Наследование политик KSC

[ZOLkinA]

Друзья, выручайте!

имеется три политики (1,2,3).и две группы управляемых устройств (1,2)

Все три активны. Все три НЕ имеют наследия.

1 политика -для автономных АРМ.

2 политика -для группы 2

3 политика -для группы 3

Вопрос: Как сделать что бы изменения вносимые по контролю устройств в политику 1,автоматически передавались в политику 2 и 3?

 

 

[mike 1]

Здравствуйте, например через профиль политики, включив наследование в верхней группе. 

[ZOLkinA]

спасибо. где можно более детально почитать как это сделать?

[andrew75]

https://support.kaspersky.com/KSC/15.1/ru-RU/165771.htm

[ZOLkinA]

Спасибо!

Я правильно понимаю что мне необходимо создать профиль в политике №2 и сделать его подчиненным политике №1?или в политике №1  тоже надо создать профиль который будет связан с №2?

При попытке создания профиля в политике №2 он не унаследуется. Как включить наследие?

[DenRassk]

Мне кажется Вам надо отвлечься от групп и сделать так:

Создаёте два тега "Группа 1" и "Группа 2" и в свойствах каждого компьютера устанавливаете свой тег.

Делаете ОДНУ общую политику защиты и в ней три профиля.

В Общей политике прописываете типовые настройки (общие для всех).

В Общей политике создаёте три профиля "Автономный", "Тест 1" и "Тест 2".

В каждом профиле переназначили те параметры, которые должны меняться.

Для каждого профиля создаёте свои правила активации, например:

для автономных выбираете - АРМ находится в автономном режиме (есть такая опция) - этот профиль будет срабатывать тогда, когда АРМ "не видит" KSC.

для группы 1 - выбираете наличие тега Группа 1 - этот профиль будет работать только на тех компьютерах, на которых стоит "галка" на теге "Группа 1"

для группы 2 - выбираете наличие тега Группа 2 - этот профиль будет работать только на тех компьютерах, на которых стоит "галка" на теге "Группа 2"

 

Собственно всё....

В результате у Вас есть одна общая политика и в ней 3 профиля которые её меняют.

 

Компьютеры, которые не автономные и на которых не выбран тег "Группа 1" или "Группа 2" будут использовать Общую политику.

 

Я таким образом заменил 5 политик одной...

Да... если у автономного АРМ поставить тег "Группа 1", то будут одновременно работать два профиля...., а если и тег "Группа 2" включить, то все три сразу... 😎

 

Увеличивая количество тегов можно увеличивать и количество профилей...

 

Тег + профиль политики - мощная штука!

Изменено 9 декабря пользователем DenRassk
уточнил описание, исправил ошибки

[jobe]

Наверное можно сделать группы вложенными и играть одной родительской политикой на уровне Управляемых устройств - зафиксировав в ней общие для всех групп параметры

Отличающиеся параметры нужно будет крутить в нижестоящих политиках

[ZOLkinA]

Коллеги. Всем спасибо и прошу извинить за глупый вопрос.

Как ПРАВИЛЬНО ?создаётся родительская и дочерние политики?

Если я беру политику и копирую её, копия считается дочерней политикой???Должны применяться настройки при условии что с той с которой копирую стоит галка наследовать?

[DenRassk]

ZOLkinA

Я же Вам всё подробно описал, что надо сделать....

Не надо "городить" политики... сделайте одну, а в ней (внутри этой одной политики) три профиля...

Делайте как написано... у меня 10 профилей - всё работает как часы.

[ZOLkinA]

Я ваш ответ видел. Спасибо!в этом ключе и буду двигаться.

Хочу для себя понять и разобраться. где родительская, где поличненные ,как сделать новую родительскую, как подчиненную. и т д и т п.

Можно ли назначить родительскую политику из существующих.и т д

[DenRassk]

Если я правильно помню, то на одном сервере администрирования нельзя сделать политику родительской и подчинённой.

Это можно сделать только если у Вас хотя бы два сервера администрирования, при этом один сервер выступает как главный, а второй подчинённым.

Тогда в политике на подчинённом сервере ставим "галку" "Наследовать параметры родительской политики" и она применяется на все устройства этого сервера....

НО ВАЖНО не забывать про "замочки" на параметрах.

Если на родительской политике (та которая на главном сервере) на настройке "закрыть замок" - то чтобы не было установлено в подчинённой политике (на подчинённом сервере) всё равно будет применяться родительская политика.

Если на родительской политике "замок" открыт, то применяются параметры подчинённой политики.

 

"Замочки" так же работают и для профиля. Если в политике замок закрыт - применяются параметры из политики, если замок открыт - то из профиля.

[ZOLkinA]

1 час назад, DenRassk сказал:

Если я правильно помню, то на одном сервере администрирования нельзя сделать политику родительской и подчинённой.

Тогда я совсем запутался...

т.к. у меня один сервер KSC и в  "управляемых устройствах" есть унаследованные политики.

Как это повторить я пока не понял, поэтому и обратился за коллективной помощью.

Как создать унаследованные политики...?!

 

[DenRassk]

Блин, тупанул.... 

Можно на одном сервере создавать иерархию политик... 

В группе управляемые устройства создаёте две группы "Группа 1" и "Группа 2". Заходите в свойства группы и проверяете, что стоит "галка" "Наследовать родительские политики" (должна быть по умолчанию).

Создаёте политику для группы "Управляемые устройства" (при создании в качестве Целевой группы выбираете Управляемые устройства").

Создаёте ещё две политики для группы "Группа 1" и "Группа 2" (соответственно выбираете Целевую группу" "Группа 1" и "Группа 2") и тоже проверяете, что стоит галка "Наследовать параметры родительской политики". 

Далее играетесь "замочками" в политике для "Управляемых устройств" и галками во всех трёх "Наследовать параметры родительской политики" и "Наследовать параметры родительской политики".

 

Не знаю какая версия KSC используется у Вас, для 14.2 почитайте тут https://support.kaspersky.ru/ksc/14.2/165762

(периодически попадающиеся упоминания Web console игнорируйте)

[ZOLkinA]

так. чем дальше в лес...

в моём случае структура KSC 13:           

управляемые устройства                        В "управляемых устройствах" на вкладке "политики",  политика на KES (базовая) не активна и не унаследована. Политика на агенты активна и не унаследована.             

              |

ООО Солнышко                                      В ООО Солнышко на вкладке "политики", политика Солнышко для автономных АРМ активна и не унаследована , Политика на агенты активна и Унаследована! из управляемые устройства.    

              |

      ноутбуки                                            В ноутбуках на вкладке "политики", политика "ноутбуки" активна и не унаследована , Политика на агенты активна и Унаследована! из управляемые устройства.    

              |

           АРМ                                              В АРМ на вкладке "политики", политика "АРМ" активна и не унаследована , Политика на агенты активна и Унаследована! из управляемые устройства. 

 

Вопросы:

Собственно откуда тянется унаследование политик на агенты?

При создании профиля в политики возможен импорт из уже существующей политики? или ручками?

и правильно я понимаю структуру: Политика-в ней создаётся профиль (по сути это доп политика)-Профиль активируется согласно правилу-для упрощения управления правилами задаётся тег (по сути тег не несет в себе настроек и служит только удобства администрирования).

 

 

[DenRassk]

Всё правильно. У Вас же написано - унаследована из "Управляемые устройства".

Это одна и та же политика агента администрирования!

Написано "Унаследовано" так как Вы смотрите политику в конкретной группе и для этой группы верхняя политика унаследована, о чём и написано...

Зайдите в раздел Политики в корне консоли управления. В ней указаны ВСЕ политики которые существуют на сервере администрирования. Посчитайте сколько каких политик есть.

Вы увидите, что у Вас всего одна политика агента администрирования.

(и три политики для антивируса - автономная, для Группы1 и для Группы2)

Так же если открыть любую политику, то можно посмотреть параметр "Целевая группа".

 

Не забивайте себе голову сразу всеми видами политик и наследованием.

Разберётесь с одним и дальше всё станет понятно.