Перейти к содержанию

Вспомогательный сервер администрирования


Рекомендуемые сообщения

Добрый день, хотел бы узнать как грамотнее решить мою проблему: Есть виртуальная машина с сервером KSC.image.png.d53dd53127afb60ecbd74e28035851c2.png
Внутри Workstation идёт группировка по структурным подразделениям. Есть необходимость для одного из структурных подразделений создать свой сервер администрирования, но так, чтобы они могли администрировать только свой отдел, соответственно со своей политикой и прочим, но не могли вносить изменения в остальную картину. Как это сделать по умному.

Ссылка на комментарий
Поделиться на другие сайты

Виртуальный сервер ...

 

1. Включите отображение иерархии серверов ...

Спойлер

437668755_.thumb.png.6e725f30b8c44b71c91ba800d2e6ae66.png

 

2. Создайте виртуальный сервер ... на одном из шагов создайте утечку сервера (тот кто будет им управлять), позже не забудьте в свойствах нового сервера выдать ему роль "главный администратор"
 

Спойлер

1482824313_.thumb.png.e49eedd317dcc16d792d3d9ad230bd98.png  35368797_.png.a6a15b877db1c740ac0c2cd6901d19dc.png  256097954_.thumb.png.95c310497f45adf8d48618387374be37.png

 

3. Задачей "Смены сервера администрирования переместите нужные устройства на виртуальный сервер

Спойлер

206115971_.png.233668471cc66844171fa552042c269b.png    271115884_.png.211f1e677d55ed031aadc2a882e28eab.png

 

 

делайте то что нужно политики задачи и прочие, как с обычным сервером, разрывайте наследование в политиках ... отключайте (или наоборот включайте) наследование групповых задачь что бы настроить ваше влияние на новый сервер ... в общем дальше по обстоятельствам ...

 

 

Изменено пользователем ElvinE5
Ссылка на комментарий
Поделиться на другие сайты

Можно и не создавая иерархию, а назначая права разрешения и запрета для групп в разделе безопасность каждой группы

Изменено пользователем oit
Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...
21.09.2023 в 09:36, ElvinE5 сказал:

Виртуальный сервер ...

 

1. Включите отображение иерархии серверов ...

  Скрыть контент

437668755_.thumb.png.6e725f30b8c44b71c91ba800d2e6ae66.png

 

2. Создайте виртуальный сервер ... на одном из шагов создайте утечку сервера (тот кто будет им управлять), позже не забудьте в свойствах нового сервера выдать ему роль "главный администратор"
 

  Скрыть контент

1482824313_.thumb.png.e49eedd317dcc16d792d3d9ad230bd98.png  35368797_.png.a6a15b877db1c740ac0c2cd6901d19dc.png  256097954_.thumb.png.95c310497f45adf8d48618387374be37.png

 

3. Задачей "Смены сервера администрирования переместите нужные устройства на виртуальный сервер

  Скрыть контент

206115971_.png.233668471cc66844171fa552042c269b.png    271115884_.png.211f1e677d55ed031aadc2a882e28eab.png

 

 

делайте то что нужно политики задачи и прочие, как с обычным сервером, разрывайте наследование в политиках ... отключайте (или наоборот включайте) наследование групповых задачь что бы настроить ваше влияние на новый сервер ... в общем дальше по обстоятельствам ...

 

 

 

Речь об этих двух галочках или нет? На данный момент есть в дочернем сервере все три политики головного сервера. Мне не совсем понятно наследуются они или нет, тк сервер на данный момент не активен. Есть подозрение что они как раз и будут активными.

 

 

image.png.0e4b1788f57e98b171339706a9b1a835.pngimage.thumb.png.dc4c50ec6c54d22593e19aaeca2ba4be.png
image.png.708817c7262298cb7124295e9c54179d.png

Ссылка на комментарий
Поделиться на другие сайты

Судя по картинкам ... "стрелочка" говорит что данная политика унаследована от Родительского сервера, и да она будет применяться если вы не создадите своей политики на подчиненном сервере (и наследование не разорвете) ...

это потому что у вас все политики (быстрее всего) на головном сервере прикручены к группе " Управляемые устройства", а ваш подчиненный сервер как раз в этой группе, и попадает под действие политики.

 

что бы убрать эти политики с подчиненного, перенести их на Родительском сервере из группы "Управляемые" на группы к которым они должны применяться (грубо говоря ниже по иерархии).

Тогда на подчиненном они отображая не будут., и вы сможете создать свои политики.

однако надо помнить что если в группе "управляемые устройства" родительского сервера, снова появится политика, например прогоните мастера первоначальной настройки который создаст "недостающие" по его мнению политики ... и если в дочерних политиках не разорвете наследования, то параметры их изменятся на Родительскую.

 

это все неплохо описано в курсе KL 302.11, если есть возможность пройдите обучение ... хотя курс достаточно старый ... базовые знания из него почерпнуть можно, однако, ПРАКТИКА ключ к пониманию того как это работает на самом деле ...  :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Dan4es
      От Dan4es
      Добрый день.
       
      Столкнулся с проблемой: пролез шифровальщик и зашифровал критичные данные для работы KSC (бд + бекап). Переустановил ОС, переустановил KSC, бд вынес на выделенный сервер. Адрес и dns имя сервера оставил прежним. Все устройства обнаружились, но все в статусе неизвестно. При выполнении задачи установка KES+Network Agent, задача останавливается на 50%. Как пере подключить все устройства обратно к этому серверу?

    • Timur644
      От Timur644
      Добрый день.
      С вчера появилось проблема, при запуске MMC KSC выдает ошибку:
      Не удалось подключится к серверу администрирование. (скрине видно)
      Службы проверил все запущены, порт 13291 занимает утилита Касперского.
      Прошу подскажите что проверить.

    • Остафьево
      От Остафьево
      Подскажите пожалуйста как подключить компьютеры под управление нового сервера администрирования (Security Center 15) при условии что доступа к старому нет.
    • Роман П.
      От Роман П.
      Добрый день.
       
      На одном из ПК возникла проблема с подключением к серверу администрирования через mmc-консоль администрирования.
      При попытке подключения выдает ошибку - неверный сертификат, показывая его отпечаток. Отпечаток сертификата действительно не совпадает с тем, что находится на сервере администрирования.

       
      1) При попытке повторного подключения, указываю "вручную" файл сертификата, который располагается на сервере администрирования в  C:\ProgramData\KasperskyLab\adminkit\1093\cert - статья О сертификатах Kaspersky Security Center
      Результат - аналогичен неверный сертификат.
      2) Исходя из статьи Решение проблем с узлами Сервера администрирования - зачищал файл сервера администрирования в %USERPROFILE%\AppData\Roaming\Microsoft\MMC\ 
      3) Заметил, что после того как запускаешь консоль и выдает эту ошибку, то в хранилище сертификатов certmgr.msc формируется этот "левый" сертификат.

      4) Его зачистка в хранилище сертификатов, а также же поиск  по отпечатку и удаление в реестре с последующей перезагрузкой ПК к результату не привели. По-прежнему - неверный сертификат.
      5) Переустанавливал агента и клиента Касперского. Также пытался производить подключение без установленного антивируса и агента.
       
      Вопросы: как исправить эту проблему? Как удалить этот непонятный сертификат и заставить сервер получить верный. 
       
    • Evgenqr
      От Evgenqr
      Добрый день, коллеги!
      Помогите решить проблему.
      Дано:  Kaspersky Security Center 14.2. В структуре Сервера администрирование 4 группы администрирования, допустим "Группа1""Группа2""Группа3""Группа4".
      Необходимо: выдать другому пользователю права администрирования только Группы4.
      Что делаю:
      1. захожу в Свойства Группы4
      2. вкладка Безопасность
      3. снимаю галку наследовать параметры
      4. добавляю пользователя Windows
      5. назначаю ему Роли ли Права
      6 сохраняю.
      7 при попытки подключения выдает ошибку: "Неудалось получить информацию о Сервере администрирования. Error "Access is denied" occured.
      Если добавить пользователя не в группе а в Сервере администрирования такой ошибке нет, но доступ ко всему серверу, а не к нужной группе.
      Можно ли давать доступ только к определенной группе или это технически не возможно?
×
×
  • Создать...