(首先我要说的是,我最近换了工作,从一家以 Linux 环境为主的小公司来到了一家以非常标准的 Windows 服务器环境为主的大公司,在 Active Directory 和组策略方面我仍然在学习一些知识)
为 Win7 计算机和 Win10 计算机创建单独 GPO 的最佳方法是什么?基本上,我们正在尝试管理“底部滑块”UAC 设置,但我们发现 Win7 和 Win10 上的情况完全不同。据我所知,没有“本机”方法可以在组策略中检测操作系统。我们已经在 Active Directory 中按部门组织了计算机。我不确定我是否可以创建第二个组织单位并让 PCxxx 的计算机对象存在于两个地方。
我想到的最好的办法似乎非常麻烦,那就是手动委派这两项策略,并将它们分解到每台计算机上。但这在组策略管理本身中似乎确实很麻烦,有没有更好的方法可以做到这一点,或者有更好的方法来解决我的整体问题?
答案1
您可以通过创建两个特定于操作系统的 GPO 并使用 WMI 过滤器将它们分配给适当的机器来实现此目的。
一个 GPO 将包含 Windows 7 的设置,并具有 WMI 过滤器,确保它仅适用于运行 Windows 7 的计算机。同样,第二个 GPO 将包含 Windows 10 的设置,并具有 WMI 过滤器,确保它仅适用于运行 Windows 10 的计算机。
微软的文档网站有一个不错的创建 WMI 过滤器的指南检查已安装的操作系统版本。
简而言之,Windows 7 的 WMI 查询将是:
select * from Win32_OperatingSystem where Version like "6.1%" and ProductType="1"
您对 Windows 10 的 WMI 查询将是:
select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"