%20DC%20%E7%9A%84%E7%9B%AE%E6%A0%87%20GPO%20%E9%83%A8%E7%BD%B2.png)
我似乎陷入了困境。我主要来自 POSIX 背景,并陷入了这个问题的深渊,所以我一边学习一边前进——所以不确定是没有解决方案,还是我自己的邓宁-克鲁格效应在起作用。
设置:(
尽量保留后端的FLOSS,非FLOSS只在无法逃脱的地方)
- 运行 CentOS(7) 服务器
- Samba (4) Active Directory 域 (Sernet repo) - 复制集群
- W764-64 和 W10p-64 测试虚拟机
- W10p-64 管理虚拟机
- 几个“部门”中的 N 个 Windows 桌面
到目前为止一切看起来都很好:根据文档获得了基本的、稳定的设置,将一些基本的 GPO 推送到网络(例如在 %TEMP% 中创建一个文件或类似的东西),因此可以确认基本 GPO 创建和权限是正常的。gpupudate
等都很好。
我现在需要做的是在整个组织中部署之前,更好地定位 GPO 并测试对较小部分桌面的影响。
据我所知(& 这正是我的 w32 知识的局限性所在),这是通过创建 WMI 过滤器并将其应用于所述 GPO 来实现的。
据我所知,它似乎是一种非常普通的 SQL 或类似 SQL 的语法,创建此类语句的建议方式是使用 WMI Explorer 探索命名空间并构建所述定位查询。(实际上相当不错)
显然,该工具可以完美地轮询本地主机命名空间,但是当我尝试将其连接到 DC 时,却失败了,因为 Linux/POSIX 机器上没有 WMI 或 RPC 可言(这似乎很明显,但试着不要做太多假设)。
这让我处于一个危险的境地——我需要做一些看似很正常的系统管理员工作,但 Samba 似乎不支持 WMI(Wiki 似乎证实了这一点),而 Windows 似乎严重依赖并广泛使用 WMI。
但我仍然需要找到一种好的/稳定的方法来采取更有针对性和更细致入微的方法将控件部署到大量主机,而假设/建议的资源远远达不到标准。
答案1
除了建议使用组织单位来定位您的组策略对象之外,您还可以在适用的 GPO 中使用安全筛选,使它们仅应用于特定的计算机和/或用户。您只需从 GPO 的安全筛选中删除经过身份验证的用户,然后添加相关的计算机或用户帐户,或者最好是添加所需计算机或用户帐户所属的安全组。这比使用 WMI 筛选器更简单、直接和直观。
答案2
我不确定您是否从正确的角度看待这个问题。据我所知,每个桌面都会从目录中提取过滤器,然后检查是否应应用 GPO。这并不是说服务器主动将 GPO 仅分配给有限数量的桌面。所以,这听起来不像是 Samba 问题。而且您不能使用 WMI 来查询 Linux 机器,这一点应该很清楚。
顺便说一句,您还可以通过将它们放入单独的 OU 来手动创建笔记本电脑子集 - 无需摆弄 WMI 过滤器。