我们有一个运行Server 2008R2的小型(> 100台机器)Windows域。 我们使用Symantec Endpoint Protection 12.1我希望GPO能够自动将客户端计算机软件部署到客户端计算机, 但仅限于客户端工作站,而不是运行不同软件的服务器 。
在使用链接到域mycompany.local的GPO之前,我已经设置好了它,但它将AV软件部署到域中的所有机器上,包括我的服务器。 我可以在服务器的活动目录中创buildOU,也可以为客户机创build一个OU,但我宁愿不必将新的域成员从“计算机”下的默认位置移动到不同的文件夹中。
如何使用GPO将此AV软件部署到我们networking上的工作站,而不是服务器上?
AD中的默认“ Computers容器中的对象除应用于域级别的策略外,不会应用组策略。 因此,为了将软件安装应用于唯一的工作站,您应该为工作站创build另一个OU,并将所有工作站移动到其中。 然后,您将在该工作站OU上应用软件安装策略。
WMIfilter就是你的朋友。 创build以下WMI筛选器并将其链接到GPO:
从Win32_OperatingSystem中select*,其中ProductType =“1”
Win32_OperatingSystem类
http://msdn.microsoft.com/en-us/library/windows/desktop/aa394239%28v=vs.85%29.aspx
正如Cheekaleak所述,您可以为工作站创build一个OU,将工作站的计算机对象移动到该OU,然后将您的AV GPO链接到该OU。
如果您不想将工作站计算机对象移出默认的“计算机”容器(这实际上并不是什么大不了的事),那么您可以在AV GPO(链接到域)上使用安全或WMI过滤来使其适用只有工作站。