Verwalten von Konfigurationen
In diesem Abschnitt werden folgende Themen behandelt:
- Erstellen von Konfigurationen
- Importieren von Konfigurationen
- Exportieren von Konfigurationen
- Speichern von Konfigurationen
- Testen von Konfigurationen
- Gruppenrichtlinienkonfigurationen
- Durchsuchen von Konfigurationen
Erstellen von Konfigurationen
Klicken Sie zum Erstellen einer neuen Konfiguration auf Datei > Neu.
Eine neue Konfiguration wird angezeigt. Sie verfügt automatisch über folgende Schutzeinstellungen:
- Anwendungen, die auf lokalen Festplatten gespeichert sind, werden unterbunden. Dies betrifft beispielsweise Anwendungen auf Netzwerklaufwerken und Wechselmedien. Anwendungen, die nicht im Besitz des Administrators stehen, werden ebenfalls unterbunden. So sind beispielsweise Anwendungen unzulässig, die von einem Nicht-Administrator auf die Festplatte des Computers kopiert werden.
- Alle Administratoren dürfen jede beliebige Anwendung ausführen.
Sie müssen eine neue Konfiguration zuerst speichern, damit die Standardeinstellungen implementiert werden.
Importieren von Konfigurationen
Konfigurationen können in Application Control implementiert werden.
-
Klicken Sie auf Datei > Importieren und Exportieren > Konfiguration aus MSI importieren.
Das Dialogfeld "Öffnen" wird angezeigt.
- Navigieren Sie an den Speicherort der MSI, wählen Sie sie aus und klicken Sie auf Öffnen.
Die Konfiguration wird in der Application Control-Konsole geöffnet.
Exportieren von Konfigurationen
Konfigurationen können aus Application Control exportiert werden.
-
Klicken Sie auf Datei > Importieren und Exportieren > Konfiguration als MSI-Paket exportieren.
Das Dialogfeld "Speichern unter" wird angezeigt.
- Navigieren Sie an den Speicherort, an dem die MSI-Datei gespeichert werden soll, und klicken Sie auf Speichern.
Speichern von Konfigurationen
Das Menü "Datei" enthält folgende Optionen zum Speichern von Konfigurationen:
Speichern
- Speichern und Bearbeitung fortsetzen – Speichert die Konfiguration und sperrt sie, solange sie zum Bearbeiten geöffnet ist. Vorgenommene Änderungen werden nicht in der Konfiguration bestätigt; die Konfiguration kann während der Sperrung nicht bereitgestellt werden.
- Speichern und entsperren – Speichert die Konfiguration und entsperrt sie, sodass sie bereitgestellt werden kann.
- Entsperren ohne speichern – Entsperrt die Konfiguration, ohne die Änderungen zu speichern.
Speichern unter
- Live-Konfiguration auf diesem Computer – Ersetzt/aktualisiert die Konfiguration auf dem lokalen Computer mit der derzeit geöffneten Konfiguration.
- Konfiguration in Management Center – Speichert die Konfiguration im Paketspeicher des ausgewählten Management Servers.
- Konfiguration in System Center Configuration Manager – Speichert die Konfiguration auf dem angegebenen System Center Configuration Manager-Server.
- Konfiguration in Gruppenrichtlinie – Ermöglicht die Erstellung der Konfiguration in einem ausgewählten Gruppenrichtlinienspeicher.
- Konfigurationsdatei auf Laufwerk – Speichert die Konfiguration auf einem Datenträger.
Testen von Konfigurationen
Richten Sie einen Testbenutzer ein, bevor Sie fortfahren. Das Testkonto darf nicht mit dem eines vertrauenswürdigen Besitzers der Konfiguration übereinstimmen.
- Melden Sie sich als Administrator auf einem Endpunkt an, auf dem die betreffende Application Control-Konfiguration installiert ist.
- Start Sie Application Control.
- Navigieren Sie in der Navigationsstruktur zu Regeln > Benutzer.
-
Klicken Sie im Menüband "Regeln" auf "Regel hinzufügen" und wählen Sie "Benutzerregel" aus.
Das Dialogfeld "Benutzerregel hinzufügen" wird angezeigt.
-
Klicken Sie auf Durchsuchen.
Das Active Directory-Dialogfeld "Benutzer auswählen" wird angezeigt.
- Klicken Sie auf Erweitert.
-
Klicken Sie auf Jetzt suchen.
Die Suchergebnisse werden unten im Dialogfeld angezeigt.
-
Blättern Sie nach unten, um den Testbenutzer ausfindig zu machen, wählen Sie ihn aus und klicken Sie auf OK.
Das Dialogfeld "Benutzer auswählen" wird angezeigt und der Testbenutzer wird im Objektnamen aufgeführt.
-
Klicken Sie auf OK.
Im Arbeitsbereich "Benutzerregel" wird der neu angelegte Testbenutzer angezeigt.
- Speichern Sie die Konfiguration.
- Melden Sie sich als Administrator ab.
- Melden Sie sich in der Rolle des Testbenutzers an, um die Funktionsweise von Application Control zu prüfen.
Gruppenrichtlinienkonfigurationen
Die Funktion "Gruppenrichtlinie" ermöglicht die zentralisierte Verwaltung und Konfiguration von Betriebssystemen, Anwendungen und Benutzereinstellungen in einer Active Directory-Umgebung. Application Control verwendet die Funktion "Gruppenrichtlinie", um Konfigurationen zu speichern und auf Computern einer bestimmten Organisationseinheit bereitzustellen, wobei keine zusätzliche Infrastruktur erforderlich ist. Zum Nutzen der Funktion müssen Sie zuerst die Remote Server Administration Tools installieren.
Weitere Informationen finden Sie unter Installieren oder Entfernen des Pakets "Remote Server Administration Tools".
Zum Hinzufügen einer Application Control-Konfigurationsdatei zu einem Gruppenrichtlinienobjekt (GRO), müssen Sie zuerst eine Domäne zur Auswahlliste hinzufügen, die Sie im Dialogfeld "Domäne auswählen" aufrufen können. Weitere Informationen finden Sie unter "Hinzufügen auswählbarer Domänen zur Liste".
Bei Bedarf können Sie die Konsole für die Verwaltung von Gruppenrichtlinien mit PowerShell über folgenden Befehl installieren:
Import-Module ServerManager (2008 Server and above)
Add-WindowsFeature -Name GPMC
Hinzufügen auswählbarer Domänen zur Liste
Im Dialogfeld "Domäne auswählen" können Sie eine Domäne zur Liste der auswählbaren Domänen hinzufügen. Nachdem die Domäne hinzugefügt wurde, können Sie die Konfiguration zu einem GRO in dieser Domäne anwenden.
-
Wählen Sie im Menü "Datei" Speichern unter oder Öffnen und dann Konfiguration in Gruppenrichtlinie aus.
Das Dialogfeld "Domäne auswählen" wird angezeigt.
-
Wählen Sie in der Symbolleiste das Symbol für "Hinzufügen" aus.
Das Dialogfeld "Domäne hinzufügen" wird angezeigt.
- Geben Sie den Namen der Domäne ein, die zur Liste hinzugefügt werden soll. Für die hinzuzufügende Domäne benötigen Sie ausreichende Berechtigungen.
- Klicken Sie auf die Schaltfläche Hinzufügen.
Die Domäne wird zur Liste hinzugefügt und kann ausgewählt werden.
Bereitstellen von Konfigurationen unter Verwendung von Gruppenrichtlinienobjekten
Wenn eine Konfiguration vollständig ist und bereitgestellt wurde, kopiert Client Side Extension die Konfiguration in das Verzeichnis Application Control %ProgramData% und legt dort auch die Datei "merge_manifest.xml" ab. Der Application Control Agent wird über die Aktualisierung informiert und die Datei "merge_manfest.xml" wird in den Zusammenführungsordner kopiert, sodass die Zusammenführung erfolgen kann. Die Einstellungen werden anschließend auf die verwalteten Endpunkte angewendet.
Nachdem die Konfiguration in das Gruppenrichtlinienobjekt (GRO) gespeichert wurde, unterliegt die Bereitstellung der Konfiguration den Gruppenrichtlinieneinstellungen Ihres Unternehmens.
Application Control unterstützt das Zusammenführen mehrerer Konfigurationen, die unter Verwendung der Gruppenrichtlinie bereitgestellt werden. Jedes GRO darf nur eine Konfiguration enthalten. Für mehrere Konfigurationen benötigen Sie entsprechend viele GROs. Befinden sich alle GROs in Active Directory auf derselben Ebene, richtet sich die Zusammenführung der Konfigurationen nach der Reihenfolge der Verknüpfungen, wobei die niedrigste Position die Basiskonfiguration ist.
Standardmäßig wird die Funktion "Gruppenrichtlinie" des Computers alle 90 Minuten im Hintergrund aktualisiert, mit einem willkürlichen Versatz von 0 bis 30 Minuten.
Speichern von Konfigurationen in ein GRO
Zum Speichern von Konfigurationen in ein GRO benötigen Sie ein Konto, das in dem Active Directory (AD)-Bereich, in dem Sie arbeiten, über Lese- und Schreibrechte verfügt. Sie können nur in diesem Bereich speichern und die Richtlinie gilt nur für die darin enthaltenen Computer.
Es muss eine Konfiguration mit der Application Control-Konsole erstellt werden und in einer Organisationseinheit der ausgewählten Domäne muss ein GRO angelegt worden sein.
- Erstellen Sie Ihre Ivanti Application Control-Konfigurationsdatei (AAMP).
-
Wählen Sie Datei > Speichern unter > Konfiguration in Gruppenrichtlinie aus.
Das Dialogfeld "Domäne auswählen" wird angezeigt.
-
Markieren Sie die ausgewählte Domäne und klicken Sie auf "Verbinden".
Falls die Domäne, in die Sie speichern möchten, nicht in der Liste verfügbar ist, müssen Sie sie hinzufügen.
Lesen Sie dazu den Abschnitt Hinzufügen auswählbarer Domänen zur Liste.
- Navigieren Sie zur Ihrer Organisationseinheit. Für die ausgewählte Organisationseinheit benötigen Sie ausreichende Berechtigungen.
- Wählen Sie das GRO aus und klicken Sie auf Speichern.
-
Falls das GRO nicht existiert, klicken Sie mit der rechten Maustaste in die Ziel-Organisationseinheit und wählen Sie "GRO in dieser Domäne erstellen und hier verknüpfen" aus.
Auf einigen Endpunkten kann es beim Speichern des GRO in Ihr Active Directory (AD) zu Verzögerungen kommen. Dies liegt daran, dass die AD-Replikation auf mehreren Domänencontrollern ausgeführt werden muss und Application Control das GRO erst dann ermitteln kann, wenn die Replikation abgeschlossen ist.
Das GRO mit der Konfiguration ist an folgendem Speicherort gespeichert und kann anhand seiner eindeutigen GUID identifiziert werden.
\\<Domain Controller>\SysVol\<domain.fqdn>\Policies\<guid for GPO>\Machine\AppSense
Falls mehrere Konfigurationen über die Gruppenrichtlinie auf einem Endpunkt bereitgestellt werden, findet eine Zusammenführung der Endpunktkonfigurationen statt. Die Datei "merged_configuration.aamp" hat in dem Fall Vorrang gegenüber der vorhandenen Konfiguration. Weitere Informationen finden Sie unter
Zusammenführen von Endpunktkonfigurationen.
Durchsuchen von Konfigurationen
Konfigurationen können ziemlich groß werden, wenn Gruppen und Regelsätze hinzugefügt werden.Um einfacher zu einem bestimmten Bereich der Konfiguration zu navigieren, können Sie eine Textsuche durchführen, um die Stelle in der Konfiguration zu finden, an der das gewünschte Element konfiguriert ist.
So durchsuchen Sie eine Konfiguration:
Nehmen wir als Beispiel "widget.exe". Angenommen, Sie haben Regeln für "widget.exe" konfiguriert, wissen aber nicht mehr in welcher Gruppe oder welchem Regelsatz.
1.Navigieren Sie zum Menü Bearbeiten > Optionen und wählen Sie Konfiguration durchsuchen aus.
Das Dialogfeld "Konfiguration durchsuchen" wird angezeigt.
2.Geben Sie in das Suchfeld den Text ein, nach dem Sie suchen möchten, zum Beispiel widget.
3.Alle Gruppen und Regelsätze in der Konfiguration werden nach dem Begriff widget durchsucht. Die gefundenen Instanzen werden in der Ergebnisliste angezeigt.
4.Klicken Sie auf eines der Ergebnisse, um die betreffende Stelle innerhalb der Konfiguration zu öffnen.
Sie können im Konfigurationseditor arbeiten, während das Dialogfeld für die Suche geöffnet ist. Falls Sie die Suchergebnisse beibehalten und das Dialogfeld nur vorübergehend ausblenden möchten, wählen Sie Schließen aus. Zum erneuten Anzeigen wählen Sie Konfiguration durchsuchen aus.