维护配置

在此部分:

创建配置

若要创建新配置,请单击文件 > 新建

新配置随即显示,并自动提供以下默认保护:

  • 禁止未存储在本地硬盘上的应用程序。例如,禁止网络驱动器和可移除介质上的应用程序。禁止非管理员所拥有的应用程序。例如,禁止非管理员复制到计算机硬盘上的任何应用程序。
  • 所有管理员均可运行任何应用程序。

在实施默认设置之前,必须保存新配置。

导入配置

配置可以导入 Application Control 中。

  1. 单击文件 > 导入和导出 > 从 MSI 导入配置

    随即显示“打开”对话框。

  2. 导航至 MSI 所在位置,选中它并单击打开

配置即会在 Application Control 控制台中打开。

导出配置

配置可以从 Application Control 中导出。

  1. 单击文件 > 导入和导出 > 导出配置为 MSI

    随即显示“另存为”对话框。

  2. 导航至要保存 MSI 的位置,然后单击保存

保存配置

“文件”菜单提供以下保存配置的选项。

保存

  • 保存并继续编辑 - 保存配置,并在配置打开时将其锁定以供编辑。所做的任何更改都不会提交给配置,并且在锁定时无法部署。
  • 保存并解锁 - 保存配置,并将其解锁以供部署。
  • 解锁但不保存 - 解锁配置,但不保存任何更改。

另存为

  • 此计算机上的实时配置 - 使用当前打开的配置替换/更新本地计算机上的配置。
  • Management Center 中的配置 - 将配置保存在选定管理服务器上的包存储区中。
  • System Center Configuration Manager 中的配置 - 将配置保存到指定的 System Center Configuration Manager 服务器。
  • 组策略中的配置 - 在选定的组策略存储区中创建配置。
  • 磁盘上的配置文件 - 将配置保存到磁盘中。

测试配置

在继续执行此任务之前,请先设置一个测试用户。测试帐户不能是配置中的可信所有者之一。

  1. 以管理员身份登录安装了相关 Application Control 配置的端点。
  2. 启动 Application Control
  3. 在导航树中,导航至规则 > 用户

  4. 单击“规则”功能区中的“添加规则”,然后选择“用户规则”。

    随即显示“添加用户规则”对话框。

  5. 单击浏览

    Active Directory“选择用户”对话框随即打开。

  6. 单击高级

  7. 单击立即查找

    搜索结果显示在对话框底部。

  8. 向下滚动找到测试用户,选中该用户并单击确定

    “选择用户”对话框随即打开,测试用户显示在对象名称中。

  9. 单击确定

    “用户规则”工作区会显示新创建的测试用户。

  10. 保存配置。
  11. 以管理员身份注销。
  12. 以测试用户身份登录,查看 Application Control 是否正常工作。

组策略配置

组策略可用于集中管理并配置 Active Directory 环境中的操作系统、应用程序和用户设置。Application Control 使用组策略功能将配置保存并部署到域中指定组织单位 (OU) 的任何计算机上,而无需其他基础设施。若要使用组策略,必须先安装远程服务器管理工具。

有关详细信息,请参阅安装或删除远程服务器管理工具包

若要将 Application Control 配置文件添加到 GPO,必须先将域添加到从“选择域”对话框访问的可选列表中。有关详细信息,请参阅“将可选域添加到列表中”。

如果需要,可以通过以下命令安装使用 PowerShell 的组策略管理控制台:

Import-Module ServerManager(2008 Server 及更高版本)

Add-WindowsFeature -Name GPMC

将可选域添加到列表中

使用“选择域”对话框即可将域添加到可选域列表中。添加域后,您便可向该域上的 GPO(组策略对象)应用配置。

  1. 在“文件”菜单中,选择另存为(或打开),然后选择组策略中的配置

    将显示“选择域”对话框。

  2. 从工具栏选择“添加”图标。

    随即显示“添加域”对话框。

  3. 输入要添加到列表中的域的名称。对于要添加的域,您必须具备适当权限。
  4. 单击添加按钮。

域便已添加到列表中,可供选择。

使用组策略对象部署配置

配置完成并部署后,客户端扩展会将配置与 merge_manifest.xml 文件一起复制到 Application Control %ProgramData% 结构中。Application Control 代理会收到更新通知并将 merge_manfest.xml 文件复制到合并文件夹中,以便进行合并。随后,配置便可应用到端点上。

配置保存到组策略对象 (GPO) 后,该配置的部署则取决于组织的组策略设置。

Application Control 支持使用组策略合并部署的多个配置。每个 GPO 只能容纳一个配置;如要部署多个配置,您可能需要同样数量的 GPO。如果所有 GPO 均位于 Active Directory 中的同一层级,链接顺序则会影响配置的合并方式,编号最小的便是基础配置。

默认情况下,计算机组策略每 90 分钟(可能存在 0 到 30 分钟的偏差)在后台更新一次。

将配置保存到 GPO

若要将配置保存到组策略对象,您必须拥有一个帐户,该帐户应当具备您所用 Active Directory (AD) 内区域的读写权限。您只能将配置保存到该区域,并且策略仅适用于区域内的计算机。

配置必须在 Application Control 控制台中进行创建,同时 GPO 必须已在选定域的组织单位 (OU) 内创建完成。

  1. 创建 Ivanti Application Control 配置文件 (AAMP)。

  2. 选择文件 > 另存为 > 组策略中的配置

    将显示“选择域”对话框。

  3. 突出显示所选域,然后单击“连接”。

    如果列表中没有您要保存到其中的域,则需要添加域。

    请参阅将可选域添加到列表中

  4. 导航至 OU。对于选择的 OU,您必须具备适当权限。
  5. 选择 GPO 并单击保存

  6. 如果 GPO 不存在,请右键单击目标 OU 并在此域中选择“创建 GPO”,然后在此处进行链接。

    在某些端点上,您可能会在将 GPO 保存到 Active Directory (AD) 时遇到延迟。这是因为,AD 复制需要跨多个域控制器运行,并且 Application Control 无法在复制完成之前查找 GPO。

    包含配置的 GPO 存储在以下位置,并可通过其唯一 GUID 进行标识。

    \\<Domain Controller>\SysVol\<domain.fqdn>\Policies\<guid for GPO>\Machine\AppSense

    如果使用组策略在端点上部署多个配置,则须进行端点配置合并,并且 merged_configuration.aamp 优先于任何现有配置。有关详细信息,

请参阅端点配置合并

搜索配置

随着组和规则集的添加,配置会变得非常大。为帮助您导航到配置的所需区域,您可以执行文本搜索以查找配置中配置项目的位置。

如何搜索配置

以搜索 widget.exe 为例。您已经为 widget.exe 配置了规则,但不记得是在哪个组或规则集中。

1.导航至编辑 > 选项菜单,选择搜索配置

显示“搜索配置”对话框。

2.在“搜索”字段中,输入要搜索的文本,例如 widget

3.系统将搜索配置中的所有组和规则集以查找文本 widget 并在结果列表中显示所有实例。

4.单击列出的任何结果以打开该结果在配置中的位置。

您可以在配置编辑器中打开“搜索”对话框。如果要保留搜索结果,但想暂时从视图中移除对话框,请选择关闭,重新显示选择搜索配置

相关主题

全局设置

配置