Question

我有两个影响 Bitlocker 的 GPO。一个 GPO 用于带有 TPM 的计算机，另一个用于不带 TPM 的计算机。然后我们构建 AD OU，其中部门位于 TPM ou 或无 TPM ou 下，相关 GPO 链接到该 OU。以下是直观的细分。

我不想要为“TPM”和“无 TPM”设立一个 OU，然后在每个父 OU 下冗余地拥有相同的部门，而是想要一个 WMI 过滤器，将无 TPM GPO 应用于适当的计算机。

我看到的一些建议是查询 Win32_SystemDriver 类，但名称可能不同，并且有时如果没有 TPM，状态并不总是停止。

我尝试查询 root\CIMv2\Security\MicrosoftTpm 中的 Win32_Tpm 类，但如果计算机没有 TPM，则根本没有数据。我的理解是，如果没有返回任何记录，则会导致 WMI 过滤器不匹配。所以我认为我无法查询该类。

如果我对上述想法有误，请随时告诉我，但有谁知道对于没有 TPM 模块的计算机的准确 WMI 过滤器查询？

Answer 1

您想在非 TPM 机器上配置什么？如果是一些相对简单的东西，比如几个注册表项或类似的东西，您可能想尝试使用首选项和项目级定位。

在 Targeting Editor 窗口中，您可以选择 WMI Query 项并输入查询，如果安装了 TPM，该查询将返回结果。然后在 Item Options 菜单中，您可以选择Is Not选项（或按 F8）。

我没有对 TPM 做过太多操作，但如果有一些注册表项可以使用“注册表匹配”而不是 WMI 查询进行测试，那么速度会更快。与 WMI 和目标编辑器中可用的其他项一样，这里也有相同的“不是”选项。

如果您想要通过特定 GPO 将一组复杂的策略应用于非 TPM 计算机，则可能需要将其范围限定为 AD 组并将非 TPM 计算机添加到该组。显然，您可以通过某种方式将 TPM 和非 TPM 计算机移动到不同的 OU – 可以执行类似的过程将它们添加到安全组。

不过，不幸的是，我认为您需要匹配某些东西才能使 WMI 过滤器在 GPO 级别工作。

windows – 对于没有 TPM 的计算机，正确的 WMI 过滤器查询是什么？ – 代码日志

最佳答案
1