¿Cómo bombardear un GPO?

22

Estoy trabajando mucho en la educación superior, donde es un requisito bastante común reconfigurar un número de miembros del dominio de Windows (por ejemplo, PC en un salón de clases) durante la duración de un curso o evento específico y luego deshacer esta configuración.

Como la mayoría de los cambios de configuración que se nos solicitan se pueden hacer a través de Objetos de directiva de grupo y esos cambios se revierten automáticamente cuando el GPO se desvincula o desactiva en el nivel OU, esta es una ruta muy cómoda.

El único inconveniente es que la vinculación y desvinculación manual repetida de GPO en las unidades organizativas necesita muchos recordatorios y personal de TI de servicio antes de que comiencen los cursos y después de que finalicen, algo que el equipo de operaciones no puede garantizar en todo momento.

¿Hay alguna manera de especificar un marco de tiempo para la validez de un GPO específico?

el wabbit
fuente

Respuestas:

32

Esto se puede hacer mediante el filtrado WMI . El cliente de política de grupo ejecutará la consulta WQL desde un filtro WMI adjunto y solo aplicará el GPO si la consulta devuelve un número de filas distinto de cero. Entonces, al crear un filtro WMI que verifique si la hora actual del sistema se encuentra dentro de un intervalo de tiempo dado y al vincular este filtro WMI con el GPO que desea, se obtiene exactamente lo que desea.

La clase WMI win32_operatingsystem tiene un atributo localdatetime que se puede comparar con una fecha de cadena dada en el formato 'aaaammdd hh: nn: ss', por lo que usar la cadena WQL como

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

en el root\CIMv2espacio de nombres se aseguraría de que el GPO solo se aplicaría a los sistemas donde la hora local es entre el 20 de febrero de 2015 00:00:00 y el 23 de febrero de 2015 15:00:00:

configurar el filtro WMI con una cadena WQL

Asegúrese de haber vinculado el filtro WMI al GPO deseado:

vincular filtro WMI a GPO

Cosas a tener en cuenta:

  • el WQL está evaluando la fecha y hora locales en el cliente, que pueden o no estar sincronizadas con la fuente de tiempo que quiere usar. El tiempo del cliente no se ejecutará demasiado adelante o atrás del tiempo del controlador de dominio, de lo contrario, la autenticación Kerberos se romperá, pero puede haber pequeñas desviaciones, tenga en cuenta
  • el cliente de política de grupo verificará los cambios de GPO y los volverá a aplicar con poca frecuencia de manera predeterminada:

    De manera predeterminada, la Política de grupo de la computadora se actualiza en segundo plano cada 90 minutos, con un desplazamiento aleatorio de 0 a 30 minutos.

    Por lo tanto, la configuración predeterminada solo permitirá una precisión de +2 horas. El intervalo de actualización se puede cambiar mediante (otra) configuración de directiva de grupo, si es necesario.

  • su política debe poder revertir todos los cambios cuando ya no se apliquen. Este es el caso de forma predeterminada para todas las plantillas administrativas administradas. Es posible que la configuración de las preferencias de la directiva de grupo deba configurarse explícitamente para "eliminar este elemento cuando ya no se aplique" : GPP-pestaña-común

el wabbit
fuente
3
Muy inteligente, felicitaciones a ti.
Massimo
3
Según mi experiencia, hay algunas políticas en las Plantillas administrativas que no revierten los cambios que han realizado, así que mejor hacer algunas pruebas primero ... Además, lo que dijo Massimo ...
EliadTech
De acuerdo, cualquier configuración que tenga derecho al registro no solo vuelve al valor predeterminado cuando se desvincula, o incluso se establece en "No configurado"
mortenya
Agregue una tarea programada para activar una GPupdate en las horas de inicio y finalización y podría (¿) obtener un poco más de precisión sin tener que modificar el intervalo de actualización?
Get-HomeByFiveOClock
2
@mortenya, la parte "administrada" de las Plantillas administrativas se asegura de que la configuración se realice en otro subárbol de la sección del registro, por ejemplo, HKLM\Software\Policieso HKCU\Software\Policies. Estas ubicaciones de "política" se borran si el objeto de política que establece la clave ya no se aplica o si la propiedad se establece en "No configurado". Para las plantillas de ADM antiguas que escriben en el registro, tiene razón, estas están "tatuadas" en el registro del cliente y no se eliminan después. Relacionado: serverfault.com/questions/566180
the-wabbit