目前,我们有多个 GPO 链接到 200 多个计算机对象,这些对象通过 WMI(操作系统查询)进行过滤。
似乎存在某种竞争条件,因为这些 GPO 有时会被应用,有时则不会。
无论如何...我们可以将其追溯到 WMI 不稳定性,为什么我想要切换到基于 AD 组的安全过滤(ServerW2012,ServerW2008 等)。
我的迁移路径如下:
1)创建 AD 组并相应添加计算机对象
2) 将 AD 组添加到相应 GPO 的 ACL 并删除“经过身份验证的用户”
3)删除WMI过滤器
GPO 正在使用多个 CSE、同步/异步、Securits CSE 等等。我担心稳定性,因为如果这一变化出错,200 多个计算机对象将受到影响。
这是可行的迁移路径吗?有什么经验可以分享吗?谢谢
答案1
创建 AD 组并相应地添加计算机对象。
将 AD 组添加到相应 GPO 的 ACL 并删除“经过身份验证的用户”应用组策略权限。
需要重新启动或
klist purge运行计算机来刷新计算机组成员身份。
链接新的组策略。
删除 WMI 过滤器。