IPサブネットに基づいてグループポリシーを適用するためのWMIフィルターの使用方法

今回は、特定のIPサブネット内のコンピューターにGPOを適用する必要がありました。一見簡単そうに見えますが、もちろんWindowsでは少し複雑になっています。そのサブネットが別のActive Directory（AD）サイトの一部であり、そのサイトに必要なサブネットだけが含まれている場合は、GPOをADサイトに直接割り当てるだけで済みます。これが最もクリーンな方法であり、通常は問題なく動作します。しかし、今回のケースでは、ADサイトが複数のサブネットをカバーしているため、サイトごとにポリシーを適用するのは*簡単*ではありません。代わりに、WMIフィルターを使用してポリシーをフィルタリングする必要があります。これは、より詳細な制御を可能にする一種の回避策です。以前は、WMIフィルターは主に特定のWindowsバージョンをターゲットにするために使用されていました。今では、そのロジックをIPアドレスに拡張することが重要になっています。重要なのは、ターゲットマシンのIPが目的の範囲に収まっているかどうかを確認する適切なWMIクエリを作成することです。少し複雑ですが、実行可能です。実際の動作は次のとおりです。

WMI を使用して特定の IP サブネットのグループ ポリシーをフィルターする方法

グループポリシー管理コンソールを開く

• まず、GPMC.mscを起動します。これがGPOを管理するのに最も便利なコマンドです。
• コンソールで、WMI フィルターセクションを見つけます。通常は左側のパネルにあります。

新しいWMIフィルターを作成する

• WMIフィルターノードを右クリックし、 「新規」を選択します。ここから魔法が始まります。
• 「191.168.55.x サブネットのフィルター」のような分かりやすい名前を付け、後で参照できるように簡単な説明を添えてください。しばらくすると、誰もがその内容を覚えているとは限りません。

WMIクエリを構築する

• 「追加」をクリックしてクエリを入力してください。デフォルトでは、名前空間は ですroot\\CIMv2。
• 次に、次のようなクエリを入力します。

Select * FROM Win32_IP4RouteTable WHERE (Mask='255.255.255.255' AND (Destination Like '191.168.55.%' OR Destination Like '191.168.56.%'))

注：確かに、ちょっと長いですね。IPアドレスが191.168.55.xまたは191.168.56.xのいずれかに該当するかどうかを確認します。これらを実際のサブネットに置き換えてください。設定によっては、このフィルターが厳しすぎるように思えるかもしれませんが、IPアドレス範囲をターゲットにするには、この方法しかありません。

フィルターを終了してリンクする

• クエリを保存します。保存したら、GPOに戻ります。
• フィルターを適用する GPO を選択または作成します。
• GPO 設定で、WMI フィルタリングセクションを見つけて、ドロップダウンから新しく作成したフィルターを選択します。
• GPO を、ターゲット コンピュータを含む組織単位 (OU) にリンクします。