Filtres sur des GPO

Une des nouveauté (pour moi) que j’ai découvert récemment, porte sur les GPO.

En très gros, ça permet d’appliquer des paramètres à des groupes d’ordinateurs dans un domaine active directory, de manière centralisée et automatique. Joie.

En soit, c’est déjà puissant, ça permet de gagner un temps fou et de pas se poser la question de savoir si tel ou tel poste à subit une modif. Bref.

Quand on en même en place, il faut tout de même pouvoir filtrer sur quels ordis ou groupes d’ordis on veut qu’une gpo s’applique. Je vais passer pour le moment le principe des OU, et parler de deux possibilités pour filtrer : les filtres WMI et les exclusions d’ordis (ou groupes).

Premièrement donc, les filtre WMI (info choppée ici…)

Le filtre suivant permet donc de n’appliquer la GPO que pour les ordinateurs sous Windows XP (qu’importe de service pack) :

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "5.1%" and ProductType = "1"

La totalité des colonnes possibles et leurs significations peuvent être retrouvées ici.
On voit ainsi que ProductType peut prendre les valeurs suivantes :

Value Meaning
1
Work Station
2
Domain Controller
3
Server

Ici, le filtre s’occupe donc que des workstations (en même temps, tant mieux, il n’y a que ça en NT 5.1, Windows Serveur 2003 est NT 5.2…).

J’ai eu le cas à gérer où on avait des variables d’environnement qui dépendaient de l’OS, spécifiquement la variable contenant le dossier « all users », afin de déposer un fichier sur le bureau de toutes les session de chaque ordinateurs.

Ce dossier est remplacé par le dossier « public » en Windows 6.x (vista, seven, eight, et les pendants serveur), donc les variables d’environnement sont pas les mêmes. Bref, c’est pas le sujet de l’article…

Donc j’ai mis en place 2 gpo distinctes ciblant soit les Windows NT 5.x, soit les Windows NT 6.x, avec donc les filtres WMI suivants :

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "5.%"
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.%"

Pour continuer, on peut exclure un ordinateur spécifique d’une GPO. Pour cela voir ici.

Il y a aussi un truc bien tordu, les loopback policies, voir ici (commantaire d’alank surtout), et ici.

A noter, certaines GPO ne sont pas fonctionnelles sur des ordinateurs qui n’ont pas un certain patch, je pense au GPO concernant les imprimantes ou les fichiers (le cas que j’avais à traiter).

Il faut vérifier et si le patch est absent, l’installer. Il s’agit du patch KB943729

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.