Перейти к содержанию

Recommended Posts

KPDozer

Добрый день. Необходима помощь в решение следующего вопроса:

Необходимо так сделать, чтобы группа «Пользователи» не могла взаимодействовать с клиентом, а в случае входа на компьютер «Администратора» такая возможность была. Как это сделать вручную я знаю. Но хотелось бы внедрить взаимодействие с Active Directory.

Что делаю:

Импортирую структуру подразделения из AD + синхронизация по расписанию.

Вижу, что импортируются и пользователи и компьютеры AD. Клиенты подключаются в режиме "компьютера", что мне не нужно. Переключить в режим "пользователя" не получается (тоже знаю почему – править Organizational Units нельзя).

Тогда возникает вопрос:

Зачем импортируются пользователи?

Продолжаю дальше:

Копирую клиента из подразделения AD в группу SEMP и перевожу в режим "пользователя". Все бы хорошо, но как только на компьютер заходит любой другой пользователь домена, клиент переходит в режим "компьютера" и попадает снова в подразделение Active Directory.

Как решить эту проблему? Вероятно у меня не тот подход?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Копирую клиента из подразделения AD в группу SEMP и перевожу в режим "пользователя". Все бы хорошо, но как только на компьютер заходит любой другой пользователь домена, клиент переходит в режим "компьютера" и попадает снова в подразделение Active Directory.

Как решить эту проблему? Вероятно у меня не тот подход?

С разделом документации по Пользовательскому режиму ознакомились внимательно? Пользователь, под которым заходит другой пользователь добавлена в группу SEPM также и она переведена в Пользовательсктй режим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KPDozer
С разделом документации по Пользовательскому режиму ознакомились внимательно? Пользователь, под которым заходит другой пользователь добавлена в группу SEPM также и она переведена в Пользовательсктй режим?

Это теперь мой любимый раздел :rolleyes:. Пользователь под которым заходит другой человек не скопирован в группу SEPM. Но ведь он есть в подразделении и к нему применяются нужные мне политики. Не перемещать же мне всех пользователей в группу SEPM. Вот мой "комикс".

SEPM.gif

post-5523-1237549896_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

KPDozer если Вы хотите раздавать политики именно по пользователям, то если я не ошибаюсь, вам необходимо именно пользователей скопировать в Группы SEPM и для этих групп применить политики: для Администраторов одни, для Пользователей - другие

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KPDozer

Нашел решение для таких чайников как я. ))) Опишу практические результаты чуть позже. Сегодня занимаюсь экспериментами и теорией.

Копирование пользователей не помогает (даже всех), активен все равно "компьютер" в подразделении.

Вообще в документации сказано что "режим компьютера" всегда имеет приоритет перед "режимом пользователя".

В моем импортированном подразделении содержаться и пользователи и компьютеры, SEMP всегда отдаст приоритет "режиму компьютер". Соответсвенно все импортированные пользователи всегда неактивны даже если скопированы в группу SEPM.

Моя логика обобщает это так:

При подключениие клиента, SEMP из своего списка клиентов (в моем случае это импортированное подразделение из AD) ищет компьютер клиента и если находит переводит его в "режим компьютера". Если имя компьютера не найдено ищется имя пользователя и при нахождении такового клиент переводится в "режим пользователя".

Поэтому на данный момент решение для меня видется таким:

В Active Directory необходимо разделить пользователей и компьютеры, переместить их в разные подветки. После чего импортировать всех пользователей в SEPM и присвоить им политики. А вот компьютеры импортировать только те у которых необходим "режим компьютера" (например серверы терминалов).

Возможно я не прав, но похожая тема уже поднималась на Symantec, где автор темы как попугай повторял :) :

Active Directory import completely useless

Не хотелось бы в это верить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KPDozer

Все как я и предполагал. Разделил в AD пользователей и компьютеры. Из AD теперь импортируются все пользователи, а компьютеры только те, для которых необходим "режим компьютера". :P

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

KPDozer рад что все заработало и спасибо что отписались - ваш опыт уверен пригодится и другим, а возможность применять различные политики Антивируса в зависимости от текущего пользователя является одной из интересных и уникальных функций SEP

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
×