条件管理
在此部分:
关于条件
条件可用于创建规则,从而使操作能够根据连接计算机或应用程序的用户、位置或方式进行执行。基于目录成员身份、用户、计算机、会话和客户端的条件可用于创建配置,用来定义整个组织内的计算机使用情况。
这些条件是触发器和操作之间的桥梁,可为操作的应用提供上下文。例如:
| 触发器 | 条件 | 操作 |
|---|---|---|
| 用户 > 登录 | 用户 > 用户名 | 映射驱动器 |
此操作可在用户登录时映射驱动器。此条件允许对用户进行指定,以便仅为该特定用户映射驱动器。若没有此条件,则登录时将为所有用户映射驱动器。
对用户或用户计算机来说,可将操作设置为在条件内的条件为 true 或 false 时执行。例如,用户可以创建一个条件,将关联的操作应用于指定的计算机,或者将操作设置为对指定计算机以外的任何计算机执行。您还可以使用正则表达式和值域来创建适用于多个匹配项的高级条件。
可以使用简单的正则表达式,例如输入 [abc] 将匹配包含括号内任一字符的任何内容。您还可以使用更复杂的查询,例如 ^[a-f]+ 匹配以字母 a 到 f 开头的任何用户名。
有关详细信息,请参阅通配符和正则表达式。
条件在“策略配置”导航树中的位置将决定其应用方式。导航树中同一级别的条件会同时进行评估。作为其他条件的子条件的条件,仅会在成功执行父条件时进行评估。除计数器外,所有条件都可以添加到大多数触发器的“环境”选项卡中。
对于查询 Active Directory 的任何条件,Environment Manager 管理员必须是目标域的成员或者具有足够的权限,才能访问和查询该域。
创建条件
本节仅适用于创建目录成员身份、用户、计算机以及会话和客户端条件,因为这些条件的对话框使用相同的格式。
- 在“策略配置”导航树中,选择节点或在要应用条件的触发器中创建新节点。
条件可以直接添加到触发器的环境选项卡中。
- 在“条件”功能区中,选择所需条件。
默认显示特定于条件类型的条件选项卡。此选项卡允许使用一组常用的选项和字段来设置参数。请参阅条件变量了解更多详细信息。
- 使用可用的字段和复选框来定义条件。
- 选择常规选项卡。
- 输入说明以及任何可选注释。说明用作条件的显示名称。如果此字段留空,则自动通过配置的条件来设置显示名称。
- 单击确定以保存条件。
Environment Manager 代理使用条件为已登录的用户找到具有相同条件的匹配。如果找到匹配项,系统将执行附加到该条件的所有操作。
创建后,您可以在节点工作区内选中失败时停止子节点复选框,从而阻止失败的操作继续执行任何从属子节点。默认情况下,系统会为新条件启用失败时停止子节点。
条件变量
您可以使用以下字段、下拉菜单和复选框的变体来指定每个条件类型:
- 等于 - 根据匹配字段的内容进行比较,然后以满足这些条件的用户或计算机为目标。根据需要将条件输入到匹配字段或使用省略号 (...) 进行搜索或选择。
- 不等于 - 以不满足匹配字段中的条件的所有用户或计算机为目标。根据需要在匹配字段中输入条件或使用省略号进行搜索或选择。
- 查询 - 以匹配查询字段中所指定条件的所有用户或计算机为目标。在查询中使用通配符可允许各种匹配,例如:
- *Windows - 将以文本 Windows 结尾的用户或计算机作为目标。
- Windows* - 将以文本 Windows 开头的用户或计算机作为目标。
- *Windows* - 将包含文本 Windows 的用户或计算机作为目标。
- 正则表达式 - 使用正则表达式为用户或计算机指定高级查询。
- 介于 - 用于可设置各种值的条件。例如,可以创建条件使其应用于选定的 IP 地址范围。
- 每次会话评估一次 - 选择后,将评估条件并缓存结果。如果再次运行条件,将从缓存中获得结果,而不是再次评估条件。如果您希望同一条件的多个实例仅进行一次评估,则必须多次创建并引用可重复使用的条件。如果创建多个条件,则每个条件都会运行一次。如果多次引用一个可重复使用的节点,则会话中只会进行一次评估。
- 此选项不适用于进程启动和进程停止触发器中的条件。
8.1 版本更改了与此选项相关的行为。在 8.1 版本之前,此选项在会话配置得以解析并缓存时进行评估。在 8.1 及更高版本中,此选项只有在整个会话的结果得以缓存且已激发触发器时,才会进行评估。
例如,为 calc.exe 创建进程启动条件,并选中每次会话评估一次复选框。在 8.0 版本中,会话结果在登录时解析配置后即会进行缓存。而在 8.x 版本中,此结果在 calc.exe 运行后才会进行缓存。
条件配置示例
以下简单配置可在登录时为端点 1 映射打印机 1。在登录期间,Environment Manager 代理根据条件中指定的内容检查受管计算机是否为端点 1。如果满足条件,则运行将打印机映射到打印机 1 的操作。如果受管计算机不是端点 1,则忽略该操作。
在 Environment Manager 控制台中,示例如下:
在相同级别添加其他条件会创建一个 OR 条件。对于端点 1 或端点 5,此配置将在登录时映射打印机 1。如果计算机是指定的端点之一,则运行将打印机映射到打印机 1 的操作。如果受管计算机既不是端点 1,也不是端点 5,则忽略该操作。
如果条件是另一个条件的子项,则创建一个 AND 条件。检查用户是否为管理员的条件已添加为另一个条件的子项。添加该子项后,只有在计算机是指定端点“并且”用户是管理员的情况下,操作才会运行。
可以联合使用 AND 和 OR 语句来创建 AND OR 条件。对于拥有端点 1 或端点 5 管理员权限的用户,此配置将在登录时映射打印机 1。
可添加到 AND 和 OR 条件的条件数,以及可使用的 AND OR 条件数均不受限制。
可在“选项”功能区中打开和关闭 AND OR 标签及项目背景色。
字段验证
下表列出各种条件的字段中可接受的字符串。
| 条件 | 字段 | 允许的字符串 | 示例 |
|---|---|---|---|
| 用户组 | 匹配 | domain\group | ivanti/sales 与 ivanti 域中的 'sales' 组匹配 |
| LDAP | CN=sales, DC=appsense, DC=com 与 ivanti 域中的 'sales' 组匹配 | ||
| 查询 | domain\gro* | ivanti\sal* 与 ivanti 域中以 "sal" 开头的组名匹配 | |
| domain\*gro | ivanti\*les 与 ivanti 域中以 "les" 结尾的组名匹配 | ||
| domain\*gro* | ivanti\*ale* 与 ivanti 域中包含 "ale" 的组名匹配 | ||
| 用户名 | 匹配 | domain\user | ivanti\smithj 与 ivanti 域中的用户名 "smithj" 匹配 |
| 查询 | domain\use* | ivanti\smit* 与 ivanti 域中以 "smit" 开头的组名匹配 | |
| domain\*use | ivanti\*ith 与 ivanti 域中以 "ith" 结尾的组名匹配 | ||
| domain\*use* | ivanti\*ith* 与 ivanti 域中包含 "ith" 的组名匹配 | ||
| 计算机组 | 匹配 | domain\group | ivanti\sales 与 ivanti 域中的 'sales' 组匹配 |
| LDAP | CN=sales, DC=appsense, DC=com 与 ivanti 域中的 "sales" 组匹配 | ||
| 查询 | domain\gro* | ivanti\sal* 与 ivanti 域中以 "sal" 开头的组名匹配 | |
| domain\*gro | ivanti\*les 与 ivanti 域中以 "les" 结尾的组名匹配 | ||
| domain\*gro* | ivanti\*ale* 与 ivanti 域中包含 "ale" 的组名匹配 | ||
| 计算机名称 | 匹配 | 计算机 | SalesDesk01 与计算机名称 "SalesDesk01" 匹配 |
| 查询 | comp* | SalesDesk* 与所有以 "SalesDesk" 开头的计算机名称匹配 | |
| *comp | Desk01* 与所有以 "Desk01" 结尾的计算机名称匹配 | ||
| *comp* | Desk* 与所有包含 "Desk" 的计算机名称匹配 | ||
| 计算机域 | 匹配 | domain | ivanti 与域名 "ivanti" 匹配 |
| domain | ivanti.com 与域名 "ivanti.com" 匹配 | ||
| 查询 | dom* | iva* 与所有以 "iva" 开头的计算机域匹配 | |
| *dom | *nti 与所有以 "nti" 结尾的计算机域匹配 | ||
| *dom* | *ant* 与包含 "ant" 的计算机域匹配。 | ||
| 计算机 NETBIOS | 匹配 | 计算机 | SalesDesk01 与计算机 NETBIOS 名称 "SalesDesk01" 匹配。 |
| 查询 | comp* | SalesDesk* 与所有以 "SalesDesk" 开头的计算机名称匹配 | |
| *comp | Desk01* 与所有以 "Desk01" 结尾的计算机名称匹配 | ||
| *comp* | Desk* 与所有包含 "Desk" 的计算机名称匹配 | ||
| 计算机 IP 地址 | 匹配 | xxxx.xxxx.xxxx.xxxx | 192.168.0.1 与 IP 地址 192.168.0.1 匹配 |
| 介于 | xxxx.xxxx.xxxx.xxxx yyyy.yyyy.yyyy.yyyy | IP 地址 1: 192.168.0.1, IP 地址 2: 192.168.0.254 与所有介于 "192.168.0.1" 和 "192.168.0.254" 之间的 IP 地址匹配 | |
| 用户 OU 成员资格 | 匹配 | LDAP | CN=sales, DC=ivanti, DC=com 与 ivanti.com 域中用户 OU "sales" 的目录成员身份匹配 |
| 查询 | ou* | sales* 与以 "sales" 开头的用户 OU 名称匹配 | |
| *ou | *sales 与以 "sales" 结尾的用户 OU 名称匹配 | ||
| *ou* | *sales* 与包含 "sales" 的用户 OU 名称匹配 | ||
| 计算机 OU 成员资格 | 匹配 | LDAP | CN=sales, DC=ivanti, DC=com 与 ivanti.com 域中计算机 OU "sales" 的目录成员身份匹配。 |
| 查询 | ou* | sales* 与以 "sales" 开头的计算机 OU 名称匹配 | |
| *ou | *sales 与以 "sales" 结尾的计算机 OU 名称匹配 | ||
| *ou* | *sales* 与包含 "sales" 的计算机 OU 名称匹配 | ||
| 目录站点 | 匹配 | 站点名称 | testsite 与站点名称 "testsite" 匹配 |
子域中的设备基于 Active Directory 的条件
基于 Active Directory (AD) 的客户端条件会把从 Windows 终端服务器(或 Citrix 等效服务器)获取的客户端 NetBIOS 名称转换为用于查询 AD 的 FQDN。如果终端服务器位于父域中,同时正在尝试解析子域中连接设备的 FQDN,则无法解析 FDQN。这会影响“设备”和“自定义”规则,而通过基于 Active Directory 的客户端条件,这些规则会应用到根域中的终端服务器和 VDI。
必须为终端服务器配置所有子域的 DNS 后缀。必须在要解析子域中用于连接的名称的所有终端服务器上配置搜索列表。
例如,对于父域 domain.local,必须在终端服务器上配置子域、childa.domain.local 和 childb.domain.local,以便基于 AD 的条件正确地执行评估。
有关配置域后缀搜索列表的信息,请访问:https://support.microsoft.com/en-gb/kb/275553