Bedingungsverwaltung
In diesem Abschnitt werden folgende Themen behandelt:
- Wissenswertes über Bedingungen
- Erstellen von Bedingungen
- Bedingungsvariablen
- Feldvalidierung
- Active Directory-basierte Bedingungen für Geräte in untergeordneten Domänen
Wissenswertes über Bedingungen
Bedinugungen werden verwendet, um Regeln zu erstellen, mit denen Aktionen auf der Grundlage ausgeführt werden, wer, von wo oder wie sich ein Benutzer mit einem Computer oder einer Anwendung verbindet. Bedingungen auf Basis von Verzeichniszugehörigkeit, Benutzer, Computer, Sitzung und Client können verwendet werden, um eine Konfiguration anzulegen, mit der die Computernutzung in einem Unternehmen definiert werden kann.
Sie bilden die Brücke zwischen Triggern und Aktionen und liefern den Kontext für das Durchführen einer Aktion. Beispiel:
Trigger | Bedingung | Aktion |
---|---|---|
Benutzer > Anmelden | Benutzer > Benutzername | Laufwerk zuordnen |
Die Aktion besteht aus der Zuordnung eines Laufwerks, wenn sich ein Benutzer anmeldet. Die Bedingung lässt zu, dass ein Benutzer festgelegt wird, sodass das Laufwerk nur für den entsprechenden Benutzer zugeordnet wird. Ohne die Bedingung würde das Laufwerk für alle Benutzer bei der Anmeldung zugeordnet werden.
Aktionen können auf "Ausführung" gesetzt werden, wenn die Kriterien in der Bedingung für den Benutzer oder Computer "wahr" oder "falsch" sind. Zum Beispiel kann eine Bedingung erstellt werden, die die verbundenen Aktionen auf einem angegebenen Computer durchführt, oder die Aktionen können auf "Durchführen" gesetzt sein, für jeden Computer, außer dem angegebenen. Es können auch reguläre Ausdrücke und Bereiche verwendet werden, um erweiterte Bedingungen zu erstellen, die auf mehrere Übereinstimmungen zutreffen.
Einfache reguläre Ausdrücke können verwendet werden, etwa die Eingabe von [abc], die mit allen Einträgen übereinstimmt, die einen der Buchstaben in Klammern enthalten. Es können auch komplexere Abfragen verwendet werden, z. B. ^[a-f]+, wodurch alle Benutzernamen ermittelt werden, die mit einem Buchstaben zwischen a und f beginnen.
Weitere Informationen finden Sie unter Platzhalter und reguläre Ausdrücke.
Die Positionierung einer Bedingung im Navigationsbaum der Richtlinienkonfiguration bestimmt, wie sie angwendet wird. Bedingungen auf der gleichen Ebene des Baums werden gleichzeitig bewertet. Eine Bedingung, die einer anderen Bedingung untergeordnet ist, wird erst ausgewertet, nachdem die übergeordnete Bedingung erfolgreich ausgeführt wurde. Alle Bedingungen mit Ausnahme von "Zähler" können in den meisten Triggern auch der Registerkarte "Umgebung" hinzugefügt werden.
Bei allen Bedingungen, die eine Abfrage bei Active Directory durchführen, muss der Environment Manager-Administrator ein Mitglied der Zieldomäne sein oder über ausreichende Berechtigungen für den Zugriff auf und die Abfrage dieser Domäne verfügen.
Erstellen von Bedingungen
Dieser Abschnitt gilt nur für die Erstellung von Verzeichniszugehörigkeits-, Benutzer-, Computer- sowie Sitzungs- & Client-Bedingungen, da die Dialogfelder, die von diesen Bedingungen verwendet werden, dem gleichen Format folgen.
- Wählen Sie im Navigationsbaum "Richtlinienkonfiguration" einen Knoten aus oder erstellen Sie im Trigger, auf den Sie die Bedingung anwenden möchten, einen neuen Knoten.
Die Bedingung kann auf der Registerkarte Umgebung direkt dem Trigger hinzugefügt werden.
- Wählen Sie im Menüband "Bedingungen" die gewünschte Bedingung aus.
Standardmäßig wird die Registerkarte "Bedingung" angezeigt, die für den Bedingungstyp spezifisch ist. Auf dieser Registerkarte können die Parameter gesetzt werden, die eine gemeinsame Gruppe von Optionen und Feldern verwenden. Weitere Details finden Sie unter Bedingungsvariablen.
- Definieren Sie die Bedingung mithilfe der verfügbaren Felder und Kontrollkästchen.
- Wählen Sie die Registerkarte Allgemein aus.
- Geben Sie eine Beschreibung und alle optionalen Knoten ein. Die Beschreibungen werden als Anzeigenamen für die Bedingungen verwendet. Wenn dieses Feld leer gelassen wird, wird der Anzeigename automatisch der konfigurierten Bedingung entnommen.
- Klicken Sie auf OK, um die Bedingung zu speichern.
Der Environment Manager Agent verwendet die Bedingung, um eine Übereinstimmung mit den gleichen Kriterien für einen angemeldeten Benutzer zu finden. Wird eine Übereinstimmung gefunden, werden die mit der Bedingung verbundenen Aktionen ausgeführt.
Nach der Erstellung können Sie verhindern, dass eine fehlgeschlagene Aktion weiterhin für alle abhängigen Unterknoten ausgeführt wird, indem Sie das Kontrollkästchen Unterknoten bei Fehlschlagen stoppen im Knotenarbeitsbereich markieren. Unterknoten bei Fehlschlagen stoppen wird für eine neue Bedingung standardmäßig aktiviert.
Bedingungsvariablen
Jeder Bedingungstyp kann mithilfe verschiedener Kombinationen der folgenden Felder, Dropdownlisten und Kontrollkästchen festgelegt werden:
- Gleich – Es wird ein Vergleich mit dem Inhalt des Feldes Abgleichen mit vorgenommen, um die Benutzer oder Computer zu finden, die diese Kriterien erfüllen. Geben Sie die Kriterien in das Feld Abgleichen mit ein oder nutzen Sie die Auslassungspunkte (...), um das Gewünschte zu suchen oder auszuwählen.
- Nicht gleich – Sucht alle Benutzer oder Computer, die die Kriterien im Feld Abgleichen mit nicht erfüllen. Geben Sie die Kriterien in das Feld Abgleichen mit ein oder nutzen Sie die Auslassungspunkte (...), um das Gewünschte zu suchen oder auszuwählen.
- Abfrage – Sucht alle Benutzer oder Computer, die den im Feld Abfrage festgelegten Bedingungen entsprechen. Durch die Verwendung von Platzhaltern in der Abfrage kann ein größerer Bereich ausgewählt werden. Beispiel:
- *Windows – zielt auf alle Benutzer oder Computer ab, die mit dem Text "Windows" enden.
- Windows* – zielt auf alle Benutzer oder Computer ab, die mit dem Text "Windows" beginnen.
- *Windows* – zielt auf alle Benutzer oder Computer ab, die den Text "Windows" enthalten.
- Regulärer Ausdruck – Verwenden Sie reguläre Ausdrücke, um fortgeschrittene Abfragen nach Benutzern oder Computern zu formulieren.
- Zwischen – Wird für Bedingungen verwendet, für die ein Wertebereich festgelegt werden kann. Zum Beispiel könnte eine Bedingung angelegt werden, die für einen ausgewählten Bereich von IP-Adressen gilt.
- Einmal pro Sitzung prüfen – Wenn aktiviert, wird eine Bedingung geprüft und das Ergebnis im Cache hinterlegt. Wenn die Bedingung erneut ausgeführt wird, wird das Ergebnis aus dem Cache abgerufen, anstatt die Bedingung erneut auszuwerten. Wenn Sie möchten, dass mehrere Instanzen derselben Bedingung nur einmal ausgewertet werden, muss eine wiederverwendbare Bedingung angelegt und mehrfach referenziert werden. Wenn Sie mehrere Bedingungen anlegen, werden sie alle einmal ausgeführt. Wenn ein wiederverwendbarer Knoten mehrere Male referenziert wird, findet nur einmal pro Sitzung eine Auswertung statt.
- Diese Option ist für Bedingungen in den Triggern Prozessstart und Prozessstopp nicht verfügbar.
Das Verhalten rund um diese Option hat sich in 8.1 geändert. Vor Version 8.1 wurde die Option ausgewertet, wenn die Konfiguration für die Sitzung analysiert und im Cache hinterlegt wurde. In 8.1 und nachfolgenden Versionen wird die Option erst ausgewertet, wenn der Trigger ausgelöst wird. Dies geschieht, wenn das Ergebnis für die gesamte Sitzung im Cache hinterlegt wird.
Zum Beispiel wird eine Prozessstart-Bedingung für calc.exe angelegt, für die das Kontrollkästchen Einmal pro Sitzung prüfen markiert ist. In 8.0 würde das Ergebnis für die Sitzung im Cache hinterlegt, wenn bei der Anmeldung die Konfiguration analysiert wird. In 8.x wird das Ergebnis erst im Cache hinterlegt, wenn "calc.exe" ausgeführt wird.
Mit der einfachen Konfiguration unten wird Drucker 1 beim Anmelden Endpunkt 1 zugeordnet. Beim Anmelden vergleicht der Environment Manager Agent die verwalteten Computer mit dem in der Bedingung festgelegten Computer "Endpunkt 1". Wenn die Bedingung erfüllt ist, wird die Aktion ausgeführt, mit der als Drucker "Drucker 1" zugeordnet wird. Wenn der verwaltete Computer nicht Endpunkt 1 ist, wird die Aktion ignoriert.
In der Environment Manager-Konsole, würde das Beispiel wie folgt aussehen:
Das Hinzufügen einer weiteren Bedingung auf der gleichen Ebene legt eine OR-Bedingung an. Mit dieser Konfiguration wird Drucker 1 beim Anmelden Endpunkt 1 ODER Endpunkt 5 zugeordnet. Wenn der Computer einer der genannten ist, wird die Aktion ausgeführt, mit der als Drucker "Drucker 1" zugeordnet wird. Wenn der verwaltete Computer nicht Endpunkt 1 oder Endpunkt 5 ist, wird die Aktion ignoriert.
Wenn eine Bedingung eine Unterbedingung einer anderen ist, wird eine AND-Bedingung angelegt. Eine Bedingung, die prüft, ob der Benutzer ein Administrator ist, wurde einer anderen Bedingung als Unterbedingung hinzugefügt. Durch dieses Hinzufügen wird die Aktion für die angegebenen Computer ausgeführt UND der Benutzer ist ein Administrator.
AND- und OR-Anweisungen können zu AND OR-Bedingungen kombiniert werden. Mit dieser Konfiguration wird Drucker 1 beim Anmelden Endpunkt 1 ODER Endpunkt 5 für Benutzer zugeordnet, die über Administratorrechte verfügen.
Die Anzahl der Bedingungen, die AND- und OR-Bedingungen hinzugefügt werden können, ist unbegrenzt, ebenso die Anzahl der AND OR-Bedingungen, die verwendet werden können.
Die AND OR-Beschriftungen und die Hintergrundfarben der Elemente können im Menüband Optionen ein- und ausgeschaltet werden.
Feldvalidierung
Die Tabelle unten führt die Zeichenfolgen auf, die in den Feldern der verschiedenen Bedingungen akzeptiert werden.
Bedingung | Feld | Zulässige Zeichenfolge | Beispiel |
---|---|---|---|
Benutzergruppe | Abgleichen | Domäne\Gruppe | ivanti/sales steht für die Gruppe "sales" in der ivanti Domäne. |
LDAP | CN=sales, DC=ivanti, DC=com steht für die Gruppe "sales" in der ivanti Domäne. | ||
Abfrage | Domäne\Gru* | ivanti\sal* entspricht Gruppennamen, die mit "sal" in der ivanti Domäne beginnen. | |
Domäne\*Gru | ivanti\*les entspricht Gruppennamen, die mit "les" in der ivanti Domäne enden. | ||
Domäne\*Gru* | ivanti\*ale* entspricht Gruppennamen, die "ale" in der ivanti Domäne enthalten. | ||
Benutzername | Abgleichen | Domäne\Benutzer | ivanti\mustermannj steht für den Benutzernamen "mustermannj" in der Domäne "ivanti". |
Abfrage | Domäne\Ben* | ivanti\muster* entspricht Gruppennamen, die mit "muster" in der ivanti Domäne beginnen. | |
Domäne\*Ben | ivanti\*mann entspricht Gruppennamen, die mit "mann" in der ivanti Domäne enden. | ||
Domäne\*Ben* | ivanti\*ann* entspricht Gruppennamen, die "ann" in der ivanti Domäne enthalten. | ||
Computergruppe | Abgleichen | Domäne\Gruppe | ivanti\sales steht für die Gruppe "sales" in der ivanti Domäne. |
LDAP | CN=sales, DC=ivanti, DC=com steht für die Gruppe "sales" in der ivanti Domäne. | ||
Abfrage | Domäne\Gru* | ivanti\sal* entspricht Gruppennamen, die mit "sal" in der ivanti Domäne beginnen. | |
Domäne\*Gru | ivanti\*les entspricht Gruppennamen, die mit "les" in der ivanti Domäne enden. | ||
Domäne\*Gru* | ivanti\*ale* entspricht Gruppennamen, die "ale" in der ivanti Domäne enthalten. | ||
Computername | Abgleichen | Computer | SalesDesk01 entspricht dem Computernamen "SalesDesk01". |
Abfrage | Comp* | SalesDesk* entspricht allen Computernamen, die mit "SalesDesk" beginnen. | |
*Comp | Desk01* entspricht allen Computernamen, die mit "Desk01" beginnen. | ||
*Comp* | *Desk* entspricht allen Computernamen, die "Desk" enthalten. | ||
Computer-Domäne | Abgleichen | Domäne | ivanti entspricht dem Domänennamen "ivanti". |
Domäne | ivanti.com entspricht dem Domänennamen "ivanti.com". | ||
Abfrage | Dom* | iva* entspricht allen Computerdomänen, die mit "iva" beginnen. | |
*Dom | nti* entspricht allen Computerdomänen, die mit "nti" enden. | ||
*Dom* | *ant* entspricht den Domänen, die "ant" enthalten. | ||
Computer NETBIOS | Abgleichen | Computer | SalesDesk01 entspricht dem Computer-NETBIOS-Namen "SalesDesk01". |
Abfrage | Comp* | SalesDesk* entspricht allen Computernamen, die mit "SalesDesk" beginnen. | |
*Comp | Desk01* entspricht allen Computernamen, die mit "Desk01" enden | ||
*Comp* | *Desk* entspricht allen Computernamen, die "Desk" enthalten. | ||
Computer-IP-Adresse | Abgleichen | xxxx.xxxx.xxxx.xxxx | 192.168.0.1 entspricht der IP-Adresse 192.168.0.1. |
zwischen | xxxx.xxxx.xxxx.xxxx yyyy.yyyy.yyyy.yyyy | IP Address 1: 192.168.0.1, IP Address 2: 192.168.0.254 entspricht allen IP-Adressen zwischen "192.168.0.1" und "192.168.0.254". | |
Zugehörigkeit des Benutzers zu Org.-Einheit | Abgleichen | LDAP | CN=sales, DC=ivanti, DC=com entspricht der Verzeichniszugehörigkeit der Benutzerorganisationseinheit "sales" in der ivanti.com-Domäne. |
Abfrage | Org.-Einheit* | sales* entspricht den Benutzerorganisationseinheitsnamen, die mit "sales" beginnen. | |
*Org.-Einheit | *sales entspricht den Benutzerorganisationseinheitsnamen, die mit "sales" enden. | ||
*Org.-Einheit* | *sales* entspricht den Benutzerorganisationseinheitsnamen, die "sales" enthalten. | ||
Zugehörigkeit des Computers zu Org.-Einheit | Abgleichen | LDAP | CN=sales, DC=ivanti, DC=com entspricht der Verzeichniszugehörigkeit der Computerorganisationseinheit "sales" in der ivanti.com-Domäne. |
Abfrage | Org.-Einheit* | sales* entspricht den Computerorganisationseinheitsnamen, die mit "sales" beginnen. | |
*Org.-Einheit | *sales entspricht den Computerorganisationseinheitsnamen, die mit "sales" enden. | ||
*Org.-Einheit* | *sales* entspricht den Computerorganisationseinheitsnamen, die "sales" enthalten. | ||
Verzeichnis-Site | Abgleichen | Sitename | testsite entspricht dem Sitenamen "testsite". |
Active Directory-basierte Bedingungen für Geräte in untergeordneten Domänen
Active Directory (AD)-basierte Clientbedingungen konvertieren den NetBIOS-Namen des Clients, den sie vom Windows-Terminalserver (oder Citrix-Entsprechung) erhalten haben, in einen FQDN, der für AD-Abfragen verwendet wird. Der FQDN kann nicht aufgelöst werden, wenn sich der Terminalserver in der übergeordneten Domäne befindet und versucht, den FQDN eines verbundenen Geräts in einer untergeordneten Domäne aufzulösen. Dies wirkt sich auf Geräteregeln und benutzerdefinierte Regeln mit Active Directory-basierten Clientbedingungen aus, die auf Terminalserver und VDIs in einer Stammdomäne angewendet werden.
Der Terminalserver muss mit dem DNS-Suffix aller untergeordneten Domänen konfiguriert sein. Die Suchliste muss auf allen Terminalservern konfiguriert sein, die zum Verbinden mit untergeordneten Domänen Namen auflösen müssen.
Beispiel: Für die übergeordnete Domäne "domain.local" müssen die untergeordneten Domänen "childa.domain.local" und "childb.domain.local" auf dem Terminalserver konfiguriert sein, damit AD-basierte Bedingungen korrekt bewerten können.
Informationen zum Konfigurieren von Suchlisten für Domänensuffixe finden Sie unter https://support.microsoft.com/en-gb/kb/275553.