Temos um pequeno domínio do Windows (> 100 máquinas) executando o Server 2008R2. Usamos o Symantec Endpoint Protection 12.1 Desejo que o GPO implante o software antivírus em computadores cliente automaticamente, mas apenas em estações de trabalho clientes, e não em servidores que executam um software diferente .
Eu o configurei antes de usar um GPO vinculado ao domínio mycompany.local e ele funciona, mas ele implanta o software antivírus em TODAS as máquinas no domínio, incluindo meus servidores. Eu posso criar uma UO no Active Directory para Servidores, e talvez criar uma para máquinas cliente também, mas eu prefiro não ter que mover novos membros de domínio do padrão em Computadores para uma pasta diferente.
Como posso usar o GPO para implantar esse software antivírus somente em estações de trabalho em nossa rede e não em servidores?
Os objetos no contêiner Computers padrão no AD não recebem políticas de grupo aplicadas, além das políticas aplicadas no nível do domínio. Portanto, para aplicar a instalação do software a APENAS estações de trabalho, você deve criar outra unidade organizacional para estações de trabalho e mover toda a estação de trabalho para ela. Em seguida, você aplicaria sua política de instalação de software nessa UO da estação de trabalho.
É aí que os filtros WMI são seus amigos. Crie o seguinte filtro WMI e vincule-o ao GPO:
selecione * em Win32_OperatingSystem, em que ProductType="1"
Classe Win32_OperatingSystem em link
Como Cheekaleak afirmou que você pode criar uma unidade organizacional para as estações de trabalho, mover os objetos de computador para as unidades de trabalho para essa unidade organizacional e vincular seu GPO de antivírus a essa unidade organizacional.
Se você preferir não mover os objetos do computador da estação de trabalho para fora do contêiner padrão Computadores (o que não é grande coisa), use o filtro Segurança ou WMI no AV GPO (vinculado ao domínio) para aplica-se apenas às estações de trabalho.