Bedingungsverwaltung

In diesem Abschnitt werden folgende Themen behandelt:

Wissenswertes über Bedingungen

Bedinugungen werden verwendet, um Regeln zu erstellen, mit denen Aktionen auf der Grundlage ausgeführt werden, wer, von wo oder wie sich ein Benutzer mit einem Computer oder einer Anwendung verbindet. Bedingungen auf Basis von Verzeichniszugehörigkeit, Benutzer, Computer, Sitzung und Client können verwendet werden, um eine Konfiguration anzulegen, mit der die Computernutzung in einem Unternehmen definiert werden kann.

Sie bilden die Brücke zwischen Triggern und Aktionen und liefern den Kontext für das Durchführen einer Aktion. Beispiel:

Trigger Bedingung Aktion
Benutzer > Anmelden Benutzer > Benutzername Laufwerk zuordnen

Die Aktion besteht aus der Zuordnung eines Laufwerks, wenn sich ein Benutzer anmeldet. Die Bedingung lässt zu, dass ein Benutzer festgelegt wird, sodass das Laufwerk nur für den entsprechenden Benutzer zugeordnet wird. Ohne die Bedingung würde das Laufwerk für alle Benutzer bei der Anmeldung zugeordnet werden.

Aktionen können auf "Ausführung" gesetzt werden, wenn die Kriterien in der Bedingung für den Benutzer oder Computer "wahr" oder "falsch" sind. Zum Beispiel kann eine Bedingung erstellt werden, die die verbundenen Aktionen auf einem angegebenen Computer durchführt, oder die Aktionen können auf "Durchführen" gesetzt sein, für jeden Computer, außer dem angegebenen. Es können auch reguläre Ausdrücke und Bereiche verwendet werden, um erweiterte Bedingungen zu erstellen, die auf mehrere Übereinstimmungen zutreffen.

Einfache reguläre Ausdrücke können verwendet werden, etwa die Eingabe von [abc], die mit allen Einträgen übereinstimmt, die einen der Buchstaben in Klammern enthalten. Es können auch komplexere Abfragen verwendet werden, z. B. ^[a-f]+, wodurch alle Benutzernamen ermittelt werden, die mit einem Buchstaben zwischen a und f beginnen.

Die Positionierung einer Bedingung im Navigationsbaum der Richtlinienkonfiguration bestimmt, wie sie angwendet wird. Bedingungen auf der gleichen Ebene des Baums werden gleichzeitig bewertet. Eine Bedingung, die einer anderen Bedingung untergeordnet ist, wird erst ausgewertet, nachdem die übergeordnete Bedingung erfolgreich ausgeführt wurde. Alle Bedingungen mit Ausnahme von "Zähler" können in den meisten Triggern auch der Registerkarte "Umgebung" hinzugefügt werden.

Bei allen Bedingungen, die eine Abfrage bei Active Directory durchführen, muss der Environment Manager-Administrator ein Mitglied der Zieldomäne sein oder über ausreichende Berechtigungen für den Zugriff auf und die Abfrage dieser Domäne verfügen.

Erstellen von Bedingungen

Dieser Abschnitt gilt nur für die Erstellung von Verzeichniszugehörigkeits-, Benutzer-, Computer- sowie Sitzungs- & Client-Bedingungen, da die Dialogfelder, die von diesen Bedingungen verwendet werden, dem gleichen Format folgen.

  1. Wählen Sie im Navigationsbaum "Richtlinienkonfiguration" einen Knoten aus oder erstellen Sie im Trigger, auf den Sie die Bedingung anwenden möchten, einen neuen Knoten.

    Die Bedingung kann auf der Registerkarte Umgebung direkt dem Trigger hinzugefügt werden.

  2. Wählen Sie im Menüband "Bedingungen" die gewünschte Bedingung aus.

    Standardmäßig wird die Registerkarte "Bedingung" angezeigt, die für den Bedingungstyp spezifisch ist. Auf dieser Registerkarte können die Parameter gesetzt werden, die eine gemeinsame Gruppe von Optionen und Feldern verwenden. Weitere Details finden Sie unter Bedingungsvariablen.

  3. Definieren Sie die Bedingung mithilfe der verfügbaren Felder und Kontrollkästchen.
  4. Wählen Sie die Registerkarte Allgemein aus.
  5. Geben Sie eine Beschreibung und alle optionalen Knoten ein. Die Beschreibungen werden als Anzeigenamen für die Bedingungen verwendet. Wenn dieses Feld leer gelassen wird, wird der Anzeigename automatisch der konfigurierten Bedingung entnommen.
  6. Klicken Sie auf OK, um die Bedingung zu speichern.

Der Environment Manager Agent verwendet die Bedingung, um eine Übereinstimmung mit den gleichen Kriterien für einen angemeldeten Benutzer zu finden. Wird eine Übereinstimmung gefunden, werden die mit der Bedingung verbundenen Aktionen ausgeführt.

Nach der Erstellung können Sie verhindern, dass eine fehlgeschlagene Aktion weiterhin für alle abhängigen Unterknoten ausgeführt wird, indem Sie das Kontrollkästchen Unterknoten bei Fehlschlagen stoppen im Knotenarbeitsbereich markieren. Unterknoten bei Fehlschlagen stoppen wird für eine neue Bedingung standardmäßig aktiviert.

Bedingungsvariablen

Jeder Bedingungstyp kann mithilfe verschiedener Kombinationen der folgenden Felder, Dropdownlisten und Kontrollkästchen festgelegt werden:

  • Gleich – Es wird ein Vergleich mit dem Inhalt des Feldes Abgleichen mit vorgenommen, um die Benutzer oder Computer zu finden, die diese Kriterien erfüllen. Geben Sie die Kriterien in das Feld Abgleichen mit ein oder nutzen Sie die Auslassungspunkte (...), um das Gewünschte zu suchen oder auszuwählen.
  • Nicht gleich – Sucht alle Benutzer oder Computer, die die Kriterien im Feld Abgleichen mit nicht erfüllen. Geben Sie die Kriterien in das Feld Abgleichen mit ein oder nutzen Sie die Auslassungspunkte (...), um das Gewünschte zu suchen oder auszuwählen.
  • Abfrage – Sucht alle Benutzer oder Computer, die den im Feld Abfrage festgelegten Bedingungen entsprechen. Durch die Verwendung von Platzhaltern in der Abfrage kann ein größerer Bereich ausgewählt werden. Beispiel:
    • *Windows – zielt auf alle Benutzer oder Computer ab, die mit dem Text "Windows" enden.
    • Windows* – zielt auf alle Benutzer oder Computer ab, die mit dem Text "Windows" beginnen.
    • *Windows* – zielt auf alle Benutzer oder Computer ab, die den Text "Windows" enthalten.
  • Regulärer Ausdruck – Verwenden Sie reguläre Ausdrücke, um fortgeschrittene Abfragen nach Benutzern oder Computern zu formulieren.
  • Zwischen – Wird für Bedingungen verwendet, für die ein Wertebereich festgelegt werden kann. Zum Beispiel könnte eine Bedingung angelegt werden, die für einen ausgewählten Bereich von IP-Adressen gilt.
  • Einmal pro Sitzung prüfen – Wenn aktiviert, wird eine Bedingung geprüft und das Ergebnis im Cache hinterlegt. Wenn die Bedingung erneut ausgeführt wird, wird das Ergebnis aus dem Cache abgerufen, anstatt die Bedingung erneut auszuwerten. Wenn Sie möchten, dass mehrere Instanzen derselben Bedingung nur einmal ausgewertet werden, muss eine wiederverwendbare Bedingung angelegt und mehrfach referenziert werden. Wenn Sie mehrere Bedingungen anlegen, werden sie alle einmal ausgeführt. Wenn ein wiederverwendbarer Knoten mehrere Male referenziert wird, findet nur einmal pro Sitzung eine Auswertung statt.
  • Diese Option ist für Bedingungen in den Triggern Prozessstart und Prozessstopp nicht verfügbar.

Das Verhalten rund um diese Option hat sich in 8.1 geändert. Vor Version 8.1 wurde die Option ausgewertet, wenn die Konfiguration für die Sitzung analysiert und im Cache hinterlegt wurde. In 8.1 und nachfolgenden Versionen wird die Option erst ausgewertet, wenn der Trigger ausgelöst wird. Dies geschieht, wenn das Ergebnis für die gesamte Sitzung im Cache hinterlegt wird.

Zum Beispiel wird eine Prozessstart-Bedingung für calc.exe angelegt, für die das Kontrollkästchen Einmal pro Sitzung prüfen markiert ist. In 8.0 würde das Ergebnis für die Sitzung im Cache hinterlegt, wenn bei der Anmeldung die Konfiguration analysiert wird. In 8.x wird das Ergebnis erst im Cache hinterlegt, wenn "calc.exe" ausgeführt wird.

Feldvalidierung

Die Tabelle unten führt die Zeichenfolgen auf, die in den Feldern der verschiedenen Bedingungen akzeptiert werden.

Bedingung Feld Zulässige Zeichenfolge Beispiel
Benutzergruppe Abgleichen Domäne\Gruppe ivanti/sales steht für die Gruppe "sales" in der ivanti Domäne.
LDAP CN=sales, DC=ivanti, DC=com steht für die Gruppe "sales" in der ivanti Domäne.
Abfrage Domäne\Gru* ivanti\sal* entspricht Gruppennamen, die mit "sal" in der ivanti Domäne beginnen.
Domäne\*Gru ivanti\*les entspricht Gruppennamen, die mit "les" in der ivanti Domäne enden.
Domäne\*Gru* ivanti\*ale* entspricht Gruppennamen, die "ale" in der ivanti Domäne enthalten.
Benutzername Abgleichen Domäne\Benutzer ivanti\mustermannj steht für den Benutzernamen "mustermannj" in der Domäne "ivanti".
Abfrage Domäne\Ben* ivanti\muster* entspricht Gruppennamen, die mit "muster" in der ivanti Domäne beginnen.
Domäne\*Ben ivanti\*mann entspricht Gruppennamen, die mit "mann" in der ivanti Domäne enden.
Domäne\*Ben* ivanti\*ann* entspricht Gruppennamen, die "ann" in der ivanti Domäne enthalten.
Computergruppe Abgleichen Domäne\Gruppe ivanti\sales steht für die Gruppe "sales" in der ivanti Domäne.
LDAP CN=sales, DC=ivanti, DC=com steht für die Gruppe "sales" in der ivanti Domäne.
Abfrage Domäne\Gru* ivanti\sal* entspricht Gruppennamen, die mit "sal" in der ivanti Domäne beginnen.
Domäne\*Gru ivanti\*les entspricht Gruppennamen, die mit "les" in der ivanti Domäne enden.
Domäne\*Gru* ivanti\*ale* entspricht Gruppennamen, die "ale" in der ivanti Domäne enthalten.
Computername Abgleichen Computer SalesDesk01 entspricht dem Computernamen "SalesDesk01".
Abfrage Comp* SalesDesk* entspricht allen Computernamen, die mit "SalesDesk" beginnen.
*Comp Desk01* entspricht allen Computernamen, die mit "Desk01" beginnen.
*Comp* *Desk* entspricht allen Computernamen, die "Desk" enthalten.
Computer-Domäne Abgleichen Domäne ivanti entspricht dem Domänennamen "ivanti".
Domäne ivanti.com entspricht dem Domänennamen "ivanti.com".
Abfrage Dom* iva* entspricht allen Computerdomänen, die mit "iva" beginnen.
*Dom nti* entspricht allen Computerdomänen, die mit "nti" enden.
*Dom* *ant* entspricht den Domänen, die "ant" enthalten.
Computer NETBIOS Abgleichen Computer SalesDesk01 entspricht dem Computer-NETBIOS-Namen "SalesDesk01".
Abfrage Comp* SalesDesk* entspricht allen Computernamen, die mit "SalesDesk" beginnen.
*Comp Desk01* entspricht allen Computernamen, die mit "Desk01" enden
*Comp* *Desk* entspricht allen Computernamen, die "Desk" enthalten.
Computer-IP-Adresse Abgleichen xxxx.xxxx.xxxx.xxxx 192.168.0.1 entspricht der IP-Adresse 192.168.0.1.
zwischen xxxx.xxxx.xxxx.xxxx yyyy.yyyy.yyyy.yyyy IP Address 1: 192.168.0.1, IP Address 2: 192.168.0.254 entspricht allen IP-Adressen zwischen "192.168.0.1" und "192.168.0.254".
Zugehörigkeit des Benutzers zu Org.-Einheit Abgleichen LDAP CN=sales, DC=ivanti, DC=com entspricht der Verzeichniszugehörigkeit der Benutzerorganisationseinheit "sales" in der ivanti.com-Domäne.
Abfrage Org.-Einheit* sales* entspricht den Benutzerorganisationseinheitsnamen, die mit "sales" beginnen.
*Org.-Einheit *sales entspricht den Benutzerorganisationseinheitsnamen, die mit "sales" enden.
*Org.-Einheit* *sales* entspricht den Benutzerorganisationseinheitsnamen, die "sales" enthalten.
Zugehörigkeit des Computers zu Org.-Einheit Abgleichen LDAP CN=sales, DC=ivanti, DC=com entspricht der Verzeichniszugehörigkeit der Computerorganisationseinheit "sales" in der ivanti.com-Domäne.
Abfrage Org.-Einheit* sales* entspricht den Computerorganisationseinheitsnamen, die mit "sales" beginnen.
*Org.-Einheit *sales entspricht den Computerorganisationseinheitsnamen, die mit "sales" enden.
*Org.-Einheit* *sales* entspricht den Computerorganisationseinheitsnamen, die "sales" enthalten.
Verzeichnis-Site Abgleichen Sitename testsite entspricht dem Sitenamen "testsite".

Active Directory-basierte Bedingungen für Geräte in untergeordneten Domänen

Active Directory (AD)-basierte Clientbedingungen konvertieren den NetBIOS-Namen des Clients, den sie vom Windows-Terminalserver (oder Citrix-Entsprechung) erhalten haben, in einen FQDN, der für AD-Abfragen verwendet wird. Der FQDN kann nicht aufgelöst werden, wenn sich der Terminalserver in der übergeordneten Domäne befindet und versucht, den FQDN eines verbundenen Geräts in einer untergeordneten Domäne aufzulösen. Dies wirkt sich auf Geräteregeln und benutzerdefinierte Regeln mit Active Directory-basierten Clientbedingungen aus, die auf Terminalserver und VDIs in einer Stammdomäne angewendet werden.

Der Terminalserver muss mit dem DNS-Suffix aller untergeordneten Domänen konfiguriert sein. Die Suchliste muss auf allen Terminalservern konfiguriert sein, die zum Verbinden mit untergeordneten Domänen Namen auflösen müssen.

Beispiel: Für die übergeordnete Domäne "domain.local" müssen die untergeordneten Domänen "childa.domain.local" und "childb.domain.local" auf dem Terminalserver konfiguriert sein, damit AD-basierte Bedingungen korrekt bewerten können.

Informationen zum Konfigurieren von Suchlisten für Domänensuffixe finden Sie unter https://support.microsoft.com/en-gb/kb/275553.

Verwandte Themen