Comment utiliser les filtres WMI pour appliquer une stratégie de groupe basée sur des sous-réseaux IP

Cette fois-ci, il était nécessaire d’appliquer une stratégie de groupe (GPO) à des ordinateurs d’un sous-réseau IP spécifique. Cela semble simple, mais comme toujours, Windows complique un peu les choses. Si ce sous-réseau fait partie d’un site Active Directory (AD) distinct et que ce site ne contient que le sous-réseau concerné, vous pouvez simplement attribuer la GPO directement au site AD. C’est la méthode la plus simple et elle fonctionne généralement bien. Mais dans notre cas, le site AD couvre plusieurs sous-réseaux, donc appliquer des stratégies par site n’est pas une option *simple*.Il est donc préférable de filtrer les stratégies avec des filtres WMI — une sorte de solution de contournement qui vous offre un meilleur contrôle. Auparavant, les filtres WMI étaient principalement utilisés pour cibler des versions spécifiques de Windows. Désormais, il s’agit d’étendre cette logique aux adresses IP. L’astuce consiste à concevoir la requête WMI appropriée, afin qu’elle vérifie si l’adresse IP de la machine cible se situe dans la plage souhaitée. C’est un peu plus complexe, mais faisable. Voici comment cela fonctionne en pratique :

Comment filtrer la stratégie de groupe pour un sous-réseau IP spécifique à l’aide de WMI ?

Ouvrez la console de gestion des stratégies de groupe

  • Commencez par lancer GPMC.msc. C’est l’outil principal pour gérer les GPO.
  • Dans la console, recherchez la section Filtres WMI ; elle se trouve généralement dans le panneau de gauche.

Créer un nouveau filtre WMI

  • Faites un clic droit sur le nœud Filtres WMI et sélectionnez Nouveau. C’est là que la magie opère.
  • Donnez-lui un nom descriptif, comme « Filtre pour le sous-réseau 191.168.55.x », et ajoutez une brève description pour vous y référer ultérieurement. On ne se souvient pas toujours de tout au bout d’un moment.

Créez votre requête WMI

  • Cliquez sur Ajouter pour saisir votre requête. Par défaut, l’espace de noms doit être root\\CIMv2.
  • Ensuite, saisissez une requête comme celle-ci :
Select * FROM Win32_IP4RouteTable WHERE (Mask='255.255.255.255' AND (Destination Like '191.168.55.%' OR Destination Like '191.168.56.%'))

Remarque : C’est vrai que c’est un peu long. Ce filtre vérifie si l’adresse IP appartient à la plage 191.168.55.x ou 191.168.56.x. Remplacez ces valeurs par vos sous-réseaux. Sur certaines configurations, ce filtre peut paraître restrictif, mais c’est la seule façon de cibler des plages d’adresses IP de cette manière.

Terminez et liez le filtre

  • Enregistrez votre requête. Une fois enregistrée, retournez à votre GPO.
  • Sélectionnez ou créez l’objet de stratégie de groupe (GPO) auquel vous souhaitez appliquer le filtre.
  • Dans les paramètres de la stratégie de groupe (GPO), recherchez la section Filtrage WMI et sélectionnez le filtre que vous venez de créer dans la liste déroulante.
  • Associez l’objet de stratégie de groupe (GPO) à l’unité organisationnelle (UO) contenant vos ordinateurs cibles.
Astuce supplémentaire : Il est parfois plus simple de cibler des sous-réseaux spécifiques via les préférences de stratégie de groupe, qui permettent de définir directement des plages d’adresses IP sans passer par WMI. Toutefois, cela dépend de votre version de Windows et de la complexité de votre environnement.

Une fois la configuration terminée, exécutez la commande gpupdate /forcesur les clients (ou attendez la prochaine actualisation de la stratégie), puis vérifiez si votre GPO a bien été appliquée avec gpresult. Si ce n’est pas le cas, vérifiez la syntaxe de votre filtre WMI ; ces requêtes sont parfois délicates. De plus, sur certaines machines, un redémarrage ou un peu de patience peut être nécessaire pour que la stratégie soit prise en compte.

En résumé, cette approche de filtrage WMI est un bon moyen de cibler des plages d’adresses IP spécifiques sans avoir recours à des GPO trop nombreuses. C’est un peu étrange, mais ça fonctionne bien lorsque le filtrage des sites Active Directory ne suffit pas.

Résumé

  • Utilisez GPMC.msc pour gérer les stratégies de groupe
  • Créez un filtre WMI avec une requête basée surWin32_IP4RouteTable
  • Remplacez les masques et plages de sous-réseau par les vôtres.
  • Associez le filtre à votre GPO, puis affectez-le à l’unité d’organisation appropriée.
  • Exécutez gpupdate /forcesur les clients et vérifiez avec gpresult

Conclure

En résumé, filtrer les GPO par plage d’adresses IP n’est pas aussi simple que de cocher une case, mais les filtres WMI offrent une grande flexibilité. Soyez vigilant lors de la formulation de vos requêtes et prévoyez quelques essais. Sur certaines configurations, cette méthode peut ne pas fonctionner parfaitement du premier coup ; un redémarrage ou des ajustements supplémentaires peuvent s’avérer nécessaires. Cependant, dans l’ensemble, c’est une méthode fiable pour appliquer des stratégies à des plages d’adresses IP spécifiques sans créer un site distinct. Croisons les doigts pour que cela évite bien des tracas !

Comment utiliser efficacement WinGet Package Manager sous Windows 10 et 11
Comment valider les informations d'identification d'un utilisateur Active Directory à l'aide de PowerShell