條件管理
在這個部分中:
關於條件
條件在「自訂規則」內用於根據多項因素套用安全控制項。您可依下列項目來做為設定條件的基礎:
您還能使用 VBScript 或 JScript 來建立自訂已編寫指令碼條件,以便處理未做為「應用程式控制台」標準提供的藍本。
當條件中的準則為 true 或 false 時,便會套用規則項目內設定的安全性控制項 (如「允許的項目」和「權限管理」)。您也可以使用規則運算式及範圍來建立套用至多個相符項目的進階條件。
在支援規則運算式的條件中,您可以使用簡單規則運算式,像是輸入 [abc],即會用括號內的任何字元與所有項目進行比對。您也可以使用更為複雜的查詢,例如,^[a-f]+ 會比對所有開頭字母為 a 到 f 的使用者名稱。
如需更多資訊,請參閱萬用字元和規則運算式。
在您使用條件建立自訂規則時,請記住 應用程式控制 套用了 10 秒逾時設定來評估規則的所有條件。若條件未能在 10 秒內完成評估,便不會套用該自訂規則。這在建立已編寫指令碼條件時特別重要,因為需花費超過 10 秒才能完成的指令碼會導致評估逾時。
若要檢視自訂規則的條件,請於導覽窗格內選取個別自訂規則的節點。工作區域會顯示規則的安全性層級,並會在其下方顯示規則的條件清單以及是否已啟用規則。
位於清單頂端的是「條件」下拉式功能表,您可從中建立新條件。功能表旁邊還有下列選項可用於管理條件:
- 左移
- 右移
- 下移
- 上移
- 編輯
- 刪除
使用「移動」箭頭來排列清單中的條件。您可以在清單內上下移動條件,也可以將其向左或向右縮排,使其成為其他條件的子項或父項。條件在清單階層中的位置決定其本身的套用方式。位於相同層級的條件會同時進行評估 (即 OR 條件)。屬於另一條件之子項的條件,僅會在其父項條件成功執行後才會進行評估 (即 AND 條件)。在下列範例中,使用者必須是管理員 OR (或) Finance 使用者群組的成員,AND (並且) 使用筆記型電腦,這樣才能套用自訂規則項目:
針對查詢 Active Directory 的任何條件,應用程式控制 管理員必須是目標網域的成員或擁有足夠權限才能存取及查詢網域。
若條件是即時組態的一部分,則在使用「組態分析工具」建立完整報告時,便會將條件包含在報告之中。報告使用和自訂規則工作區域中相同的條件文字,在各項個別自訂規則下列出相關條件:
建立條件
此部分僅適用於建立目錄成員資格、使用者、電腦及工作階段與用戶端條件,因為這些條件使用的對話方塊遵循相同的格式。
- 選取自訂規則的節點。
-
在規則的工作區域中,開啟「條件」下拉式功能表並選取您想套用的條件,例如: 條件 > 使用者 > 使用者群組。
在「條件」對話方塊中,特定於條件類型的「條件」索引標籤會依預設顯示。此索引標籤允許使用一組通用選項及欄位來設定參數。
如需更多詳細資訊,請參閱條件變數。
- 使用可用欄位及核取方塊來定義條件。
- 選取一般索引標籤。
- 輸入說明和任何選填備註。該說明會用來做為條件的顯示名稱。若此欄位保留空白,則會根據設定的條件自動設定顯示名稱。
- 按一下確定以儲存條件。
應用程式控制 代理程式使用條件為登入的使用者尋找具有相同準則的相符項目。若找到相符項目,則會套用附加在條件上的規則及規則項目。
子網域內裝置的基於 Active Directory 的條件
以 Active Directory (AD) 為基礎之用戶端條件,會將自 Windows 終端伺服器或 Citrix 等同項目取得之用戶端的 NetBIOS 名稱轉換為用於查詢 AD 的 FQDN。若終端伺服器位於父系網域內且試圖解析子網域中連線裝置的 FQDN,便無法解析 FQDN。這將影響根網域中套用至終端伺服器和 VDI 的「裝置」和「自訂」規則 (使用以 Active Directory 為基礎之用戶端條件)。
終端伺服器必須以所有子網域的 DNS 尾碼進行設定。必須在所有想要解析用於在子網域中進行連線之名稱的終端伺服器上設定搜尋清單。
例如,對父系網域 domain.local 而言,子網域 childa.domain.local 及 childb.domain.local 都必須在終端伺服器上進行設定,才能讓以 AD 為基礎的條件進行正確評估。
如需有關設定網域尾碼搜尋清單的資訊,請參閱: https://support.microsoft.com/en-gb/kb/275553
重覆使用條件
您可以重新使用已經建立的條件,只需將條件從某一「自訂規則」複製並貼至另一個「自訂規則」即可。
您可以使用「編輯」功能區內的選項來剪下、複製及貼上整個條件。
條件變數
可使用下列欄位、下拉式選單,以及核取方塊的變數來指定各種條件類型:
- 等於 - 針對相符欄位的內容進行比較,藉此挑出這些符合準則的使用者或電腦。在相符欄位內輸入準則或視需要使用省略符號 (...) 進行搜尋或選取。
- 不等於 - 挑出所有不符合相符欄位內準則的使用者或電腦。在相符欄位內輸入準則或視需要使用省略符號進行搜尋或選取。
- 查詢 - 挑出所有符合相符欄位內指定準則的使用者或電腦。在查詢之中使用萬用字元可找出更大範圍的相符項目,例如:
- *Windows - 挑出名稱結尾為文字 Windows 的使用者或電腦。
- Windows* - 挑出名稱開頭為文字 Windows 的使用者或電腦。
- *Windows* - 挑出名稱包含文字 Windows 的使用者或電腦。
- 規則運算式 - 對使用者或電腦使用規則運算式指定進階查詢。
- 介於 - 用於可設定值範圍的條件。例如,可建立能套用一組選定 IP 位址範圍的條件。
- 每個工作階段評估一次 - 選取時,便會評估條件且快取結果。若再次執行該條件,便會從快取獲取結果,而非再次評估條件。
欄位驗證
下表列出了各項條件欄位內可使用的字串類型。
| 條件 | 欄位 | 允許的字串 | 範例 |
|---|---|---|---|
| 使用者和群組 | 符合 | domain\group | ivanti/sales 會比對 ivanti 網域中的 'sales' 群組。 |
| LDAP | CN=sales, 會比對 ivanti.com 網域中的 'sales' 群組。 | ||
| 查詢 | domain\gro* | ivanti\sal* 會比對 ivanti 網域中以 'sal' 開頭的群組名稱。 | |
| domain\*gro | ivanti\*les 會比對 ivanti 網域中以 'les' 結尾的群組名稱。 | ||
| domain\*gro* | ivanti\*ale* 會比對 ivanti 網域中包含 'ale' 的群組名稱。 | ||
| 使用者名稱 | 符合 | domain\user | ivanti\smithj 會比對 ivanti 網域中的 'smith'j 使用者名稱。 |
| 查詢 | domain\use* | ivanti\smit* 會比對 ivanti 網域中以 'smit' 開頭的群組名稱。 | |
| domain\*use | ivanti\*ith 會比對 ivanti 網域中以 'ith' 結尾的群組名稱。 | ||
| domain\*use* | ivanti\*ith* 會比對 ivanti 網域中包含 'ith' 的群組名稱。 | ||
| 電腦群組 | 符合 | domain\group | ivanti/sales 會比對 ivanti 網域中的 'sales' 群組。 |
| LDAP | CN=sales, 會比對 ivanti.com 網域中的 'sales' 群組。 | ||
| 查詢 | domain\gro* | ivanti\sal* 會比對 ivanti 網域中以 'sal' 開頭的群組名稱。 | |
| domain\*gro | ivanti\*les 會比對 ivanti 網域中以 'les' 結尾的群組名稱。 | ||
| domain\*gro* | ivanti\*ale* 會比對 ivanti 網域中包含 'ale' 的群組名稱。 | ||
| 電腦名稱 | 符合 | 電腦 | SalesDesk01 與 'SalesDesk01' 的電腦名稱相符。 |
| 查詢 | comp* | SalesDesk* 與所有以 'SalesDesk' 開頭的電腦名稱相符。 | |
| *comp | Desk01* 與所有以' Desk01' 結尾的電腦名稱相符。 | ||
| *comp* | Desk* 與所有包含' Desk' 的電腦名稱相符。 | ||
| 電腦網域 | 符合 | domain | ivanti 會比對 'ivanti' 網域名稱。 |
| domain | ivanti.com 會比對 'ivanti.com' 網域名稱。 | ||
| 查詢 | dom* | iva* 會比對所有以 'iva' 開頭的電腦網域。 | |
| *dom | *anti 會比對所有以 'anti' 結尾的電腦網域。 | ||
| *dom* | *ant* 會比對包含 'ant' 的網域。 | ||
| 電腦 NETBIOS | 符合 | 電腦 | SalesDesk01 與 'SalesDesk01' 的電腦 NETBIOS 名稱相符。 |
| 查詢 | comp* | SalesDesk* 與所有以 'SalesDesk' 開頭的電腦名稱相符。 | |
| *comp | Desk01* 與所有以' Desk01' 結尾的電腦名稱相符。 | ||
| *comp* | Desk* 與所有包含' Desk' 的電腦名稱相符。 | ||
| 電腦 IP 位址 | 符合 | xxxx.xxxx.xxxx.xxxx | 192.168.0.1 與 IP 位址 192.168.0.1 相符。 |
| 介於 | xxxx.xxxx.xxxx.xxxx | IP 位址 1: 192.168.0.1,IP 位址 2: 192.168.0.254 與介於「192.168.0.1」和「192.168.0.254」之間的所有 IP 位址相符。 | |
| 使用者 OU 成員資格 | 符合 | LDAP | CN=sales, 會比對 ivanti.com 網域中的使用者 OU 'sales' 的目錄成員資格。 |
| 查詢 | ou* | sales* 與以 'sales' 開頭的使用者 OU 名稱相符。 | |
| *ou | *sales 與以 'sales' 結尾的使用者 OU 名稱相符。 | ||
| *ou* | *sales* 與包含 'sales' 的使用者 OU 名稱相符。 | ||
| 電腦 OU 成員資格 | 符合 | LDAP | CN=sales, 會比對 ivanti.com 網域中的電腦 OU 'sales' 的目錄成員資格。 |
| 查詢 | ou* | sales* 與以 'sales' 開頭的電腦 OU 名稱相符。 | |
| *ou | *sales 與以 'sales' 結尾的電腦 OU 名稱相符。 | ||
| *ou* | *sales* 與包含 'sales' 的電腦 OU 名稱相符。 | ||
| 目錄站點 | 符合 | 網站名稱 | testsite 與 'testsite' 站點名稱相符。 |