Jump to content
Jeepm

Как правильно создать политику

Recommended Posts

итак задача:

Есть сконфигурированная политика. Там где пользователям совсем едлать нечего - там все за них выбрано и стоят замочки.

 

но есть такой интересный пункт как "Контроль рабочего места". Так вот как сдлеать так, чтобы при применении политики у пользователей галочки были сняты с Контроль запуска программ, контроль активности, мониторинг уязвисомостей. Причем пользователи могли бы САМИ потом, установить галочки (ну и снимать при необходимости). дело в том что конфиг компов у всех разный, и у когото потянет полную защиту, а у кого то только минимальную. Настраивать для каждого индивидуально? :unsure: а если их 200-500 ПК?

 

Если в политике снять галочки на этих компанентах, но поставить замочки - то это не работает. Галочки у пользователей все равно по умоляанию остаются установленными. Если снять и закрыть замочком - то пользователь не может их включить :(

 

Так как можно реализовать указанную выше задачу?

Share this post


Link to post

Если я вас правильно понял, то необходимо для нужных компонентов замочек в политике оставить открытым.

Share this post


Link to post

Jeepm, добрый день.

 

 

Возможно я вас неправильно понял, тогда поправьте меня. Вам нужно отключить все модули блока "Контроль рабочего места", но при этом оставить возможность пользователям их включать? Если так, то Вы через политику убираете у этих модулей галочки, ставите замки, сохраняете политику и ждете пока она дойдет до всех ПК. Затем убираете в этой же политике замки и снова сохраняете. Теперь на ПК все эти модули отключены, но у пользователей есть возможность их включать и выключать самостоятельно

Share this post


Link to post

А если просто скормить avp.exe файл настроек? Зачем-то же эта команда реализована...

Share this post


Link to post
Jeepm, добрый день.

Возможно я вас неправильно понял, тогда поправьте меня. Вам нужно отключить все модули блока "Контроль рабочего места", но при этом оставить возможность пользователям их включать? Если так, то Вы через политику убираете у этих модулей галочки, ставите замки, сохраняете политику и ждете пока она дойдет до всех ПК. Затем убираете в этой же политике замки и снова сохраняете. Теперь на ПК все эти модули отключены, но у пользователей есть возможность их включать и выключать самостоятельно

 

добрый!

Я как раз думал реализовать такую идею. Обязательно на днях попробую и отпишусь! Спасибо за ответ!

 

Реализовать тот изврат, что вы описали - нет технической возможности. Либо настройка закрыта замком и применяется, либо настройка не закрыта замком и управляется только локально.

К сожалению это не изврат, а реальная небходимость. Т.к. тот разномастный зверинец больше никак не заставить работать. Через политику принудительно выставляю все критичные параметры для всех. А вот теперь смотрим. Если компик на Селероне 4 - то все некритичное отключаем во избежане тормозов - причем это делает САМ пользователь - поскольку оббегать 100 разномастных машин - дикость. Зачем тогда централизованное управление. А вот если комп Intel i5 с 8 Гб оперативы - так пусть пользователь сам выбирает настройки, если захочет. Вот и весь "изврат".

Шире надо мыслить, товарищи!

Share this post


Link to post
Если компик на Селероне 4 - то все некритичное отключаем во избежане тормозов - причем это делает САМ пользователь - поскольку оббегать 100 разномастных машин - дикость. Зачем тогда централизованное управление. А вот если комп Intel i5 с 8 Гб оперативы - так пусть пользователь сам выбирает настройки, если захочет. Вот и весь "изврат".

Шире надо мыслить, товарищи!

У нас страной домохозяйки уже управляли....

Share this post


Link to post

А создать 2 политики и кинуть в одну "быстрые" машины, в другую "медленные" вы не пробовали? Причем можно сделать одну корневую политику с "критичными" параметрами, "некритичные" в ней не закрывать замками. А от нее дочерние политики где эти "некритичные" либо включены либо выключены и уже все закрыто замками.

 

Не должен пользователь сам рулить настройками. Неправильно это.

Share this post


Link to post
А создать 2 политики и кинуть в одну "быстрые" машины, в другую "медленные" вы не пробовали? Причем можно сделать одну корневую политику с "критичными" параметрами, "некритичные" в ней не закрывать замками. А от нее дочерние политики где эти "некритичные" либо включены либо выключены и уже все закрыто замками.

 

Не должен пользователь сам рулить настройками. Неправильно это.

 

Еще раз. 100 ПК. Почти у каждого разная конфигурация. Кто то активно работает с флешками, кто то ими почити не пользуется, или использует только свои. Куча промежуточных конфигов, в которых имеет смысл частично включить некритичные параметры и прочее.

По поводу наследования политик знаю, и использую. но тут не вижу смысла.

Share this post


Link to post

Не выдержал. ДА, поддерживаю многих, что это изврат. Никак и никогда безопасность компьютера/сети в организации/предприятии/фирме нельзя доверять пользователю. Администратор сам кузнец своего "счастья". ~100 компьютеров - это мелочь и с таким количеством не настроить, так это признак лени и незнания.

 

Смотрю на один подчиненный сервер, где тамашний админ не поленился и создал гибкие настройки для: серверов, ноутобуков, рабочих станций: админстративные, пользовательские с открытыми USB-накопителями, закрытыми USB..., с открытыми/закрытыми CD/DVD, удаленные станции, быстро-действенные, маломощные.

 

Цитирую его ответ: "А, чего мне бегать то? Я имею пару главных политик и дочерние. Подкрутил тут/там где надо к конкретной группе или в общем и дальше сплю спокойно. Настроил раз и практически не касаюсь."

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.