Você só pode criar consultas baseadas em regras com base nos dados coletados com os vários métodos de descoberta. Mas entre os métodos de descoberta, você tem Descoberta de Grupo de Segurança do Active Directory , que funcionará muito bem para seus propósitos. Você só precisa ligá-lo e configurá-lo para verificar os contêineres do AD que contêm seus grupos.
Em seguida, você pode criar coleções baseadas em regras com consultas que filtram o atributo Nome do grupo de sistema da classe de atributo Recurso do sistema . O SQL bruto para esse tipo de consulta é fornecido na resposta do taylord1.
Se você estiver preocupado com o tempo e com o fato de o cronograma de verificação padrão ser apenas uma vez por dia, bem como com o cronograma de atualização da coleta, é muito fácil alterar o cronograma para atender às suas necessidades. Lembre-se de que você precisará atualizar a programação de Descoberta do Grupo de Segurança e o agendamento da Atualização de Coleção. Se possível, você deve tentar cronometra-los para que o cronograma da Atualização de Coleta aconteça alguns minutos após a programação da Descoberta do Grupo de Segurança.
Se você já usa a Descoberta de grupo de segurança e está preocupado com o impacto de um aumento no cronograma de varredura, ainda sugiro que você experimente primeiro se isso realmente causa muito estresse na sua infraestrutura. No entanto, existem outras maneiras de acionar atualizações de máquinas individuais que posso descrever se você estiver interessado. Envolve alguma programação embora.