如何对GPO进行定时炸弹？

我在高等教育方面做了大量工作，在一个特定的课程或活动期间，重新配置许多Windows域成员（例如，教室中的PC）是一个相当普遍的要求，然后取消此配置。

由于我们要求执行的大多数配置更改都可以通过组策略对象完成，并且当在OU级别取消链接或禁用GPO时，这些更改会自动撤消，这是一条非常舒适的方法。

唯一的缺点是，在OU上重复手动链接和取消链接GPO会在课程开始之前和结束之后需要大量提醒和IT人员值班-这是操作团队无法始终保证的。

有没有一种方法可以为特定GPO的有效性指定时间范围？

这可以通过WMI筛选来完成。组策略客户端将从附加的WMI筛选器执行WQL查询，并且仅在查询返回非零行数时才应用GPO。因此，通过创建WMI筛选器来检查当前系统时间是否在给定的时间间隔内，并将此WMI筛选器链接到您想要定时炸弹的GPO，您将获得所需的结果。

所述win32_operatingsystem WMI类有一个localdatetime可以相比，在格式给定的字符串日期属性“YYYYMMDD HH：NN：SS”所以使用WQL串等

select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'

在root\CIMv2命名空间将确保该GPO只会被应用到本地时间为二月间系统，20 00:00:00 2015年和月，2015年23 15:00:00：

确保已将WMI筛选器链接到所需的GPO：

注意事项：

• WQL正在评估客户端上的本地日期和时间，该日期和时间可能会或可能不会与您打算使用的时间源同步。客户端的时间不会比域控制器的时间早或晚运行，否则Kerberos身份验证会中断，但是可能会有一些细微的差异，请解决这些问题

• 组策略客户端将检查GPO更改，并且默认情况下很少（很少）重新应用它们：

  默认情况下，计算机组策略每90分钟在后台更新一次，随机偏移量为0到30分钟。

  因此，默认设置仅允许+2小时的精度。如果需要，可以通过（另一个）组策略设置来更改更新间隔。

• 您的策略需要能够恢复不再应用的所有更改。默认情况下，所有托管管理模板都是这种情况。组策略首选项设置可能需要明确设置为“不再应用时删除此项目”：