KSC11, как создать несколько политик

[M1xv]

Есть общая политика, созданная в Управляемых устройствах и включено наследование. В Управляемых устройствах сделал папку отделы и в ней несколько подпапок с названием отделов. Как создать для каждого отдела свою политику, при этом чтобы наследовалась общая политика?

[Alexey]

Привет.

1. По умолчанию наследование и так стоит, поэтому для всех твоих подчиненных каталогов и так уже действует политика из "управляемые устройства" даже если ты думаешь что это не так; при попытке изменить подчиненную политику будет уведомление - редактируйте вышестояющую;
2. В твоей ситуации вижу наилучший вариант такой (сделай вначале тестово а не глобально)

2.1 В нужном тебе каталоге создаешь новую политику, например для KES (называй политики нормально, потом запутаешься), создал, параметры по умолчанию и т.п. - она по умолчанию несмотря на то что сказано "не унаследована" наследует настройки вышестоящей политики! (из управляемых); 2.2 В политике в нашем примере для KES в управляемых устройствах - снимаешь замки закрытые с тех настроек которые хочешь чтобы можно было редактировать (в подчиненных политиках), снял необходимые тебе замки.....; 2.3 Заходишь в свою политику (твоего каталога) и правишь те настройки которые стали с открытым замком - только они будут доступны для изменения, остальные же будут заблокированы и буду автоматически изменяться с изменением твоей корневой политики создать для каждого отдела свою политику, при этом чтобы наследовалась общая политика? - строго по твоему вопросу такое сделать - никак, потому что политика не может быть совсем другая и еще и наследованная... если она наследуется то она уже принимает настройки вышестоящей. Не забудь на своей получившейся финальной для конечных устройст политике на отдел на опциях доступных для редактирования ставить закрытые замки - иначе пользователи смогут сами менять настройки с открытыми замками, их надо закрывать для конечных устройств.

[Demiad]

<...> и включено наследование.

Наследование в параметрах политики это наследование политик от той же версии KES от вышестоящих серверов, когда ваш сервер подчинённый. Не ваш случай, похоже. Значение галки не важно. Использовать несколько политик не следует, лучше стараться избегать создание более чем одной политики на каждую версию антивируса. Для переопределения настроек рекомендовано применять Профили политик: https://help.kaspersky.com/KSC/11/ru-RU/92434.htm К сожалению, в профилях не задать условие применение на Группу, даже через Теги. Если есть Active Directory, то отлично решается условиями на группы или орг.подразделения в нём. Лучше назвать бизнес-задачу и технические особенности (наличие AD, удаляются ли объекты хостов с KSC), получится подсказать точнее.

[Alexey]

<...> и включено наследование.

Наследование в параметрах политики это наследование политик от той же версии KES от вышестоящих серверов, когда ваш сервер подчинённый. Не ваш случай, похоже. Значение галки не важно. Использовать несколько политик не следует, лучше стараться избегать создание более чем одной политики на каждую версию антивируса. Для переопределения настроек рекомендовано применять Профили политик:https://help.kaspersky.com/KSC/11/ru-RU/92434.htmК сожалению, в профилях не задать условие применение на Группу, даже через Теги. Если есть Active Directory, то отлично решается условиями на группы или орг.подразделения в нём. Лучше назвать бизнес-задачу и технические особенности (наличие AD, удаляются ли объекты хостов с KSC), получится подсказать точнее.

В целом согласен но профили как правило и существуют для того чтобы из Группы устройств назначать отдельному устройству свои специфические параметры... не применяя настройки на всю группу. А в случае с замками и политиками - как раз на группу устройств могут действовать свои условия.

[M1xv]

мне, например, для одного отдела надо задать ограничения на одни интернет ресурсы, другому отделу на другие интернет ресурсы, а третьему вообще без ограничений. в общую политику это никак не вписать я думал, что тут работает по принципу групповых политик в AD, есть общая политика, частности регулируются на уровне OU

[Alexey]

Описанные методы выше так и работают по сути... основные настройки выбранные тобой будут падать с главной политики, то что ты хочешь менять - уже будешь менять в подчиненных. Пробовал делать описанным методом?

[M1xv]

меня смущает то, что когда я делаю созданную политику активной, то исчезает унаследованная и остается одна не унаследованная. это нормально? наследование остается? т.е. две активные политики быть не могут

[Sir_Freeze]

Вы немного не точно выражаетесь! Две политики одновременно могут быть активными (в конкретном случае политик верхнего/родительского и нижнего/дочернего уровня), просто видимой будет только одна. При активации дочерней политики и включении в ней параметра "Наследовать параметры политики верхнего уровня" все настройки (заблокированные, т.е. закрытые на замок, в родительской политике) будут применены и заблокированы для изменения и в дочерней политике. Параметры же НЕ заблокированные в родительской политике будут доступны для изменения в дочерней политике.

[Alexey]

M1xv Все на 100% верно сказал Fir_Freeze + дополнение, наследование остается а скрытая политика никуда не девается, она подразумевается, она есть, но она не активна. Тоесть - если ты грохнешь вновь созданную тобой политику то вернется обратно та политика которая в данный момент "скрыта" для тебя.