Geräteregeln

Geräteregeln ermöglichen den Abgleich zwischen Sicherheitskontrollregeln und bestimmten Geräten. Geräteregeln können die Regeleinstellungen entweder auf das Gerät anwenden, das den Application Control Agent und die Konfiguration hostet, oder auf sich verbindende Geräte.

Beispiel: Anhand einer Konfigurationsregel kann festgelegt werden, dass bestimmte Anwendungen auf einem Server ausgeführt werden und andere Anwendungen, die über ein in der Regel aufgeführtes Gerät gestartet werden sollen, nicht ausgeführt werden.

Geräteregeln bieten außerdem die Möglichkeit der gerätebezogenen Lizenzverwaltung in einer serverbasierten Computingumgebung.

  • Klicken Sie zum Hinzufügen einer Geräteregel im Menüband "Regeln" auf Regel hinzufügen und wählen Sie Geräteregel aus.
  • Wählen Sie zum Entfernen einer Geräteregel die betreffende Regel aus und klicken Sie im Menüband "Regeln" auf Regel entfernen. Klicken Sie in der daraufhin angezeigten Bestätigungsmeldung auf Ja, um das Entfernen zu bestätigen.

Sie können den Knoten Zulässige Elemente, Verweigerte Elemente, Vertrauenswürdige Anbieter, Benutzerrechte und Browser-Kontrolle Elemente in den einzelnen Geräteregelknoten hinzufügen.

Validierung von Geräteregeln

Typ Regel
Hostname oder IP-Adresse Verwenden Sie diese Geräteclientregel zum Anwenden von zulässigen Elementen, verweigerten Elementen, vertrauenswürdigen Anbietern und Benutzerrechten auf ein Drittherstellergerät, wenn ein Benutzer versucht, über einen bestimmten Hostnamen oder eine bestimmte IP-Adresse auf den externen Endpunkt zuzugreifen. Entspricht der Hostname bzw. die IP-Adresse dem Drittanbietergerät, werden für dieses Gerät spezifische Application Control-Regeln angewendet.
Zugehörigkeit zu einer Computergruppe Verwenden Sie diese Geräteclientregel zum Anwenden von zulässigen Elementen, verweigerten Elementen, vertrauenswürdigen Anbietern und Benutzerrechten auf ein Drittherstellergerät, das einer bestimmten Sicherheitsgruppe angehört. Application Control prüft vor dem Anwenden der Regeln, ob der Computer Mitglied der angegebenen Sicherheitsgruppe ist.

Falls Sie die Details zur Gruppenmitgliedschaft manuell eingeben, müssen Sie den vollständig qualifizierten Namen verwenden.
Beispiel: CN=Computergruppe, OU=Abteilung, OU=Unternehmen, DC=Hauptdomäne.

Zugehörigkeit zu Org.-Einheit Verwenden Sie diese Geräteclientregel zum Anwenden von zulässigen Elementen, verweigerten Elementen, vertrauenswürdigen Anbietern und Benutzerrechten auf ein Drittherstellergerät, das einer bestimmten Organisationseinheit angehört.

Active Directory (AD)-basierte Clientbedingungen konvertieren den NetBIOS-Namen des Clients, den sie vom Windows-Terminalserver (oder Citrix-Entsprechung) erhalten haben, in einen FQDN, der für AD-Abfragen verwendet wird. Der FQDN kann nicht aufgelöst werden, wenn sich der Terminalserver in der übergeordneten Domäne befindet und versucht, den FQDN eines verbundenen Geräts in einer untergeordneten Domäne aufzulösen. Dies wirkt sich auf Geräteregeln und benutzerdefinierte Regeln mit Active Directory-basierten Clientbedingungen aus, die auf Terminalserver und VDIs in einer Stammdomäne angewendet werden.

Der Terminalserver muss mit dem DNS-Suffix aller untergeordneten Domänen konfiguriert sein. Die Suchliste muss auf allen Terminalservern konfiguriert sein, die zum Verbinden mit untergeordneten Domänen Namen auflösen müssen.

Beispiel: Für die übergeordnete Domäne "domain.local" müssen die untergeordneten Domänen "childa.domain.local" und "childb.domain.local" auf dem Terminalserver konfiguriert sein, damit AD-basierte Bedingungen korrekt bewerten können.

Informationen zum Konfigurieren von Suchlisten für Domänensuffixe finden Sie unter https://support.microsoft.com/en-gb/kb/275553.