目前,我们在200多个计算机对象之上链接了几个GPO,这些计算机对象通过WMI(查询操作系统)进行过滤。
似乎有某种竞争条件,因为这个GPO有时会得到应用,有时他们不会。
无论如何…我们可以追溯到WMI的不稳定性,为什么我想切换到基于AD组的安全过滤(ServerW2012,ServerW2008等)。
我的迁移path如下所示:
1)创buildAD组并相应地添加计算机对象
2)将AD组添加到各个GPO的ACL中,并删除“Authenticated Users”
3)删除WMIfilter
GPO正在使用几个CSE,同步/asynchronous,Securits CSE等等。 我担心稳定性,因为如果这种变化出错,200多个电脑对象将受到影响。
这是一个可行的迁移path吗? 任何经验分享? 谢谢
创buildAD组并相应地添加计算机对象。
将AD组添加到各个GPO的ACL,并删除“已validation的用户”应用组策略权限。
计算机将需要重新启动或klist purge
运行刷新计算机组成员身份。
有没有办法刷新计算机组成员身份,而无需重新启动?
链接新的组策略。
删除WMI筛选器。