Como bombardear tempo um GPO?

21
Estou fazendo muito trabalho no ensino superior, onde é um requisito bastante comum para reconfigurar um número de membros do domínio do Windows (por exemplo, PCs em uma sala de aula) durante um curso ou evento específico e ter essa configuração desfeita posteriormente .

Como a maioria das alterações de configuração que solicitamos pode ser feita por meio dos Objetos de Diretiva de Grupo e essas alterações são revertidas automaticamente quando o GPO é desvinculado ou desativado no nível da UO, esse é um caminho muito confortável.

A única desvantagem é que a ligação manual repetida e a desvinculação de GPOs em UOs precisam de muitos lembretes e equipe de TI em serviço antes do início dos cursos e após o término - algo que a equipe de operações não pode garantir o tempo todo.

Existe uma maneira de especificar um prazo para a validade de um GPO específico?

    
por the-wabbit 17.03.2015 / 21:39

1 resposta

31

Isso pode ser feito por meio de filtragem WMI . O cliente da política de grupo executaria a consulta WQL de um filtro WMI anexado e só aplicaria o GPO se a consulta retornasse um número diferente de zero de linhas. Portanto, criando um filtro WMI verificando se a hora atual do sistema está dentro de um determinado intervalo de tempo e vinculando esse filtro WMI ao GPO que você deseja para o timebomb, você obtém exatamente o que deseja.

A classe WMI win32_operatingsystem tem um atributo localdatetime que pode ser comparado a uma determinada data no formato 'aaaammdd hh: nn: ss' usando a string WQL como

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

no namespace root\CIMv2 garante que o GPO só seja aplicado a sistemas em que a hora local é entre 20 de fevereiro de 2015, 00:00:00 e 23 de fevereiro de 2015, 15:00:00:

VerifiquesevocêvinculouofiltroWMIaoGPOdesejado:

Coisas para ter em mente:

  • o WQL está avaliando a data e a hora local no cliente, que pode ou não estar sincronizada com a fonte de tempo que você pretende usar. O horário do cliente não será executado muito à frente ou atrás do tempo do controlador de domínio, caso contrário, a autenticação do Kerberos será interrompida, mas poderá haver pequenos desvios, por conta deles
  • o cliente da política de grupo verificará as alterações de GPO e as aplicará novamente com pouca frequência por padrão:

    By default, computer Group Policy is updated in the background every 90 minutes, with a random offset of 0 to 30 minutes.

    Assim, as configurações padrão só permitem uma precisão de +2 horas. O intervalo de atualização pode ser alterado por (outra) configuração de política de grupo, se necessário.

  • sua política precisa poder reverter todas as alterações quando elas não forem mais aplicadas. Esse é o caso, por padrão, de todos os modelos administrativos gerenciados. As configurações de preferências de política de grupo talvez precisem ser explicitamente configuradas para "remover este item quando não for mais aplicado" :

por 17.03.2015 / 21:39