1. В основной политике сервера включена интеграция контроля устройств, но не создано ни одного ограничивающего правила.
2. Для основной политики сервера создана дочерняя политика NoDVD, в которой создано правило, блокирующее оптический привод.
3. Для политики NoDVD создана дочерняя политика NoUSB, в которой создано правило, блокирующее дисковый накопитель.
Т.е. иерархия следующая:
Основная политика сервера: интеграция контроля устройств
NoDVD: запрет доступа к DVD
NoUSB: запрет доступа к USB
Теперь, как я понимаю, при задании группе клиентов политики NoUSB должны последовательно применяться правила
- интеграции устройств из основной политики сервера
- блокировки оптического привода из политики NoDVD
- блокировки USB-накопителя из политики NoUSB
На деле же получается, что при задании клиенту политики NoUSB ограничение доступа к USB попадает в результирующую политику, а ограничение доступа к DVD - нет.
Что я делаю не так?
И еще связанный вопрос:
Если после задания клиенту политики NoUSB задать ему снова основную политику сервера, то логично ожидать, что ограничение доступа будет снято, на деле же оно остается, хотя в консоли ERA для данного клиента и запрашиваемой, и фактической политикой показывается основная политика сервера.