政策設定檔

僅透過管理群組層級套用政策到裝置可能在許多環境下不方便。有必要建立單一政策的幾個實例，這些實例對於不同的管理群組在一兩個設定上有所不同，可以在將來同步這些政策的內容。

為了幫助您避免此類問題，卡巴斯基安全管理中心支援政策設定檔。政策設定檔是政策設定的命名子集。子集會連同政策一起分發至目標裝置，並根據名為設定檔啟動條件的特別條件來作為輔助政策。設定檔僅包含與「基本」政策不同的設定，並在用戶端裝置（電腦或行動裝置）上活動。啟動設定檔會變更設定檔啟動之前已在電腦上活動的政策設定。這些設定將使用已在設定檔中指定的值。

以下限制被施加在政策設定檔：

• 政策可以包含最多 100 個設定檔。
• 政策設定檔不能包含其他設定檔。
• 政策設定檔不能包含通知設定。

設定檔內容

政策設定檔包含以下組成部分：

• 帶有相同名稱的名稱設定檔透過管理群組層級互相影響。
• 政策設定子集。不同於包含所有設定的政策，設定檔僅包含實際所需的設定（鎖定設定）。
• 啟動條件是裝置內容的邏輯表達。設定檔僅在設定檔啟動條件為真是活動（補充政策）。在其他所有情況，設定檔是非啟動和略過的。以下裝置內容可以被包含在邏輯表達：
  • 漫遊模式狀態。
  • 網路環境內容 – 用於網路代理連線的活動規則名稱。
  • 裝置上指定標籤的出現和消失。
  • 裝置在 Active Directory 組織單元 (OU) 上的分配：明確（裝置在指定 OU 中），或不明確（裝置是 OU，以嵌套級別包含在指定 OU）。
  • 裝置在 Active Directory 安全群組中的資格（明確或不明確）。
  • Active Directory 安全群組中裝置所有者的成員關係（明確或不明確）。
• 設定檔停用核取方塊。被停用的設定檔總是被略過，並且它們的啟動條件不被驗證。
• 設定檔優先順序。不同設定檔的啟動條件是獨立的，因此幾個設定檔可以一起啟動。如果活動設定檔包含設定的非重疊集合，將不會發生問題。然而，如果兩個活動設定檔包含不同的相同設定的值，將發生歧義。該歧義可以透過政策優先順序避免：歧義變數的值將來自高優先順序的設定檔（在設定檔清單中評級較高）。

政策透過層級互相影響時的設定檔行為

帶有相同名稱的設定檔根據政策合併規則合併到一起。upstream 政策的設定檔比 downstream 政策的設定檔擁有更高優先順序。如果編輯設定在 upstream 政策中被禁止（鎖定），downstream 政策使用 upstream 政策的設定檔啟動條件。如果編輯設定在 upstream 政策中被允許，downstream 政策的設定檔啟動條件被使用。

由於政策設定檔可能在啟動條件中包含裝置已離線內容，因此設定檔會完全取代漫遊使用者的政策功能，即此功能將不再受到支援。

漫遊使用者的政策可能包含設定檔，但是它們設定檔僅可以在裝置轉換到漫遊模式後啟動。