Como bombardear um GPO com bomba-relógio?

Estou trabalhando muito no ensino superior, onde é um requisito bastante comum reconfigurar vários membros do domínio do Windows (por exemplo, PCs em sala de aula) durante um curso ou evento específico e ter essa configuração desfeita posteriormente.

Como a maioria das alterações de configuração solicitadas pode ser feita por meio dos Objetos de Diretiva de Grupo e essas alterações são revertidas automaticamente quando o GPO é desvinculado ou desativado no nível da OU, é uma rota muito confortável a seguir.

A única desvantagem é que a vinculação e desassociação manual repetida de GPOs nas UOs precisa de muitos lembretes e equipe de TI de plantão antes do início e após o término dos cursos - algo que a equipe de operações não pode garantir o tempo todo.

Existe uma maneira de especificar um prazo para a validade de um GPO específico?

Isso pode ser feito por meio da filtragem WMI . O cliente da diretiva de grupo executaria a consulta WQL a partir de um filtro WMI conectado e só aplicaria o GPO se a consulta retornasse um número diferente de zero de linhas. Portanto, criando um filtro WMI, verificando se a hora atual do sistema está dentro de um determinado intervalo de tempo e vinculando esse filtro WMI ao GPO que você deseja obter, você obtém exatamente o que deseja.

A classe W32 win32_operatingsystem possui um atributo localdatetime que pode ser comparado a uma determinada data de sequência no formato 'aaaammdd hh: nn: ss', portanto, usando a sequência WQL como

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

no root\CIMv2namespace garantiria que o GPO fosse aplicado apenas aos sistemas em que a hora local é entre 20 de fevereiro de 2015 00:00:00 e 23 de fevereiro de 2015 15:00:00:

Verifique se você vinculou o filtro WMI ao GPO desejado:

Coisas para manter em mente:

• o WQL está avaliando a data e hora local no cliente, que podem ou não estar sincronizadas com a fonte de tempo que você deseja usar. O tempo do cliente não será muito adiantado ou atrasado em relação ao tempo do controlador de domínio; caso contrário, a autenticação Kerberos será interrompida, mas pode haver pequenos desvios, mas considere-os

• o cliente da diretiva de grupo verificará alterações no GPO e as aplicará com pouca frequência por padrão:

  Por padrão, a Diretiva de Grupo do computador é atualizada em segundo plano a cada 90 minutos, com um deslocamento aleatório de 0 a 30 minutos.

  Portanto, as configurações padrão permitirão apenas uma precisão de +2 horas. O intervalo de atualização pode ser alterado por (outra) configuração de diretiva de grupo, se necessário.

• sua política precisa poder reverter todas as alterações quando não for mais aplicada. Esse é o caso por padrão para todos os modelos administrativos gerenciados. As configurações de Preferências de Diretiva de Grupo podem precisar ser explicitamente definidas para "remover este item quando não for mais aplicado" :