Esto se puede hacer mediante el filtrado WMI . El cliente de política de grupo ejecutará la consulta WQL desde un filtro WMI adjunto y solo aplicará el GPO si la consulta devuelve un número de filas distinto de cero. Entonces, al crear un filtro WMI que verifique si la hora actual del sistema se encuentra dentro de un intervalo de tiempo dado y al vincular este filtro WMI con el GPO que desea, se obtiene exactamente lo que desea.
La clase WMI win32_operatingsystem tiene un atributo localdatetime que se puede comparar con una fecha de cadena dada en el formato 'aaaammdd hh: nn: ss', por lo que usar la cadena WQL como
select * from win32_operatingsystem where localdatetime >= '20150220 00:00:00' and localdatetime <= '20150223 15:00:00'
en el root\CIMv2
espacio de nombres se aseguraría de que el GPO solo se aplicaría a los sistemas donde la hora local es entre el 20 de febrero de 2015 00:00:00 y el 23 de febrero de 2015 15:00:00:
Asegúrese de haber vinculado el filtro WMI al GPO deseado:
Cosas a tener en cuenta:
- el WQL está evaluando la fecha y hora locales en el cliente, que pueden o no estar sincronizadas con la fuente de tiempo que quiere usar. El tiempo del cliente no se ejecutará demasiado adelante o atrás del tiempo del controlador de dominio, de lo contrario, la autenticación Kerberos se romperá, pero puede haber pequeñas desviaciones, tenga en cuenta
el cliente de política de grupo verificará los cambios de GPO y los volverá a aplicar con poca frecuencia de manera predeterminada:
De manera predeterminada, la Política de grupo de la computadora se actualiza en segundo plano cada 90 minutos, con un desplazamiento aleatorio de 0 a 30 minutos.
Por lo tanto, la configuración predeterminada solo permitirá una precisión de +2 horas. El intervalo de actualización se puede cambiar mediante (otra) configuración de directiva de grupo, si es necesario.
su política debe poder revertir todos los cambios cuando ya no se apliquen. Este es el caso de forma predeterminada para todas las plantillas administrativas administradas. Es posible que la configuración de las preferencias de la directiva de grupo deba configurarse explícitamente para "eliminar este elemento cuando ya no se aplique" :