Applicazione di GPO sulla base di appartenenza ad una Subnet (Vlan)

In Active Directory è possibile definire l’applicazione di determinate GPO sulla base dell’appartenenza a Siti differenti, tuttavia nel caso in cui in un sito siano presenti più subnet e sia necessaria l’applicazione di una GPO ad una sola di queste è necessario ricorrere ad un filtro WMI che permetta di applicare la Group Policy in modo puntuale.

Partendo dalla tabella di routing di una postazione è possibile identificare la rete in cui il sistema operativo è collocato, il comando che visualizza la tabella è route print

 

Figura 1 visualizzazione tabella di routing

Il sistema è configurato per un indirizzo ip 10.69.143.187 ed una subnet 255.255.255.248 e gli indirizzi di subnet e broadcast sono rispettivamente 10.69.143.184 e 10.69.143.191

Le informazioni contenute nella tabella sono leggibili anche tramite una semplice query WMI

select * from Win32_IP4RouteTable Where Destination =’10.69.143.184′ and Mask=’255.255.255.248′

con il comando WBEMTEST è possibile verificare la correttezza sintattica della query ed il risultato ottenuto

 

Figura 2 output Wbemtest

 

A questo punto essendo certi che la query è corretta possiamo creare un filtro WMI da applicare poi alle GPO che devono essere attive per la porzione di rete in cui ci troviamo.

La GPO verrà applicata in caso di un confronto positivo del filtro basato sulla query

 

Figura 3struttura del filtro WMI

 

Figura 4 GPO con filtro Wmi applicato

 

Riferimenti:

https://docs.microsoft.com/it-it/windows/security/threat-protection/windows-firewall/create-wmi-filters-for-the-gpo

https://docs.microsoft.com/en-us/previous-versions/windows/desktop/wmiiprouteprov/win32-ip4routetable

 

 

 

 

 

 

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...