GPO: Aplicar solo a VMs

Una de las funcionalidades de las GPOs es condicionar su aplicación al resultado de una consulta WMI (Windows Management Instrumentation).

- Si el resultado de la consulta WMI es afirmativo: Se ejecutará la GPO.
- Si el resultado de la consulta WMI es negativo: No se ejecutará la GPO.

Podemos encontrar el servicio WMI en todos los equipos Windows y podemos realizar consultas utilizando PowerShell o desde cmd con el comando wmic.

En según que escenarios nos puede interesar aplicar ciertas GPOs solo a equipos físicos o solo a VMs.

Para ello tenemos dos opciones:

1) Situar los equipos físicos y virtuales en OUs distintas, después vincular las GPOs que queramos en cada unidad organizativa.

2) Condicionar las GPOs que queramos aplicar al resultado de un filtro WMI. Si el resultado de la consulta WMI es afirmativa, se aplicará la GPO.

Debemos tener en cuenta que una GPO con un filtro WMI consumirá recursos del lado cliente cada vez que se produzca la aplicación de la GPO.

Veamos un ejemplo de consulta WMI:

Para determinar si un equipo es físico o virtual utilizando una consulta WMI, podemos ejecutar desde CMD:

wmic computersystem get model

Ejecución WMIC

Verde: Ejemplo de salida VM.
Rojo: Ejemplo de salida PC físico.

La consulta a introducir en la GMPC.msc sería:

SELECT * FROM Win32_ComputerSystem WHERE Model = "VMWare Virtual Platform"

Vista consola GMPC.msc:

Vista consola GMPC.msc

Además del comando de CMD: wmic, podemos realizar la prueba de ejecución de la consulta sobre un equipo, utilizando el cmd-let de PowerShell: Get-WmiObject

Ejemplo:

PS C:\> Get-WmiObject -query "SELECT * FROM Win32_ComputerSystem"

Domain              : D1.local
Manufacturer        : INTEL_
Model               : DH77KC__
Name                : C7
PrimaryOwnerName    : admin
TotalPhysicalMemory : 17072353280

Una vez creada la consulta WMI, deberemos editar la GPO que queramos para vincular a la consulta.

Para ello, desde la GPMC.msc, sobre una GPO, pestaña "Ámbito",  "Filtrado WMI" y seleccionamos el filtro creado:

Aplicación filtro WMI sobre una GPO

2 comentarios:

  1. Buenísimo, no se me hubiera ocurrido nunca hacer un filtro WMI para discriminar GPOs en base si son físicas o virtuales. Exquisito el post.

    ResponderEliminar