Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Удаленное администрирование

Иерархия политик , Создание и применение иерархии политик

1
RSS
 
VlhOwn
VlhOwn
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.07.2010
Размещено 17.02.2014 14:05:44
Стоит задача ограничить доступ пользователям к CD/DVD и USB-носителям. С этой целью сделано следующее:
1. В основной политике сервера включена интеграция контроля устройств, но не создано ни одного ограничивающего правила.
2. Для основной политики сервера создана дочерняя политика NoDVD, в которой создано правило, блокирующее оптический привод.
3. Для политики NoDVD создана дочерняя политика NoUSB, в которой создано правило, блокирующее дисковый накопитель.

Т.е. иерархия следующая:
  Основная политика сервера: интеграция контроля устройств
         NoDVD: запрет доступа к DVD
                 NoUSB: запрет доступа к USB

Теперь, как я понимаю, при задании группе клиентов политики NoUSB должны последовательно применяться правила
- интеграции устройств из основной политики сервера
- блокировки оптического привода из политики NoDVD
- блокировки USB-накопителя из политики NoUSB

На деле же получается, что при задании клиенту политики NoUSB ограничение доступа к USB попадает в результирующую политику, а ограничение доступа к DVD - нет.
Что я делаю не так?

И еще связанный вопрос:
Если после задания клиенту политики NoUSB задать ему снова основную политику сервера, то логично ожидать, что ограничение доступа будет снято, на деле же оно остается, хотя в консоли ERA для данного клиента и запрашиваемой, и фактической политикой показывается основная политика сервера.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 18.02.2014 10:29:53
Рекомендую обратится сюда [email protected]
 
VlhOwn
VlhOwn
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.07.2010
Размещено 19.02.2014 13:04:59
Обратился. Вот ответ:

Цитата
Здравствуйте!

1) Из-за того, что во второй и третье политике содержатся настройки касающиеся одного и того же параметра они конкурируют между собой. Если у политики 2 не установлена галочка "Переопределить дочерние политики", то результирующая политика будет содержать правило из третьей политики. При установленной галочке результирующая политика будет содержать правило второй политики.
Для достижения поставленной задачи все правила следует задавать в одной политике.

2) При смене политики на первую правила не отключаются по той причине, что в главной политике не содержится каких либо правил, а на клиенте конфигурация уже изменена ранее. Параметры которые в редакторе конфигурации не активны(Серые квадратики) не будут затронуты на клиенте при применении политики. Чтобы все правила исчезли Вам необходимо в главной политике активировать(синий квадратик) пункт "Правила: См. диалог", но не вносить в диалог никаких правил.

Т.е. наследуется не правило, а состояние параметра контроля устройств. Бред!!! Ограничение доступа к 4-м типам устройств потребует 3(без ограничений, только чтение, блокировка) в 4-й степени = 81 (восемьдесят одну) политику. Фантастика!!! 21-й век!
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 20.02.2014 10:56:26
VlhOwn, укажите, пожалуйста, номер обращения в техподдержку.
ESET Technical Support
 
Игорь Диденко
Игорь Диденко
Пользователь
Сообщений: 21
Баллов: 10
Регистрация: 25.01.2011
Размещено 17.03.2014 08:24:33
Все нормально должно работать.
Создаем основную политику. Создаем двух наследников.
def:
   def-noUSB
   def-noDVD
Две группы: соответственно noUSB и noDVD. Проверяем клиентов. Версия клиентов должна быть не ниже пятой. С включенным администрированием
Применяем политики. После того как клиент подключится к серверу для обновления или проверки администрирования, он получит свою политику.
 
VlhOwn
VlhOwn
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.07.2010
Размещено 26.05.2014 10:52:47
2Валентин
Извините, больше не заходил на форум. Номер обращения 882108.

2Игорь Диденко
Спасибо, разобрался уже с горем пополам :)
 
1
Читают тему