Richtlinienprofile
Die Anwendung der Richtlinien auf den Geräten nur aufgrund der Hierarchie der Administrationsgruppen ist in vielen Fällen ungeeignet. Es kann erforderlich werden, in verschiedenen Administrationsgruppen mehrere Kopien einer Richtlinie zu erstellen, die sich ein bis zwei Einstellungen unterscheiden, und im Folgenden den Inhalt dieser Richtlinien manuell zu synchronisieren.
Um Ihnen zu helfen, solche Probleme zu vermeiden, unterstützt Kaspersky Security Center Richtlinienprofile. Ein Richtlinienprofil ist eine benannte Teilmenge von Richtlinieneinstellungen. Diese Teilmenge wird auf Zielgeräten gemeinsam mit der Richtlinie verteilt und ergänzt sie unter einer bestimmten Bedingung, die als Profilaktivierungsbedingung bezeichnet wird. Profile enthalten nur jene Einstellungen, die sich von "zugrundeliegenden" Richtlinie unterscheiden, die auf dem Client-Gerät (Computer, mobiles Gerät) gilt. Bei der Aktivierung des Profils werden die Einstellungen der bis zur Aktivierung des Profils auf dem Gerät geltenden Richtlinie geändert. Diese Einstellungen nehmen die im Profil festgelegten Werte an.
Richtlinienprofile haben derzeit folgende Einschränkungen:
- Die Richtlinie darf nicht mehr als 100 Profile enthalten.
- Ein Richtlinienprofil kann keine anderen Profile enthalten.
- Ein Richtlinienprofil darf keine Benachrichtigungseinstellungen enthalten.
Zusammensetzung des Profils
Ein Richtlinienprofil enthält die folgenden Bestandteile:
- Name. Profile mit identischen Namen wirken sich auf einander gemäß der Hierarchie der Administrationsgruppen mit den allgemeinen Regeln aus.
- Teilmenge der Richtlinieneinstellungen. Im Unterschied zur Richtlinie, in der alle Einstellungen enthalten sind, enthält ein Profil nur jene Einstellungen, die wirklich erforderlich sind (für die ein Schloss definiert ist).
- Die Aktivierungsbedingung ist ein logischer Ausdruck über den Eigenschaften des Geräts. Das Profil ist nur aktiv (ergänzt die Richtlinie), wenn die Aktivierungsbedingung des Profils erfüllt ist. In den übrigen Fällen ist das Profil inaktiv und wird ignoriert. Am logischen Ausdruck können die folgenden Geräteigenschaften teilnehmen:
- Status des Modus für mobile Benutzer.
- Die Eigenschaften der Netzwerkumgebung – der Name der aktiven Regel zur Verbindung des Administrationsagenten.
- Vorhandensein oder Abwesenheit der angegebenen Tags auf dem Gerät.
- Der Standort des Geräts im Active Directory-Einheit: explizit (das Gerät befindet sich unmittelbar in der angegebenen Organisationseinheit) oder implizit (das Gerät befindet sich in einer Organisationseinheit, die sich auf einer beliebigen Verschachtelungsebene innerhalb der angegebenen Organisationseinheit befindet).
- Zugehörigkeit des Geräts zur Sicherheitsgruppe Active Directory (explizit oder implizit).
- Zugehörigkeit des Gerätebesitzers zur Sicherheitsgruppe Active Directory (explizit oder implizit).
- Kontrollkästchen zum Deaktivierens des Profils. Deaktivierten Profile werden immer ignoriert, ihre Aktivierungsbedingungen werden nicht auf den Wahrheitsgehalt geprüft.
- Priorität des Profils. Die Aktivierungsbedingungen der Profile sind unabhängig, deshalb können mehrere Profile sofort gleichzeitig aktiviert werden. Wenn sich die aktiven Profile Einstellungssätze enthalten, die sich überschneiden, entstehen keine Probleme. Wenn jedoch zwei aktive Profile verschiedene Werte für ein und dieselbe Einstellung enthalten, entsteht eine Mehrdeutigkeit. Diese Mehrdeutigkeit wird mithilfe der Prioritäten der Profile entfernt: der Wert für die mehrdeutigen Variablen dem Profil mit der höheren Priorität (jenem Profil, das sich weiter oben in der Liste der Profile befindet) entnommen.
Verhalten der Profile bei der gegenseitigen Aktion der Richtlinien gemäß der Hierarchie
Gleichnamige Profile werden gemäß den Regeln zur Vereinigung von Richtlinien zusammengeführt. Profile der oberen Richtlinie haben gegenüber den Profilen der unteren Richtlinie Priorität. Wenn in "oberen" Richtlinie eine Änderung der Einstellungen verboten ist (die Schaltfläche Schloss wurde geklickt), werden in der "unteren" Richtlinie Aktivierungsbedingungen des Profils aus der "oberen" Richtlinie verwendet. Wenn in der "oberen" Richtlinie die Änderung der Einstellungen erlaubt ist, werden die Aktivierungsbedingungen des Profils aus der "unteren" Richtlinie verwendet.
Da das Richtlinienprofil in den Aktivierungsbedingungen die Eigenschaft Gerät im autonomen Modus enthalten kann, wird die Funktionalität der Richtlinien für mobile Benutzer vollständig durch die Profile ersetzt und nicht länger unterstützt.
Die Richtlinie für eigenständige Benutzer kann Profile enthalten, deren Aktivierung jedoch erst erfolgen kann, wenn das Gerät in den Modus für mobile Benutzer wechselt.