GPO – Utiliser les filtres WMI pour filtrer l’application des stratégies de groupe

Dans ce tutoriel, je vais vous expliquer comment créer et utiliser les filtres WMI des stratégies de groupe afin de filtrer l’application des stratégies de groupe.

Avant de commencer, la partie « technique » où l’on va voir comment configurer et utiliser un filtre WMI sur une stratégie de groupe, je vais partir d’un exemple pour vous montrer l’intérêt d’utiliser un filtre WMI.

Pourquoi utiliser des filtres WMI

Pour illustrer ce tutoriel, nous allons partir de la situation suivante : on doit appliquer une stratégie de groupe seulement aux ordinateurs qui sont sur Windows 7.

Comment on peut le voir sur les captures ci-dessous, la version de l’OS est écrite en description.

Pour répondre à notre problématique, nous avons plusieurs solutions :

  • Créer un groupe (Computer_W7), ajouter les ordinateurs dans ce groupe et appliquer la stratégie au groupe
  • Dans les unités d’organisation (OU), créer de nouvelle sous OU avec la version de l’OS et lier la stratégie aux unités d’organisation

Comme vous l’aurez certainement compris, il existe plusieurs solutions pour arriver aux « même » résultat, ici nous allons voir comment répondre à cette problématique avec l’utilisation de filtre WMI, qui va nous permettre de :

  • D’avoir une solution dynamique, si l’ordinateur est mise à jour vers Windows 10/11, la stratégie de groupe ne sera plus appliquée et sans actions de notre part
  • De ne pas avoir à modifier la structure des unités d’organisation
  • Pas de création de groupe supplémentaire

WMI, c’est quoi ?

Cette section est seulement un résumé afin que vous sachiez ce qu’est WMI.

WMI est l’acronyme de : Windows Management Instrumentation, qui est basé sur le standard WBEM (Web-Based Entreprise Mangement), qui permet à travers des requêtes (qui ressemble beaucoup à SQL) de récupérer des informations sur le système comme les composants matériel, des informations sur le système d’exploitation …

WMI peut être utilisé :

  • Avec les stratégies de groupes
  • PowerShell avec la Cmdlet Get-WmiObject
  • VBS
  • ….

Voici un exemple de requête WMI :

select name,version,producttype from Win32_OperatingSystem

Ce qui nous donne en PowerShell :

Get-WmiObject -query "select name,version,producttype from Win32_OperatingSystem"
WMI Query

Maintenant que vous avez les informations nécessaires pour comprendre dans les meilleures conditions ce tutoriel, place à la pratique.

La requête WMI

Avant de créer notre filtre WMI, nous allons d’abord voir la requête que nous allons créer.

Ce que nous souhaitons faire, c’est filtrer par rapport à la version de notre système d’exploitation, cette information se trouve dans la classe (table) Win32_OperatingSystem et on va chercher la valeur (champ) Version.

Ce qui nous donne pour le moment :

Select * FROM Win32_OperatingSystem WHERE version = X.Y

Pour trouver les versions de Windows, il faut fouiller sur Internet, car ceci changement régulièrement.

Au moment de la rédaction du tutoriel, voici ce que je peux vous donner :

Version de WindowsNuméro de la version
Windows XP (32)5.1
Windows XP (64)5.2
Windows Server 2003 R25.2
Windows Vista6.0
Windows Server 20086.0
Windows 76.1
Windows Server 2008 R26.1
Windows 86.2
Windows Server 20126.2
Windows 8.16.3
Windows Server 2012 R26.3
Windows 10 (1607)10.0.14393
Windows 10 (1809)10.0.17763
Windows 10 (1909)10.0.18363
Windows 10 (2004)10.0.19041
Windows 10 (20H2)10.0.19042
Windows 10 (21H1)10.0.19043
Windows 11 (21H2)10.0.22000
Windows Server 2016 (1607)10.0.14393
Windows Server 2019 (1809)10.0.17763
Windows Server 2022 (21H2)10.0.20348

Maintenant que l’on a les versions de Windows, nous allons retourner à notre requête WMI. Si on se base sur le tableau, la version de Windows 7 est 6.1

Ce qui nous donne pour filtrer les ordinateurs Windows 7 :

Select * FROM Win32_OperatingSystem WHERE version = 6.1

Dans la réalité nous utiliserons cette requête :

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.1%"

L’utilisation de LIKE va sélectionner toutes les versions de Windows qui commence par 6.1, ce qui fait que si la version complète de Windows est 6.1.XYZ, elle sera validée par la requête WMI.

Normalement quelque chose doit vous gêner, dans le tableau, on peut voir que les versions « desktop » et server de Windows partage le même numéro de version, donc si on utilise la requête, on va aussi appliquer la stratégie de groupe aux ordinateurs Windows Server 2008 R2. Il faut que l’on ajoute un paramètre à la requête pour indiquer l’on souhaite seulement la version « Bureau », pour cela on va ajouter un filtre sur le paramètre ProductType et on va dire qu’il doit être égale à 1 pour exclure les versions serveurs.

Ce qui nous donne :

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.1%" AND ProductType="1"
ProductType valeurSélection
1Version Bureau / Client
2Serveur Contrôleurs de domaine
3Serveur

Maintenant que l’on a vu la requête, nous allons voir comment l’utiliser avec les filtres WMI.

Créer un filtre WMI et l’utiliser

Ajouter un filtre WMI

1. Ouvrir la console Gestion de stratégie de groupe.

2. Cliquer sur le dossier Filtres WMI 1 qui se trouve dans l’arborescente sur la partie de droite.

3. À cet emplacement, on va retrouver tous les filtres WMI qui auront été saisie, un filtre WMI peut être utilisé sur plusieurs stratégies de groupe.

Quand un filtre WMI est ajouté à une stratégie de groupe, celui-ci est appliqué sur tous les liens.

4. Pour créer un nouveau filtre, faire un clic droit dans la zone centrale et cliquer sur Nouveau 1.

5. Nommer le filtre WMI 1 puis cliquer sur le bouton Ajouter 2.

6. Par défaut l’espace de nom sélectionner est root\CIMv2, qui est celui que l’on souhaite utiliser. Dans la zone requête 1, entrer la requête WMI, que vous souhaitez appliquer et cliquer sur OK 2.

7. On peut voir que la requête est ajoutée 1, cliquer sur le bouton Enregistrer 2 pour sauvegarder le filtre.

8. Le filtre WMI est ajouté à la liste.

Ajouter un filtre à une stratégie de groupe

1. Cliquer sur la stratégie de groupe (ou le lien) où vous souhaitez appliquer un filtre en allant sur l’onglet Étendue 1.

2. Dans la partie Filtrage WMI 1, sélectionner le filtre dans la liste déroulante 2.

3. Un message de confirmation s’affiche, cliquer sur le bouton Oui 1 pour confirmer l’application du filtre.

4. Une fois confirmer, on peut voir que le filtre WMI est sélectionné.

Vous savez maintenant comment appliquer un filtre WMI à une stratégie de groupe.

Quelques requêtes utiles

Voici quelques exemples de requêtes WMI que vous pourriez utiliser :

Tous les ordinateurs Windows 10 et 11 :

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0%" AND ProductType="1"

Tous les ordinateurs / Serveurs qui commence dont le nom commence par XXYY-

SELECT Name FROM Win32_ComputerSystem WHERE Name LIKE "XXYY-%"

Tous les Windows Serveur :

SELECT ProductType FROM Win32_OperatingSystem WHERE (ProductType = "2") OR (ProductType = "3")

Éditeur de cible

Il est possible aussi d’utiliser des requêtes WMI dans certains paramètres de stratégie de groupe qui permettent le ciblage au niveau de l’élément.

Dans l’éditeur de cible, on ne peut pas sélectionner de filtre WMI.


Les filtres WMI est outils de puissant qui permet d’appliquer facilement une stratégie de groupe en fonction des paramètres ordinateurs sans avoir besoins de créer de groupe ou de modifier les OU et de plus cela est dynamique.




Laisser un commentaire