Active-Directory
為 Win7 和 Win10 創建單獨的 GPO
(我應該先說我最近換了工作,從一家主要是 linux 環境的小公司到一家擁有非常標準的 windows 伺服器環境的大公司,而且在 Active 方面我仍在追趕目錄和組策略)
為 Win7 機器和 Win10 機器創建單獨的 GPO 的最佳方法是什麼?基本上,我們正在嘗試管理“底部滑塊”UAC 設置,但我們發現這在 Win7 和 Win10 上完全不同。據我所知,在 Goup Policy 中沒有檢測作業系統的“本地”方法。我們已經在 Active Directory 中按部門組織了我們的電腦。我不確定是否可以創建第二個組織單元並使 PCxxx 的電腦對象存在於兩個地方。
我想出的最好的想法似乎非常麻煩,那就是手動委派這兩個策略並分解每台電腦。不過,這在組策略管理本身似乎真的很麻煩,有沒有更好的方法來做到這一點,或者有更好的方法來解決我的整體問題?
您可以通過創建兩個特定於作業系統的 GPO 並使用 WMI 篩選器將它們分配給適當的電腦來完成此操作。
一個 GPO 將包含 Windows 7 的設置,並有一個 WMI 過濾器,確保它僅適用於執行 Windows 7 的電腦。同樣,第二個 GPO 將包含 Windows 10 的設置,並有一個 WMI 過濾器,確保它僅適用於執行 Windows 10 的電腦。
Microsoft 的 Docs 站點有一個不錯的指南來創建檢查已安裝作業系統版本的WMI 過濾器。
簡而言之,您對 Windows 7 的 WMI 查詢將是:
select * from Win32_OperatingSystem where Version like "6.1%" and ProductType="1"
您對 Windows 10 的 WMI 查詢將是:
select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"