我在高等教育领域做了很多工作,其中相当常见的要求是在特定课程或活动期间重新配置多个 Windows 域成员(例如教室中的 PC),然后撤消此配置。
由于我们被要求进行的大多数配置更改都可以通过组策略对象完成,并且当 GPO 在 OU 级别取消链接或停用时,这些更改会自动撤消,因此这是一种非常舒适的途径。
唯一的缺点是,在课程开始前和结束后,需要反复手动链接和取消链接 OU 上的 GPO,并且需要大量提醒和值班 IT 人员——这是运营团队无法始终保证的。
有没有办法指定特定GPO有效性的时间范围?
答案1
这可以通过以下方式实现WMI 筛选WMI Filtering。组策略客户端将从附加的 WMI 过滤器执行 WQL 查询,并且仅在查询返回非零行数时才应用 GPO。因此,通过创建一个 WMI 过滤器来检查当前系统时间是否在给定的时间间隔内,并将此 WMI 过滤器链接到您想要定时炸弹的 GPO,您就可以得到您想要的结果。
这win32_操作系统WMI 类有一个本地日期时间属性可以与格式为“yyyymmdd hh:nn:ss”的给定字符串日期进行比较,因此使用 WQL 字符串
select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'
在root\CIMv2
命名空间中,将确保GPO仅适用于2015年2月20日(2015年2月20日)和23年2月23日,2015年2月15:00:00:
确保已将 WMI 过滤器链接到所需的 GPO:
要记住的事情:
- WQL正在评估当地的客户端上的日期和时间,可能与您要使用的时间源同步,也可能不同步。客户端的时间不会比域控制器的时间提前或落后太多,否则 Kerberos 身份验证将中断,但可能会有轻微的偏差,请考虑这些偏差
组策略客户端将默认检查 GPO 更改并重新应用它们:
默认情况下,计算机组策略每 90 分钟在后台更新一次,随机偏移量为 0 到 30 分钟。
因此,默认设置仅允许+2小时可以改变如果需要,可以通过(另一个)组策略设置。
您的策略需要能够在不再应用时恢复所有更改。默认情况下,所有托管管理模板都是如此。可能需要明确设置组策略首选项设置以“当不再适用时删除此项”: