Filtrado Quirúrgico de GPOs con WMI

Filtrado Quirúrgico de GPOs con WMI

por Raúl Unzué

Filtrado de Políticas por WMI: Control Basado en Metadatos

En entornos corporativos, las Unidades Organizativas (OUs) no siempre agrupan los equipos de la forma más útil para aplicar políticas. Por ejemplo, es posible que necesites aplicar una política de seguridad estricta solo a los equipos con Windows 11, pero no a los servidores o máquinas de pruebas que residen en la misma OU.

Aquí es donde entra en juego el Filtro WMI.

¿Qué es un Filtro WMI?

Un Filtro WMI es una consulta que se ejecuta localmente en el cliente (por ejemplo, un Windows 11). Si la consulta devuelve un resultado positivo (TRUE), la GPO vinculada a ese filtro se aplica. Si devuelve un resultado negativo (FALSE), la GPO se omite.

Si alguna vez has gestionado un Active Directory, sabes que las Políticas de Grupo (GPOs) son tus mejores aliadas y a veces, tu peor pesadilla. Es genial poder centralizar la configuración, pero ¿qué pasa cuando tienes una Unidad Organizativa (OU) llena de equipos diversos? Tienes servidores antiguos, estaciones de trabajo de desarrollo con Windows 11, y PCs de contabilidad que aún usan Windows 10, y todos están juntos por una razón organizativa.

Si aplicas una GPO de seguridad crítica a esa OU, ¿qué haces? Probablemente se aplicará a todos, y de repente, rompes algo en el servidor de pruebas o en una máquina de desarrollo que no debería tener esa restricción. La solución tradicional es crear un laberinto de OUs para separar los equipos por sistema operativo o rol, lo cual se convierte rápidamente en un dolor de cabeza administrativo.

Aquí es donde los Filtros WMI (Windows Management Instrumentation) entran al rescate, actuando como un "francotirador" para tus políticas. Con WMI, le dices a la GPO: "Solo aplícate si la máquina tiene más de 16 GB de RAM, O está ejecutando Windows 11, Y tiene un disco SSD". Es un sistema de consulta inteligente que permite que la política se autoevalúe en el equipo cliente antes de aplicarse. Es la herramienta definitiva de un administrador avanzado para lograr una configuración declarativa verdaderamente granular sin sacrificar la simplicidad de la estructura de AD.

Conceptos Analíticos Clave de WMI

WMI es el estándar de Microsoft para acceder, configurar, gestionar y monitorear el sistema operativo y el hardware. Actúa como un repositorio estructurado de metadatos del sistema, permitiendo consultas profundas.

Elemento WMI

Descripción

Aplicación en GPO

Namespace

La ubicación jerárquica de las clases de datos (ej. root\CIMV2 para información estándar del SO y hardware).

Es lo primero que debe definirse, ya que el motor de WMI busca la clase dentro de este contexto.

Clase

El objeto que contiene información sobre un recurso (ej. Win32_OperatingSystem, Win32_LogicalDisk, Win32_Processor).

Es la tabla de datos que vamos a consultar.

Propiedad

Un atributo específico dentro de la Clase (ej. "Caption" para el nombre del SO, "Size" para el tamaño del disco).

Es la columna específica que debe coincidir con nuestro criterio.

Consulta WQL

El lenguaje de consulta de WMI (Windows Query Language), que es un subconjunto de SQL.

La lógica de filtrado que se procesa en el cliente.

 

Geeknetic Filtrado Quirúrgico de GPOs con WMI 1

El Laboratorio de Pruebas: WBEMTest

Antes de tocar la Consola de Administración de Directivas de Grupo (GPMC), siempre debemos probar la consulta WQL en el cliente objetivo (en mi caso, un Windows 11 virtualizado sobre Proxmox).

Pasos de Prueba (Directamente en el cliente Windows 11)

  1. Presione Win + R y escriba wbemtest.

    Geeknetic Filtrado Quirúrgico de GPOs con WMI 2

  2. Haga clic en Conectar:

    Geeknetic Filtrado Quirúrgico de GPOs con WMI 3

  3. Pulsamos Conectar. Dejamos el valor predeterminado de Namespace (root\CIMV2):

    Geeknetic Filtrado Quirúrgico de GPOs con WMI 4

  4. Haga clic en Consulta

    Geeknetic Filtrado Quirúrgico de GPOs con WMI 5

  5. Introducimos el valor WQL (ej. SELECT * FROM Win32_OperatingSystem) y pulsamos Aplicar:

    Geeknetic Filtrado Quirúrgico de GPOs con WMI 6

  6. Si la consulta es válida, devolverá resultados. Si WBEMTest funciona, su filtro WMI funcionará en GPO.

    Geeknetic Filtrado Quirúrgico de GPOs con WMI 7

    Geeknetic Filtrado Quirúrgico de GPOs con WMI 8

Ejemplos Prácticos de Consultas WQL para Windows 11 sobre Proxmox

A continuación, os enseñamos algunas consultas que podemos usar para segmentar equipos Windows 11 sobre una Infraestructura de Virtualización Proxmox:

Aplicar solo a Windows 11

Esta consulta identifica el sistema operativo exacto:

Elemento

Valor

Namespace

root\CIMV2

WQL

SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE 'Microsoft Windows 11%'

Detalle

Usa el comodín (%) para cubrir todas las ediciones (Pro, Home, Enterprise).

Aplicar solo a Máquinas con 8 GB o más de RAM (Excluir 4 GB)

Esta política aplicaría una GPO de máquinas con un alto consumo (más de 8 GB), excluyendo las de 4 GB:

Elemento

Valor

Namespace

root\CIMV2

WQL

SELECT * FROM Win32_ComputerSystem WHERE TotalPhysicalMemory >= 8589934592

Detalle

El valor es en Bytes (8 GB). Como mi cliente tiene 4 GB (4,294,967,296 Bytes), esta consulta devolverá FALSO y la GPO NO se aplicará.

Aplicar solo a Máquinas con 4 GB de RAM

Esta política aplicaría una GPO de optimización "solo" a máquinas con recursos limitados.

Elemento

Valor

Namespace

root\CIMV2

WQL

SELECT * FROM Win32_ComputerSystem WHERE TotalPhysicalMemory = 4294967296

Detalle

El valor es exactamente 4 GB en Bytes. Esta consulta devolverá VERDADERO para su Windows 11.

Aplicar solo a VMs de Proxmox

Para aplicar una política específica de virtualización (ej. deshabilitar el modo de suspensión).

Elemento

Valor

Namespace

root\CIMV2

WQL

SELECT * FROM Win32_ComputerSystem WHERE Model LIKE 'KVM%'

Detalle

Proxmox suele utilizar KVM. La máquina virtual se identifica a sí misma con el modelo 'KVM'.

Creación e Implementación del Filtro WMI en Windows Server 2025

Asumiremos que usaremos el segundo ejemplo, excluir 4 GB, para demostrar una denegación exitosa de la política en su cliente.

Paso 1: Crear la GPO y el Filtro WMI (DC 2025)

  1. Abra la Consola de Administración de Directivas de Grupo (GPMC) en su DC con Windows Server 2025.

    Geeknetic Filtrado Quirúrgico de GPOs con WMI 9

  2. Crea una nueva GPO: GPO_Solo_8GB_o_Mas (Esta GPO podría, por ejemplo, aplicar un fondo de escritorio de alta resolución).

    Geeknetic Filtrado Quirúrgico de GPOs con WMI 10

  3. Creamos el Filtro WMI:
    • Navegamos al apartado Filtros WMI.
    • Haga clic derecho y seleccione Nuevo.
    • Nombre del Filtro: FILTRO_Minimo_8GB_RAM
    • Haga clic en Agregar.
      • Namespace: root\CIMV2
      • Consulta: SELECT * FROM Win32_ComputerSystem WHERE TotalPhysicalMemory >= 8589934592
    • Haga clic en Aceptar y luego en Guardar.

      Geeknetic Filtrado Quirúrgico de GPOs con WMI 11

Paso 2: Vincular la GPO con el Filtro

  1. Seleccionamos la GPO antes creada, "GPO_Solo_8GB_o_Mas".
  2. En el panel de detalles, pestaña "Ámbito", bajo la sección Filtrado WMI, seleccione el filtro que acaba de crear: FILTRO_Minimo_8GB_RAM.

    Geeknetic Filtrado Quirúrgico de GPOs con WMI 12

    Como es una directiva de equipos, deberemos asegurarnos que el filtro se aplica:

    Geeknetic Filtrado Quirúrgico de GPOs con WMI 13

Paso 3: Forzar Actualización (Cliente Windows 11)

Abra PowerShell o CMD con derechos de administrador y ejecute:

gpupdate /force

Geeknetic Filtrado Quirúrgico de GPOs con WMI 14

Paso 4: Análisis Forense - Verificación Analítica de la Denegación

La prueba de fuego es demostrar que el cliente Windows 11 (con 4 GB) denegó la política.

  • Ejecución (Cliente Windows 11 - con permisos de administrador):

gpresult /h C:\temp\wmi_denegacion.html

  • Análisis del Informe HTML (La Evidencia):

Abra el archivo wmi_denegacion.html en su navegador.

  1. Navegue a la tabla Directivas de grupo denegadas (busque esta sección específica).
  2. Localice su GPO (GPO_Solo_8GB_o_Mas).
  3. Observe la Razón de la denegación:
    • Resultado Esperado:
      • Verá la razón explícita: "Denegado: El filtro WMI no se ha evaluado como verdadero."

Geeknetic Filtrado Quirúrgico de GPOs con WMI 15

Esto confirma que el cliente ejecutó la consulta (es decir, comprobó su propia RAM), determinó que 4 GB no es mayor o igual a 8 GB, y se autoexcluyó de la aplicación de la GPO.

Control Quirúrgico de GPOs

Demostrar que una política o GPO fue denegada por la razón exacta de un filtro WMI es la cúspide del control del administrador de sistemas.

Esta capacidad fundamental transforma su enfoque, ya no solo se preocupa por el "quién" (usuarios) y el "dónde" (OU), sino por el criterio crucial del "en qué condiciones específicas de hardware y software" debe actuar la política.

El informe "gpresult /h" se convierte en la prueba forense irrefutable de que la política fue intencionalmente omitida por el cliente, eliminando ambigüedades de diagnóstico y previniendo fallos inesperados.

Esto resulta en una infraestructura más limpia, significativamente más segura y mucho más fácil de auditar y mantener. Con esta base técnica, puedes segmentar con garantías por versión de SO, capacidad mínima de hardware, o incluso detectar con precisión el tipo de virtualización, como su entorno Proxmox.

Es hora de decirle adiós a las implementaciones a ciegas y dar la bienvenida a la era de la configuración declarativa de precisión.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!

Temas Relacionados: Windows Windows Windows Server GPO WMI
Redactor del Artículo: Raúl Unzué

Raúl Unzué

Soy un apasionado de la virtualización con más de 20 años de experiencia, especializado en soluciones como VMware(premio vExpert y vExpert Pro desde 2013), Proxmox e Hyper-V. Durante mi carrera, he ayudado a empresas a optimizar sus infraestructuras TI mientras comparto mis conocimientos como redactor IT. Mi objetivo es traducir lo complejo en algo práctico y accesible, combinando teoría con experiencia real. Si te interesa la virtualización, las herramientas TI o simplemente aprender algo nuevo, espero ayudarte con mis artículos.

También te puede interesar Otros artículos y noticias sobre tecnología
Microsoft bloquea los últimos trucos para instalar Windows 11 sin una cuenta online: o la usas o no funciona
607/10/2025

Microsoft bloquea los últimos trucos para instalar Windows 11 sin una cuenta online: o la usas o no funciona

Microsoft Teams para Empresas: Funcionamiento, Integraciones y Licencias
... 15/09/2025

Microsoft Teams para Empresas: Funcionamiento, Integraciones y Licencias

Cómo unir equipos Windows 11 al dominio corporativo de Active Directory 2025
... 22/09/2025

Cómo unir equipos Windows 11 al dominio corporativo de Active Directory 2025

Windows 11 empieza a instalar aplicaciones complementarias en PC de empresa sin preguntar (y las ancla a la barra de tareas)
...Ayer a las 06:49

Windows 11 empieza a instalar aplicaciones complementarias en PC de empresa sin preguntar (y las ancla a la barra de tareas)

Microsoft comienza a desplegar la actualización 25H2 de Windows 11, una gran actualización centrada en la seguridad
...01/10/2025

Microsoft comienza a desplegar la actualización 25H2 de Windows 11, una gran actualización centrada en la seguridad

Pronto podrás hacer un test de velocidad de tu red desde la bandeja del sistema de Windows 11
...15/09/2025

Pronto podrás hacer un test de velocidad de tu red desde la bandeja del sistema de Windows 11