Frage zu den Richtlinienprofilen

[skt-tec]

Hallo zusammen, wir haben bei uns eine Admingruppe in der ein Großteil unserer PCs enthalten ist. Nun möchte ich für einen kleinen Teil der PCs bestimmte Richtlinieneinstellungen ändern. Soweit ich das gesehen habe, klappt das ja über die Richtlinienprofile. Ich würde also entweder für die bestimmten Geräte Tags erstellen oder sie in einer AD Gruppe zusammenfassen. Dann würde ich in unserer aktiven Richtlinie ein Richtlinienprofil hinzufügen . Nun stellt sich die erste Frage. Im ersten Schritt kann ich folgendes auswählen: Status des Richtlinienprofils: "Bearbeitung erlaubt" oder "Bearbeitung verboten" Was macht hier Sinn bzw. was bedeutet das? Mit dem Schloss gebe ich ja normalerweise an ob die Einstellungen an KES übergeben werden und dort nicht bearbeitet werden können. Heißt diese Einstellung, dass alle Einstellungen im Richtlinienprofil an den Client übergeben werden? Nun gehe ich einen Schritt weiter und ich kann dann alle Einstellungen für das Richtlinienprofil vornehmen. Nun meine zweite Frage. Muss ich hier alle Einstellungen vornehmen oder muss ich nur die Einstellungen vornehmen, die sich eben verändern werden? Wie muss das eingestellt werden? Muss ich die Schlösser bei den Einstellungen schließen, die dann übernommen werden sollen und bei den anderen lasse ich sie offen? Für Hilfe wäre ich sehr dankbar. In der Doku habe ich dazu leider nichts gefunden. Danke und Gruß, Steffen

[Grodomin]

Guten Morgen skt-tec, das Schloß-Symbol hat mit der Vererbung zu tun und verhät sich in Richtlinien und Profilen gleich. Grundsätzlich musst du immer auf der untersten Ebene zusehen "abzuschließen" - so als ob du das Haus verlässt. ein kleines Bespiel zur Verbildlichung:

1. unter "Verwaltete Geräte" hast du eine Richtlinie für die Endpoint Security 11 und hast überall das Schloß-Symbol zu, außer im Bereich Ausnahmen Echtzeitschutz und Verschlüsselung
2. weiter unten hast du eine Gruppe Notebooks, die besondere Ausnahmen benötigen und verschlüsselt sein sollen
3. also erstellst du in dieser Gruppe eine Richlinie, und sobald du diese aktiv schaltest, sollte diese per Default alles erben was du in der übergeordneten Richtlinie "geschlossen hast"

1. damit aber nun die besonderen Ausnahmen greifen und die Verschlüsselung aktiv wird, musst du in der untergeordneten Richtlinie auch die Schlößer zu machen (sonst könnte der User sie editieren und sie wären nicht vorgeschrieben)

Hoffe ich habe mich verständlich ausgedrückt? MfG

[alexcad]

Ergänzend noch eine weitere Auswirkung des Schlosses: Bei der ersten Kommunikation mit dem KSC übernimmt das verwaltete System alle Einstellungen der Richtlinie - egal ob das Schloss offen oder zu ist: Ab da werden Änderungen in der Richtlinie nur noch übernommen, wenn das Schloss zu, sprich: die Einstellung verbindlich ist. Bedeutet: wenn unverbindliche Einstellungen geändert werden muss das Schloss einmal geschlossen und die Übernahme der Änderung auf alle Systeme sichergestellt werden. Dann kann man das Schloss wieder öffnen. Wobei ich mich Grodomins Empfehlung anschließe: die Schlösser sollten alle zu und die Einstellungen damit verbindlich sein - auch und gerade bzgl. der Änderungen. Grüße Alex

[skt-tec]

Danke euch. Ich habe es gerade getestet und funktioniert. In den Profilen setze ich nur die Schlösser, wo ich Änderungen haben möchte. Bei den restlichen Einstellungen lasse ich die Schlösser im Profil offen und es werden dann korrekt die Einstellungen aus der Richtlinie übernommen.

[sebneu]

Hallo,

 

Besten Dank erstmal für die Ausführungen. Hat mir sehr geholfen. Eine Frage bleibt mir da noch.

 

Ich habe ein ganz ähnliches Setup und es geht um Entschlüsselung von SSL Verbindungen. Alle Rechner sind in einer KSC Gruppe, manche davon - spezifiziert durch ein Tag - sollen von der Entschlüsselung ausgenommen werden. Vornehmlich die Rechner, die sich um Zertifikate kümmern.

 

In der Standardrichtiline ist also das Schloss bei: “Allgemein Einstellungen - Netzwerkeinstellungen - Untersuchung geschützer Verbindungen” geöffnet.

In dem Richtlinienprofil ist das Schloss geschlossen und der Haken bei “Geschützte Verbindungen untersuchen” entfernt.

So funktioniert es so wie vorgesehen.

 

Zur Frage:

Das Ergebnis ist, dass alle, die nicht von der Richtlinie betroffen sind, die Einstellungen ändern könnten und die von der Richtlinie betroffenen nicht.

Würdet ihr das durch eine Catch-All Richtlinie regeln oder einfach damit leben - es wird je eh ein Passwort abgefragt, wenn man die Einstellungen ändern will. Oder gibt es was, was ich noch nicht kenne?

 

Ich glaube, das ist genau das verwirrende an dem Schloss: es gilt sowohl für die Vererbung innerhalb der Richtlinien und gleichzeitig für die GUI von KES.

 

Besten Dank!

[alexcad]

Hallo sebneu,

das mit Schloss offen / Schloss zu ist das Konstrukt für hierarchische Richtlinien.

Bei Richtlinienprofilen funktioniert das etwas anders: Du kannst/solltest alle Schlösser in der Richtlinie schließen, um die Einstellungen verbindlich zu machen.
In den Richtlinienprofilen änderst du nur die abweichenden Einstellungen - z. B. deaktivierst SSL-Inspection - und machst nur dort das Schloss zu. Sobald die Aktivierungsregel greift werden die verbindlichen Einstellungen des Richtlinienprofils angewendet, auch wenn diese bereits in der “normalen” Richtlinie verbindlich gesetzt sind. Hier “gewinnt” das Richtlinienprofil.

Noch ein Wort zu Richtlinienprofilen: Wie man im Dialog sieht, lassen sich die Profile sortieren und damit eine Hierarchie festlegen. Es können ja durchaus mehrere Profile auf einem System greifen, wenn die entsprechenden Regeln erfüllt sind. Wenn es zwei Profile mit widersprüchlichen Einstellungen gibt, gewinnt das hierarchisch höherstehende Profil.

So mache ich z. B. oft bitlocker-Management:
Oben in der Liste steht ein Profil, das die Laufwerke bei Vorhandensein eines entspr. Tags entschlüsselt.
Darunter steht ein Profil, das die Laufwerke z. B. auf Basis der AD-Gruppe verschlüsselt.

Mit diesem Konstrukt kann ich einzelne Systeme jederzeit entschlüsseln, ohne dass ich dieses System im AD verschieben muss - ich setze einfach den Tag.

Grüße
Alex

[sebneu]

Ahhh! So funktioniert das! Ich hatte mich schon gewundert, was nun tatsächlich von der Richtlinie übernommen wird. Ich fand’s verwirrend.

 

ich versuche das mal grob zusammenzufassen:

In einer Richtlinien-Hirarchie (also untergeordnete Gruppen in KSC) bedeutet ein geschlossenes Schloss, dass die Einstellungen nicht verändert werden können, nicht in einer vererbten Richtlinie, nicht in der GUI.

In Richtlinienprofilen zeigt ein geschlossenes Schloss Einstellungen an, die sich von der eigentlichen Richtlinie unterscheiden.

 

Besten Dank Alex!

[alexcad]

Perfekt formuliert.

Grüße
Alex