从WMI切换到安全筛选

目前,我们在200多个计算机对象之上链接了几个GPO,这些计算机对象通过WMI(查询操作系统)进行过滤。

似乎有某种竞争条件,因为这个GPO有时会得到应用,有时他们不会。

无论如何…我们可以追溯到WMI的不稳定性,为什么我想切换到基于AD组的安全过滤(ServerW2012,ServerW2008等)。

我的迁移path如下所示:

1)创buildAD组并相应地添加计算机对象

2)将AD组添加到各个GPO的ACL中,并删除“Authenticated Users”

3)删除WMIfilter

GPO正在使用几个CSE,同步/asynchronous,Securits CSE等等。 我担心稳定性,因为如果这种变化出错,200多个电脑对象将受到影响。

这是一个可行的迁移path吗? 任何经验分享? 谢谢

  1. 创buildAD组并相应地添加计算机对象。

  2. 将AD组添加到各个GPO的ACL,并删除“已validation的用户”应用组策略权限。

  3. 计算机将需要重新启动或klist purge运行刷新计算机组成员身份。

有没有办法刷新计算机组成员身份,而无需重新启动?

  1. 链接新的组策略。

  2. 删除WMI筛选器。