅部署到我们网络上的工作站,而不是服务器?
答案1
除了在域级别应用的策略外,AD 中默认容器中的对象Computers不会应用组策略。因此,为了将软件安装仅应用于工作站,您应该为工作站创建另一个 OU,并将所有工作站移入其中。然后,您将在该工作站 OU 上应用软件安装策略。
答案2
这时 WMI 过滤器就派上用场了。创建以下 WMI 过滤器并将其链接到 GPO:
从 Win32_OperatingSystem 中选择 *,其中 ProductType =“1”
Win32_OperatingSystem 类
http://msdn.microsoft.com/en-us/library/windows/desktop/aa394239%28v=vs.85%29.aspx
答案3
正如 Cheekaleak 所述,您可以为工作站创建一个 OU,将工作站的计算机对象移动到此 OU,然后将您的 AV GPO 链接到此 OU。
如果您不想将工作站计算机对象移出默认的计算机容器(这实际上不是什么大问题),那么您可以在 AV GPO(链接到域)上使用安全或 WMI 过滤,使其仅适用于工作站。