GlooM

Гениально!!! Официальная техподдержка меня заставляла создавать группу с отдельной политикой без инвентаризации ПО, перекладывать туда компы, ждать сутки и запускать инвентаризацию повторно. А после того, когда ничего не получилось, они посоветовали обновить KSC до последней версии и повторить манипуляции -)))))))))

Здравствуйте! А как быть в ситуации, когда сведения о неиспользуемом ПО оказались в реестре от машин, которые на данный момент вообще удалены из KSC (т.е. физически вышли из строя, была переустановлена ОС и т.д.)? Из около 13000 элементов в реестре ПО у меня сейчас около 6000 установлены на 0 машин. Может есть какой-то SQL запрос, который вычищает нулевые вхождения?

На здоровье! -)

Не проще ли отключить фастбут (тем же самым ключом реестра), распространив его доменными групповыми политиками GPO на всю инфраструктуру? Сделал так несколько лет назад и проблем не знаю. Как по мне, каждая сфера ответственности, должна обрабатываться тем инструментом, который под нее заточен. Если хотим отредактировать параметр, который связан с поведением винды - делаем это предусмотренными производителем инструментами винды. Домен для того и придумали -))) Все остальное - изобретение велосипедов.

Могу примерно объяснить ситуацию. Дело все в том, что речь идет не о требовании при установке антивируса какого-то "специального режима перезагрузки". Речь идет об обычной, абсолютно нормальной перезагрузке. Однако, нюанс в том, что по умолчанию, когда вы производите включение\выключение ПК, винда не делает полную перезагрузку ядра каждый раз по новой... Она использует режим фаст-бут, который предусматривает перед выключением сброс на диск загруженного и проинициализированного ядра, которое при включении просто подгружается без повторной инициализации. Это сделано для сокращения времени загрузки, так как просто открыть кусок операционки с диска - это быстрее, чем инициализировать модули. Антивирус же, в процессе установки либо обновления, допихивает в ядро свои модули, которые надо именно проинициализировать, т.е. сделать полноценный ребут, а не фаст-бут. В принципе, если у вас домен - это не проблема. Выключите фаст бут групповыми политиками, и у вас обычное перевключение компа будет идентично полной перезагрузке, что и требуется установщику.

Бэкап сервера администрирования, который создается в рамках задачи самого KSC не содержит копии БД в том формате, с которым работает конкретная СУБД - он содержит структуру данных, поэтому не привязан к типу СУБД с которым работает и вручную конвертировать данные в разные форматы не нужно. Все что вам нужно - это снять резервную копию на сервере который настроен на работу с MSSQL, затем развернуть новый KSC на сервере с MySQL, после чего выполнить восстановление резервной копии базы. Сервер сам наполнит новую базу данными в нужном формате.

Спасибо за ответ. Уже почти год обещают реализовать в заявке на добавление функционала...

Подскажите кто уже обновился - новая версия сервера администрирования в итоге научилась удаленно включать приостановленную на клиенте защиту? Или по прежнему воз и ныне там?

С проблемой удалось разобраться самому, правда, в некоторой степени получилось костыльно. Может кому пригодится - выкладываю рецепт. 1) В свойствах сервера администрирования -> "Безопасность" добавляем нужного нам "ограниченного" пользователя. 2) Снимаем у него все права, кроме "Общий функционал" -> "Базовая функциональность" -> Чтение. 3) Создаем требуемую группу, кладем в нее нужные компы, до которых надо обеспечить доступ "ограниченному пользователю". 4) У !ВСЕХ! групп в свойствах безопасности отключаем наследование! 5) У всех групп, кроме нужной, из свойств безопасности удаляем "ограниченного пользователя". 6) У "нужной" группы для "ограниченного пользователя" ставим права "Общий функционал" -> "Базовая функциональность" -> Чтение и "Управление системой" -> "Подключения" -> Запуск RDP-сессий + Подключение к существующей сессии. В итоге, "ограниченный пользователь" подключается к консоли администрирования и в иерархии групп видит только ту, что ему предоставили. Остальное дерево групп с начинкой полностью скрыто. Минусы - отключено наследование у всех групп. Соответственно, при добавлении дополнительных прав доступа, которые нужно будет распространить на все группы, придется эти права задавать вручную каждой группе. Если "базовую функциональность" не дать в свойствах сервера администрирования, то пользователь просто не сможет подключиться консолью администрирования к серверу. Если же эти права "пронаследовать" на все группы - то пользователь увидит все дерево иерархии групп.

Здравствуйте! Есть сервер администрирования KSC-13 в котором на данный момент настроены полные права для доменной группы "Администраторы домена". Пользователи, находящиеся в данной группе успешно подключаются и работают с полным функционалом KSC при помощи консолей администрирования. Появилась следующая задача: одному из доменных пользователей необходимо дать так же возможность использовать оснастку администрирования, но со строго ограниченными правами - единственное, что ему должно позволяться - подключаться к RDP-сеансу определенных машин, которые перемещены в соответствующую группу. Подскажите, каким образом правильно расставить права безопасности на данную группу (у нее предварительно отключили наследование безопасности), и, если это требуется - в глобальных свойствах сервера администрирования. В идеале, если так можно - чтобы он вообще не видел иерархию групп и компы, которые лежат в других ("неразрешенных" для него группах). На данный момент, если я даю только права "разрешение на RDP-сеанс" для соответствующей группы, а глобально в сервере администрирования не даю юзеру никаких прав, то не удается даже подключиться консолью к KSC.

Создавал запрос INC000013321935 еще в октябре 2021 года. Ответили: "Пожелание заведено. Текущее обращение я закрываю. Спасибо, что помогаете делать наш продукт лучше!" Прошло уже две новых версии с того момента - 11.8 и 11.9, а реакции пока нет.

Так и не реализовали функцию возобновления приостановленной защиты посредством команды с сервера администрирования. Выгруженный КЕС запустить с сервера можно, а у оставленного запущенным, но в состоянии приостановленной защиты, с сервера администрирования возобновление защиты сделать невозможно. Единственный способ - подключение к рабочему столу пользователя и взаимодействия с иконкой КЕС.

Именно так. После действия “приостановить” защита остается выключенной. При этом с самого сервера администрирования ее невозможно включить. Т.е. после полной выгрузки KES, он запускается с сервера, а приостановленную защиту сервер не может заводить заново. Единственный способ ее вернуть - подключаться удаленно к пользователю и с его рабочего стола щелкать по значку, вручную выбирая “возобновить защиту”. Я создавал запрос на добавление функционала, заключающийся в том, чтобы с сервера можно было возобновлять приостановленную защиту, точно так же, как можно просто выгрузить\загрузить KES целиком.

Кто уже установил, подскажите, в этой версии по прежнему невозможно включать с сервера KSC приостановленную защиту клиенту? Я в поддержку отправлял заявку на добавление функционала, когда 11.7 вышла, вроде подтвердили, но в патч-ноутах к 11.8 ничего про это не сказано.

Из примерно тысячи рабочих станций глюк менее чем на 50.