Jump to content

Recommended Posts

Posted

Добрый день!

Хочу дать возможность региональным админам кидать в исключения определенные папки или файлы на компах, но не могу понять как это реализовать. Через политику KES в пункте "Защита паролем" выдал тестовой AD группе админов всевозможные права, но изменение настроек приложения не работает. Как я понимаю, мне нужно именно включить возможность изменять настройки KES, чтобы была возможность менять исключения...

image.png.69bf3dd650092771e63b7bb1e94cdbe1.png

Если же я включаю параметр "Разрешить использование локальных исключений", то их сможет сделать любой пользователь.

Тут я не понимаю, мне необходимо этой же группе предоставить еще и роль Администратора KES на группу управляемых устройств внутри одного региона? И можно ли как-то ограничить для всех пользователей, кроме админов, возможность делать локальные исключения? Или как это вообще можно реализовать? (Если вообще можно)

 

Заранее спасибо!

Posted

Вопросы:

1. Используется ли иерархия серверов KSC?

2. Имеют ли региональные админы доступ к KSC? 

 

  On 8/25/2022 at 1:00 PM, iuvarov97 said:

И можно ли как-то ограничить для всех пользователей, кроме админов, возможность делать локальные исключения?

Expand  

Это сделано по умолчанию. Для того чтобы сохранить изменения нужно обладать правом "Настройка приложения". Права задаются в политике KES. Доступ от учетки KLAdmin лучше вообще никому не давать. 

Posted (edited)
  On 8/25/2022 at 8:49 PM, mike 1 said:

1. Используется ли иерархия серверов KSC?

Expand  

Нет, используется один сервер. Внутри него группа управляемых устройств делится на 2 группы: рабочие станции и сервера, группа рабочих станций делится на регионы, в которых выданы права для местных админов.

  On 8/25/2022 at 8:49 PM, mike 1 said:

2. Имеют ли региональные админы доступ к KSC? 

Expand  

Да, имеют доступ именно к своей региональной группе.

  On 8/25/2022 at 8:49 PM, mike 1 said:

Для того чтобы сохранить изменения нужно обладать правом "Настройка приложения". Права задаются в политике KES.

Expand  

Я как раз на скриншоте указал, что выдал права на все через политику KES, но возможности делать исключения у админа не появилось, как и в принципе менять какие-то настройки KES. Поэтому и думаю, нужны ли еще какие-то права для этого админа?

И я правильно понимаю, что для моего сценария включать параметр "Разрешить использование локальных исключений" не нужно?

Edited by iuvarov97
Posted
  On 8/26/2022 at 6:36 AM, iuvarov97 said:

Я как раз на скриншоте указал, что выдал права на все через политику KES, но возможности делать исключения у админа не появилось, как и в принципе менять какие-то настройки KES. Поэтому и думаю, нужны ли еще какие-то права для этого админа?

Expand  

Правильно, т.к. параметр использования "локальных исключений" подразумевает, что администратор подключится к удаленной машине, где действует этот параметр и вручную через интерфейс антивируса задаст нужные исключения. Если стоит задача чтобы дать возможность администраторам через политику задавать исключения, то потребуется в политике верхнего уровня открыть замок у параметров, связанных с исключениями, а в нижестоящей политике закрыть замок у этих параметров.    

Posted
  On 8/26/2022 at 6:36 PM, mike 1 said:

параметр использования "локальных исключений" подразумевает, что администратор подключится к удаленной машине, где действует этот параметр и вручную через интерфейс антивируса задаст нужные исключения

Expand  

Прошу прощения, не указал в самом первом сообщении, что я хочу, чтобы у админов была возможность добавлять исключения через KES, то есть нужны те самые локальные исключения. Только проблема в том, что любой пользователь (не только администратор) может изменять список исключений, если я включаю этот параметр. И где найти, как включить всем, кроме определенной группы пользователей, ограничение на этот функционал, я так и не понял....

 

  On 8/26/2022 at 6:36 PM, mike 1 said:

Если стоит задача чтобы дать возможность администраторам через политику задавать исключения, то потребуется в политике верхнего уровня открыть замок у параметров, связанных с исключениями, а в нижестоящей политике закрыть замок у этих параметров. 

Expand  

А в этом случае получается, управление исключениями осуществляется только через web/mmc-консоль?

  • Solution
Posted
  On 8/29/2022 at 6:12 AM, iuvarov97 said:

И где найти, как включить всем, кроме определенной группы пользователей, ограничение на этот функционал, я так и не понял....

Expand  

Да, внести изменения может любой пользователь, но сохранить внесенные изменения сможет только пользователь с правом "Изменение настроек программы". Кстати, через консоль видны локальные исключения. 

 

  On 8/29/2022 at 6:12 AM, iuvarov97 said:

А в этом случае получается, управление исключениями осуществляется только через web/mmc-консоль?

Expand  

Да. 

  • Thanks 1
Posted
  On 8/29/2022 at 10:14 AM, mike 1 said:

сохранить внесенные изменения сможет только пользователь с правом "Изменение настроек программы"

Expand  

О! Никогда бы не додумался! Проверял только возможность добавлять исключения, а кнопку "Сохранить" не тыкал....

Спасибо огромное за помощь)))

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...