удалённое управление и приоритет политик

На последнем прошедшем семинаре я повторно получил от бывшего коллеги вопрос (Саша, этот пост для тебя, я знаю, ты читаешь :)): «Как разным уровням техподдержки дать разный доступ к удалённому управлению компьютерами внутри одной коллекции, чтобы одни имели View Only, а другие — Full Control?». Этот вопрос я получил ещё в сентябре в прошлом цикле семинаров, но попробовать руки дошли только сейчас.

Я ответил, что политики суммируются и политики с наивысшим приоритетом, соответственно, перекрывают политики с приоритетом ниже. Например, если в политике с приоритетом 2 будет отключён агент, а в политике с приоритетом 1 будет включён, но в итоге на клиенте агент будет включён.

Если в политике с приоритетом 2 будет включена инвентаризация двух классов, а в политике с приоритетом 1 будет включена инвентаризация одного из этих классов, то будут инвентаризироваться оба класса. То же самое имеет силу, например, в инвентаризации файлов: если в политике с приоритетом 2 будет включена инвентаризация .exe и .mp3, а в политике с приоритетом 1 будет включена инвентаризация .exe и .txt, то будут инвентаризироваться файлы с этими тремя расширениями:

Collection: Namespace = \\.\root\ccm\invagt; Query = SELECT Name, Path, LastWriteDate, Size, CompanyName, ProductName, ProductVersion, ProductLanguage, FileVersion, FileDescription FROM FileSystemFile WHERE Name = ‘*.exe’ AND Path = ‘*\\*’ AND SkipWindirFolders = TRUE AND IsCompressed = FALSE AND IsEncrypted = FALSE; Timeout = 14400 secs.
Collection: Input context, scan rate in milliseconds = 2
Collection: Input context, skip file name = skpswi.dat
Collection: Namespace = \\.\root\ccm\invagt; Query = SELECT Name, Path, LastWriteDate, Size, CompanyName, ProductName, ProductVersion, ProductLanguage, FileVersion, FileDescription FROM FileSystemFile WHERE Name = ‘*.exe|*.txt’ AND Path = ‘*\\*’ AND SkipWindirFolders = TRUE AND IsCompressed = FALSE AND IsEncrypted = FALSE; Timeout = 14400 secs.
Collection: Input context, scan rate in milliseconds = 2
Collection: Input context, skip file name = skpswi.dat
Collection: Namespace = \\.\root\ccm\invagt; Query = SELECT Name, Path, LastWriteDate, Size, CompanyName, ProductName, ProductVersion, ProductLanguage, FileVersion, FileDescription FROM FileSystemFile WHERE Name = ‘*.exe|*.mp3’ AND Path = ‘*\\*’ AND SkipWindirFolders = TRUE AND IsCompressed = FALSE AND IsEncrypted = FALSE; Timeout = 14400 secs.
Inventory: Collection Task completed in 1008.859 seconds
Inventory: Temp report = C:\Windows\CCM\Inventory\Temp\7114f20f-abac-42cd-a77c-1258d695bbfb.xml
Collection: 3/3 inventory data items successfully inventoried.

Что же до удалённого управления, то я был не совсем прав: настройки удалённого управления — ключи реестра и правило суммирования политик не применимо к этим настройкам, т.е. политика с высшим приоритетом перекроет остальные.

 

Получаем следующее:

Политика 2, petya, View Only, приоритет 2, коллекция 1

Политика 1, vasya, Full Control, приоритет 1, коллекция 1

Результат: vasya на коллекцию 1 будет иметь Full Control, у petya будет access denied.

 

Политика 2, vasya, petya, Full Control, приоритет 2, коллекция 1

Политика 1, petya, View Only, приоритет 1, коллекция 1

Результат: petya на коллекцию 1 будет иметь View Only, vasya будет иметь access denied.

С этой проблемой я на выходных обратился за помощью к разработчикам. Меня поддержал мой австралийский коллега, который столкнулся с такой же проблемой и оставил заявку на исправление, на что Senior Program Manager Wally Mead нам ответил следующее:

I seriously doubt that it would be modified before RTM, but I don’t make that decision. Just setting expectations that it won’t be changed. Then if it does, then you’d be pleasantly surprised.

I’ll let Eric handle this on Monday, as it is his feature, and maybe I’m not understanding a way to get done what you want.

Так что нам остаётся только надеяться и ждать.

Upd.

Eric Orman:

great feedback and the behavior that you desire would be a product request for both items. Let me explain.

There is no union of policy for Permitted Viewer List (PVL). There is also no ability to specify a PVL to control “Level of access”. There is only one PVL and “Level of access” allowed for a system. It is very machine centric, just like it was in ConfigMgr 2007.

Overall, I really love your ideas and we will consider in future releases these suggestions.

6 комментариев

  1. Саша:

    Привет! Спасибо за статью! 🙂

  2. bobgreen84:

    остаётся только надеяться и ждать… Теперь уже понять и простить 🙂 На самом деле непонятно, зачем такими вещами рулить через реестр. Сделали бы 2 локальных группы, и пихали по ним группы и людей.

Leave a Reply to admin