僅通過 GPO 將 AV 部署到工作站

我們有一個執行 Server 2008R2 的小型（>100 台機器）Windows 域。我們使用 Symantec Endpoint Protection 12.1 我想讓 GPO 將 AV 軟體自動部署到客戶端電腦，但僅部署到客戶端工作站，而不是執行不同軟體的伺服器。

我在使用連結到域 mycompany.local 的 GPO 之前進行了設置，它可以工作，但它會將 AV 軟體部署到域上的所有機器上，包括我的伺服器。我可以在伺服器的活動目錄中創建一個 OU，也可以為客戶端電腦創建一個，但我寧願不必將新域成員從電腦下的預設值移動到不同的文件夾中。

如何使用 GPO 將此 AV 軟體僅部署到我們網路上的工作站，而不部署到伺服器？

除了在域級別應用的策略外，AD中預設Computers容器中的對像不會應用組策略。因此，為了僅將軟體安裝應用到工作站，您應該為工作站創建另一個 OU 並將所有工作站移動到其中。然後，您將在該工作站 OU 上應用您的軟體安裝策略。

這就是 WMI 過濾器是您的朋友的地方。創建以下 WMI 篩選器並將其連結到 GPO：

select * from Win32_OperatingSystem where ProductType = “1”

Win32_OperatingSystem 類

http://msdn.microsoft.com/en-us/library/windows/desktop/aa394239%28v=vs.85%29.aspx

引用自：https://serverfault.com/questions/371226