Gestion des conditions
Dans cette section :
- À propos des conditions
- Création d'une condition
- Variables de condition
- Validation des champs
- Conditions reposant sur Active Directory pour les périphériques des domaines enfant
À propos des conditions
Les conditions servent à créer des règles, qui autorisent l'exécution d'actions en fonction du nom de l'utilisateur, de l'endroit depuis lequel il se connecte à un ordinateur ou à une application, et du mode de connexion utilisé. Vous pouvez utiliser des conditions reposant sur les critères Appartenance à l'annuaire, Utilisateur, Ordinateur, Session et Client, afin de créer une configuration pour définir l'utilisation des ordinateurs dans l'ensemble d'une entreprise.
Elles font le pont entre déclencheurs et actions, pour fournir le contexte d'application de l'action. Exemple :
| Déclencheur | Condition | Action |
|---|---|---|
| Utilisateur > Connexion | Utilisateur > Nom d'utilisateur | Mapper un lecteur |
L'action consiste à mapper un lecteur lorsqu'un utilisateur se connecte. La condition permet d'indiquer un utilisateur pour que le lecteur soit mappé uniquement pour cet utilisateur spécifique. Sans la condition, le lecteur serait mappé pour tous les utilisateurs lors de la connexion.
Vous pouvez configurer les actions afin qu'elles s'exécutent lorsque les critères de la condition sont satisfaits (true) ou non (false) pour l'utilisateur ou son ordinateur. Par exemple, vous pouvez créer une condition qui appliquer les actions associées à l'ordinateur indiqué ou configurer les actions pour s'exécuter pour tous les ordinateurs, sauf celui que vous indiquez. Vous pouvez également utiliser des expressions régulières et des plages pour créer des conditions avancées qui recherchent plusieurs éléments.
Il est possible d'utiliser des expressions régulières simples. Entrez par exemple [abc] pour trouver tous les éléments incluant l'un des caractères entre crochets. Vous pouvez aussi utiliser des requêtes plus complexes. Par exemple, ^[a-f]+ recherche tous les noms d'utilisateur qui commencent par une lettre comprise entre a et f.
Pour en savoir plus, reportez-vous à « Caractères génériques et expressions régulières ».
La position d'une condition dans l'arborescence de navigation Configuration des stratégies détermine son mode d'application. Les conditions situées au même niveau de l'arborescence sont évaluées simultanément. Une condition qui est l'enfant d'une autre est évaluée seulement une fois que la condition parent a été exécutée avec succès. Toutes les conditions (sauf Compteur) peuvent aussi être ajoutées à l'onglet Environnement de la plupart des déclencheurs.
Pour les conditions qui lancent une requête dans l'annuaire Active Directory, l'administrateur Environment Manager doit être membre du domaine cible, ou disposer de permissions suffisantes pour accéder au domaine et y émettre des requêtes.
Création d'une condition
Cette section s'applique uniquement à la création de conditions Appartenance à l'annuaire, Utilisateur, Ordinateur et Session et client, car les boîtes de dialogue de ces conditions utilisent le même format.
- Dans l'arborescence de navigation Configuration des stratégies, sélectionnez un nœud ou créez-en un nouveau dans le déclencheur auquel vous souhaitez appliquer la condition.
Vous pouvez ajouter la condition directement au déclencheur, dans l'onglet Environnement.
- Dans le ruban Conditions, sélectionnez la condition voulue.
L'onglet Condition propre au type de condition choisi s'affiche par défaut. Cet onglet vous permet de définir les paramètres à l'aide d'un groupe commun d'options et de champs.Pour en savoir plus, reportez-vous à «Variables de condition ».
- Définissez la condition à l'aide des champs et cases à cocher disponibles.
- Sélectionnez l'onglet Général.
- Entrez une description et toutes les notes facultatives de votre choix.La description est utilisée comme nom d'affichage pour les conditions.Si ce champ reste vide, le nom d'affichage est automatiquement défini à partir de la condition configurée.
- Cliquez sur OK pour enregistrer la condition.
L'agent Environment Manager utilise la condition pour trouver une correspondance avec les mêmes critères pour un utilisateur connecté.Si une correspondance est trouvée, toutes les actions rattachées à la condition sont exécutées.
Après sa création, vous pouvez empêcher qu'une action en échec continue à exécuter les sous-nœuds dépendants. Pour ce faire, cochez la case Arrêter le sous-nœud si échec. Par défaut, l'option Arrêter le sous-nœud si échec est activée pour les nouvelles conditions.
Variables de condition
Chaque type de condition peut être spécifié à l'aide de variantes des champs, listes déroulantes et cases à cocher ci-après :
- Égal à - Le système compare le contenu du champ Correspondance pour cibler les utilisateurs ou les ordinateurs qui répondent à ces critères. Entrez les critères dans le champ Correspondance ou utilisez le bouton portant des points de suspension (...) pour rechercher ou sélectionner les éléments voulus.
- Différent - Cible tous les utilisateurs ou ordinateurs qui ne remplissent pas les critères du champ Correspondance. Entrez les critères dans le champ Correspondance, ou utilisez le bouton portant des points de suspension pour rechercher ou sélectionner les éléments voulus.
- Requête - Cible tous les utilisateurs ou ordinateurs qui correspondent aux critères entrés dans le champ Requête.L'utilisation de caractères génériques dans la requête permet d'établir une grande variété de correspondances, par exemple :
- *Windows - Cible les utilisateurs ou ordinateurs dont le nom finit par le texte « Windows ».
- Windows* - Cible les utilisateurs ou ordinateurs dont le nom commence par le texte « Windows ».
- *Windows* - Cible les utilisateurs ou ordinateurs dont le nom contient le texte « Windows ».
- Expression régulière - Utilisez des expressions régulières pour spécifier des requêtes avancées pour trouver des utilisateurs ou des ordinateurs.
- Entre - Utilisé pour les conditions où il est possible de définir une plage de valeurs.Par exemple, vous pouvez créer une condition qui s'appliquera à la plage d'adresses IP sélectionnée.
- Évaluer une fois par session - Lorsque vous sélectionnez cette option, la condition est évaluée et le résultat est mis en cache.Si la condition est de nouveau exécutée, le résultat est récupéré dans le cache au lieu que le système évalue à nouveau la condition.Pour évaluer une seule fois plusieurs instances d'une même condition, vous devez créer une condition réutilisable et la référencer plusieurs fois. Si vous créez plusieurs conditions, chacune exécute une instance. Si vous référencez plusieurs fois un nœud réutilisable, l'évaluation se produit une seule fois au cours de la session.
- Cette option n'est pas disponible pour les conditions des déclencheurs Début du processus et Arrêt du processus.
Le comportement de cette option a changé avec la version 8.1. Avant v8.1, l'option était évaluée lors de l'analyse de la configuration et de sa mise en cache pour la session. Dans les versions 8.1 et supérieures, l'option est évaluée seulement lorsque le déclencheur est activé, lorsque le résultat est mis en cache pour toute la session.
Par exemple, vous créez une condition Début du processus pour calc.exe, en cochant la case Évaluer une fois par session. Dans la version 8.0, le résultat était mis en cache pour la session lors de l'analyse de la configuration, à la connexion. Dans les versions 8.x le résultat n'est pas mis en cache avant l'exécution de calc.exe.
Exemples de configuration de conditions
La configuration simple ci-dessous mappe Imprimante 1 à la connexion pour Poste client 1. Pendant la connexion, l'agent Environment Manager compare l'ordinateur géré à celui qui est indiqué dans la condition (Poste client 1). Si la condition est remplie, l'action de mappage de l'imprimante sur Imprimante 1 est exécutée. Si l'ordinateur géré n'est pas Poste client 1, l'action est ignorée.
Dans la console Environment Manager, cet exemple apparaît comme suit :
L'ajout d'une autre condition au même niveau crée une condition OR (Ou). Cette configuration mappe Imprimante 1 à la connexion pour Poste client 1 OU Poste client 5. Si l'ordinateur est l'un des postes indiqués, l'action de mappage de l'imprimante sur Imprimante 1 est exécutée. Si l'ordinateur géré n'est pas Poste client 1 ni Poste client 5, l'action est ignorée.
Si une condition est l'enfant d'une autre, le système crée une condition AND (Et). Vous avez ajouté une condition qui vérifie si l'utilisateur est administrateur, en tant qu'enfant d'une autre condition. Avec cet ajout, l'action s'exécute pour les ordinateurs spécifiés ET si l'utilisateur est administrateur.
Vous pouvez combiner des instructions AND et OR pour créer des conditions AND OR (Et/ou). Cette configuration mappe Imprimante 1 à la connexion pour Poste client 1 OU Poste client 5 pour les utilisateurs dotés de droits Administrateur.
Le nombre de conditions que vous pouvez ajouter aux conditions AND et OR n'est pas limité, de même que le nombre de conditions AND OR que vous pouvez utiliser.
Les étiquettes AND OR et les couleurs d'arrière-plan des éléments peuvent être activées/désactivées dans le ruban Options.
Validation des champs
Le tableau suivant répertorie les chaînes acceptables dans les champs des différentes conditions.
| Condition | Champ | Chaîne admise | Exemple |
|---|---|---|---|
| Groupe d'utilisateurs | Correspondance | domain\group | ivanti/sales recherche le groupe « sales » dans le domaine Ivanti. |
| LDAP | CN=sales, DC=ivanti, DC=com recherche le groupe « sales » dans le domaine Ivanti. | ||
| Requête | domain\gro* | ivanti\sal* recherche les noms de groupe commençant par « sal » dans le domaine Ivanti. | |
| domain\*gro | ivanti\*les recherche les noms de groupe finissant par « les » dans le domaine Ivanti. | ||
| domain\*gro* | ivanti\*ale* recherche les noms de groupe contenant « ale » dans le domaine Ivanti. | ||
| Nom d'utilisateur | Correspondance | domain\user | ivanti\smithj recherche le nom d'utilisateur « smithj » dans le domaine Ivanti. |
| Requête | domain\use* | ivanti\smit* recherche les noms de groupe commençant par « smit » dans le domaine Ivanti. | |
| domain\*use | ivanti\*ith recherche les noms de groupe finissant par « ith » dans le domaine Ivanti. | ||
| domain\*use* | ivanti\*ith* recherche les noms de groupe contenant « ith » dans le domaine Ivanti. | ||
| Groupe d'ordinateurs | Correspondance | domain\group | ivanti/sales recherche le groupe « sales » dans le domaine Ivanti. |
| LDAP | CN=sales, DC=ivanti, DC=com recherche le groupe « sales » dans le domaine Ivanti. | ||
| Requête | domain\gro* | ivanti\sal* recherche les noms de groupe commençant par « sal » dans le domaine Ivanti. | |
| domain\*gro | ivanti\*les recherche les noms de groupe finissant par « les » dans le domaine Ivanti. | ||
| domain\*gro* | ivanti\*ale* recherche les noms de groupe contenant « ale » dans le domaine Ivanti. | ||
| Nom d'ordinateur | Correspondance | computer | SalesDesk01 recherche le nom d'ordinateur « SalesDesk01 ». |
| Requête | comp* | SalesDesk* recherche tous les noms d'ordinateur commençant par « SalesDesk ». | |
| *comp | *Desk01 recherche tous les noms d'ordinateur finissant par « Desk01 ». | ||
| *comp* | *Desk* recherche tous les noms d'ordinateur contenant « Desk ». | ||
| Domaine de l'ordinateur | Correspondance | domain | ivanti recherche le nom de domaine « Ivanti ». |
| domain | ivanti.com recherche le nom de domaine « ivanti.com ». | ||
| Requête | dom* | iva* recherche tous les domaines d'ordinateurs dont le nom commence par « iva ». | |
| *dom | *nti recherche tous les domaines d'ordinateurs dont le nom finit par « nti ». | ||
| *dom* | *ant* recherche les domaines dont le nom contient « ant ». | ||
| Nom NetBIOS de l'ordinateur | Correspondance | computer | SalesDesk01 recherche le nom NETBIOS d'ordinateur « SalesDesk01 ». |
| Requête | comp* | SalesDesk* recherche tous les noms d'ordinateur commençant par « SalesDesk ». | |
| *comp | *Desk01 recherche tous les noms d'ordinateur finissant par « Desk01 ». | ||
| *comp* | *Desk* recherche tous les noms d'ordinateur contenant « Desk ». | ||
| Ordinateur - Adresse IP | Correspondance | xxxx.xxxx.xxxx.xxxx | 192.168.0.1 recherche l'adresse IP 192.168.0.1. |
| Entre | xxxx.xxxx.xxxx.xxxx yyyy.yyyy.yyyy.yyyy | Adresse IP 1 : 192.168.0.1, Adresse IP 2 : 192.168.0.254. Ces commandes recherchent toutes les adresses IP comprises entre « 192.168.0.1 » et « 192.168.0.254 ». | |
| Utilisateur - Appartenance aux OU | Correspondance | LDAP | CN=sales, DC=ivanti, DC=com recherche l'appartenance à l'annuaire de l'OU d'utilisateur « sales » dans le domaine ivanti.com. |
| Requête | ou* | sales* recherche les noms d'OU d'utilisateur commençant par « sales ». | |
| *ou | *sales recherche les noms d'OU d'utilisateur finissant par « sales ». | ||
| *ou* | *sales* recherche tous les noms d'OU d'utilisateur contenant « sales ». | ||
| Ordinateur - Appartenance aux OU | Correspondance | LDAP | CN=sales, DC=ivanti, DC=com recherche l'appartenance à l'annuaire de l'OU d'ordinateur « sales » dans le domaine ivanti.com. |
| Requête | ou* | sales* recherche les noms d'OU d'ordinateur commençant par « sales ». | |
| *ou | *sales recherche les noms d'OU d'ordinateur finissant par « sales ». | ||
| *ou* | *sales* recherche tous les noms d'OU d'ordinateur contenant « sales ». | ||
| Site d'annuaire | Correspondance | sitename | testsite recherche le nom de site « testsite ». |
Conditions reposant sur Active Directory pour les périphériques des domaines enfant
Les conditions de client reposant sur Active Directory (AD) convertissent le nom NetBIOS du client, fourni par le serveur de terminal Windows Terminal Server (ou équivalent Citrix), en nom FQDN, utilisé pour les requêtes AD. Il est impossible de résoudre le nom FDQN si le serveur de terminal se trouve dans le domaine parent et tente de résoudre le FQDN d'un périphérique connecté dans un domaine enfant. Cela impacte les règles de périphérique et règles personnalisées avec conditions reposant sur le client Active Directory, appliquées aux serveurs de terminal et VDI d'un domaine racine.
Le serveur de terminal doit être configuré avec le suffixe DNS de tous les domaines enfant. La liste de recherche doit être configurée sur tous les serveurs de terminal qui doivent résoudre les noms pour la connexion dans des domaines enfant.
Par exemple, pour le parent domain.local, vous devez configurer les domaines enfant childa.domain.local et childb.domain.local sur le serveur de terminal afin que les conditions basées sur AD soient correctement évaluées.
Pour en savoir plus sur la configuration de listes de recherche de suffixe de domaine, reportez-vous à : https://support.microsoft.com/en-gb/kb/275553.