Настройка "Защиты паролем" в политике KSC 14.0

[Mihail_]

Добрый день. Как правильно добавлять локального/внутреннего пользователя для предоставления пользователю права на внесение изменений в правила исключений?

Пробовал создавать внутреннего пользователя так и локального. Назначал им на уровне сервера права на добавление исключений  в политику, а также в самой политике пробовал давать права на настройку приложений и просмотр отчетов.  

В самой политике получилось добавить только локального пользователя.

Кроме пользователя по умолчанию еще добавить встроенного пользователя можно?

[ElvinE5]

День добрый.

можно добавить пользователей домена или группы, однако для решения вашего вопроса это не требуется, наверно ... если я конечно правильно понимаю, то то что вы хотите сделать - работать не будет.

 

14 часов назад, Mihail_ сказал:

для предоставления пользователю права на внесение изменений в правила исключений

насколько я понял, вы хотите дать право пользователю отключит защиту, внести изменения в исключения, и включить защиту. Однако если вы работаете под политикой то после включения защиты политика примерится вновь и удалит все изменения внесенные пользователем.

 

есть другой способ - Локальные исключения.

вам необходимо включить вот эти пункты (соответственно для того что вы хотите разрешить)

Спойлер

 

 

тогда у пользователя, без каких либо доп.действий будет доступно редактирование этих пунктов ... причем глобальные исключения будут к нему так же применяться.

Спойлер

 

Соответственно пользователю должен быть доступен интерфейс

Спойлер

 

 

Однако !!!

использование подобного функционала может нести риски ... так как пользователи могут туда добавлять чего только захотят .... и администратор это ни как не увидит в консоли KSC.

разрешайте подобное только конкретным устройствам или группам устройств (отдел разработки например) - выпилив их в отдельную группу со своей политикой или настроив профиль политики для них

[SnakeEyes]

Поддерживаю предыдущего оратора, проще дать возможность человеку отключить защиту на время, чем разрешать вносить самому изменения. 
Так же это можно организовать через доп центр администрирования, который будет управлять политикой только тех компьютеров (например как пример выше - отдела разработки), а вы всегда сможете подключиться к этому центру администрирования и проверить какие кнопки они там накнопкали

 

Изменено 15 февраля, 2023 пользователем SnakeEyes

[Mihail_]

Тогда возникает вопрос, какие права необходимо предоставить пользователю, чтоб он имел доступ только к устройствам которые относятся к определенной группе и редактировать/создавать политику на эту группу. У меня получается подключиться под созданной учетной записью - если она добавлена в корень всего сервера, а не только в группу с ПК

  

[ElvinE5]

По поводу прав и ролей лучше ознакомитесь с материалами справки - https://support.kaspersky.com/KSC/14/ru-RU/89264.htm

по сути вам надо минимальные права на подключению к серверу, и полные на ту группу где лежат ваши устройства, но по моему вы усложняете ...

 

[SnakeEyes]

Это вы даёте своему пользователю редактировать всё что отметили. Чтобы человек мог редактировать политику - нужно дать ему доступ к политике, а вы даёте доступ к kes. Т.е. если вы на компьютере зайдёте под данным пользователем, то вам не нужно будет вводить пароль касперского (если такой задали) для отключения политики и компонентов программы. Я консерваториев Касперского не заканчивал, но я вижу одно решение: добавить в отдельную группу компьютеры, которые вы хотите позволить редактировать и поставить их под управление другого сервера администрирования (создать заранее), чтобы вы могли иметь туда доступ, а ломать смогли бы пользователи только ту политику, которая распространяется на них. 
Я бы рекомендовал поиграться с этими настройками Правило АД тут просто так нажато.

[Mihail_]

Получилось выдать минимальные права пользователю на редактирование политики. Всем спасибо.

Изменено 25 февраля, 2023 пользователем Mihail_