Jump to content

Предоставление прав на управление исключениями KES


iuvarov97
Go to solution Solved by mike 1,

Recommended Posts

Добрый день!

Хочу дать возможность региональным админам кидать в исключения определенные папки или файлы на компах, но не могу понять как это реализовать. Через политику KES в пункте "Защита паролем" выдал тестовой AD группе админов всевозможные права, но изменение настроек приложения не работает. Как я понимаю, мне нужно именно включить возможность изменять настройки KES, чтобы была возможность менять исключения...

image.png.69bf3dd650092771e63b7bb1e94cdbe1.png

Если же я включаю параметр "Разрешить использование локальных исключений", то их сможет сделать любой пользователь.

Тут я не понимаю, мне необходимо этой же группе предоставить еще и роль Администратора KES на группу управляемых устройств внутри одного региона? И можно ли как-то ограничить для всех пользователей, кроме админов, возможность делать локальные исключения? Или как это вообще можно реализовать? (Если вообще можно)

 

Заранее спасибо!

Link to comment
Share on other sites

Вопросы:

1. Используется ли иерархия серверов KSC?

2. Имеют ли региональные админы доступ к KSC? 

 

7 часов назад, iuvarov97 сказал:

И можно ли как-то ограничить для всех пользователей, кроме админов, возможность делать локальные исключения?

Это сделано по умолчанию. Для того чтобы сохранить изменения нужно обладать правом "Настройка приложения". Права задаются в политике KES. Доступ от учетки KLAdmin лучше вообще никому не давать. 

Link to comment
Share on other sites

9 часов назад, mike 1 сказал:

1. Используется ли иерархия серверов KSC?

Нет, используется один сервер. Внутри него группа управляемых устройств делится на 2 группы: рабочие станции и сервера, группа рабочих станций делится на регионы, в которых выданы права для местных админов.

9 часов назад, mike 1 сказал:

2. Имеют ли региональные админы доступ к KSC? 

Да, имеют доступ именно к своей региональной группе.

9 часов назад, mike 1 сказал:

Для того чтобы сохранить изменения нужно обладать правом "Настройка приложения". Права задаются в политике KES.

Я как раз на скриншоте указал, что выдал права на все через политику KES, но возможности делать исключения у админа не появилось, как и в принципе менять какие-то настройки KES. Поэтому и думаю, нужны ли еще какие-то права для этого админа?

И я правильно понимаю, что для моего сценария включать параметр "Разрешить использование локальных исключений" не нужно?

Edited by iuvarov97
Link to comment
Share on other sites

8 часов назад, iuvarov97 сказал:

Я как раз на скриншоте указал, что выдал права на все через политику KES, но возможности делать исключения у админа не появилось, как и в принципе менять какие-то настройки KES. Поэтому и думаю, нужны ли еще какие-то права для этого админа?

Правильно, т.к. параметр использования "локальных исключений" подразумевает, что администратор подключится к удаленной машине, где действует этот параметр и вручную через интерфейс антивируса задаст нужные исключения. Если стоит задача чтобы дать возможность администраторам через политику задавать исключения, то потребуется в политике верхнего уровня открыть замок у параметров, связанных с исключениями, а в нижестоящей политике закрыть замок у этих параметров.    

Link to comment
Share on other sites

В 26.08.2022 в 21:36, mike 1 сказал:

параметр использования "локальных исключений" подразумевает, что администратор подключится к удаленной машине, где действует этот параметр и вручную через интерфейс антивируса задаст нужные исключения

Прошу прощения, не указал в самом первом сообщении, что я хочу, чтобы у админов была возможность добавлять исключения через KES, то есть нужны те самые локальные исключения. Только проблема в том, что любой пользователь (не только администратор) может изменять список исключений, если я включаю этот параметр. И где найти, как включить всем, кроме определенной группы пользователей, ограничение на этот функционал, я так и не понял....

 

В 26.08.2022 в 21:36, mike 1 сказал:

Если стоит задача чтобы дать возможность администраторам через политику задавать исключения, то потребуется в политике верхнего уровня открыть замок у параметров, связанных с исключениями, а в нижестоящей политике закрыть замок у этих параметров. 

А в этом случае получается, управление исключениями осуществляется только через web/mmc-консоль?

Link to comment
Share on other sites

  • Solution
3 часа назад, iuvarov97 сказал:

И где найти, как включить всем, кроме определенной группы пользователей, ограничение на этот функционал, я так и не понял....

Да, внести изменения может любой пользователь, но сохранить внесенные изменения сможет только пользователь с правом "Изменение настроек программы". Кстати, через консоль видны локальные исключения. 

 

4 часа назад, iuvarov97 сказал:

А в этом случае получается, управление исключениями осуществляется только через web/mmc-консоль?

Да. 

  • Thanks 1
Link to comment
Share on other sites

1 час назад, mike 1 сказал:

сохранить внесенные изменения сможет только пользователь с правом "Изменение настроек программы"

О! Никогда бы не додумался! Проверял только возможность добавлять исключения, а кнопку "Сохранить" не тыкал....

Спасибо огромное за помощь)))

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...