條件管理
在這個部分中:
關於條件
您可以使用條件來建立規則,以根據使用者連接至電腦或應用程式的身分、來源或方式來執行動作。以目錄成員資格、使用者、電腦、工作階段和用戶端為根據的條件可用來建立組態,以藉此定義整個組織的電腦使用情況。
它們就是觸發程序和動作之間的橋接,可提供套用動作的內容。例如:
| 觸發程序 | 條件 | 操作 |
|---|---|---|
| 使用者 > 登入 | 使用者 > 使用者名稱 | 對應磁碟機 |
此動作可在使用者登入時對應磁碟機。您可以使用此條件來指定使用者,以僅針對特定使用者對應磁碟機。若無此條件,會在登入時為所有使用者對應磁碟機。
這些動作也可以設定為當條件的準則對於使用者或其電腦來說為 True 或 False 時執行。例如,可建立條件以將相關動作套用至指定的電腦,或設定為針對指定之電腦以外的任何電腦執行動作。規則運算式及範圍也可用來建立套用至多個相符項目的進階條件。
可以使用簡單規則運算式,像是輸入 [abc],即會用括號內的任何字元與所有項目進行比對。也可使用更為複雜的查詢,例如,^[a-f]+ 會比對所有開頭字母為 a 到 f 的使用者名稱。
如需更多資訊,請參閱萬用字元和規則運算式。
條件在原則組態導覽樹狀目錄中的位置決定其本身的套用方式。會同時評估樹狀目錄中處於相同層級的條件。屬於另一條件之子項的條件,僅會在其父項條件成功執行後才會進行評估。除了計數器以外,所有的條件都可新增至大部分觸發程序中的「環境」索引標籤。
針對查詢 Active Directory 的任何條件,Environment Manager 管理員必須是目標網域的成員或擁有足夠權限才能存取及查詢網域。
建立條件
此部分僅適用於建立目錄成員資格、使用者、電腦及工作階段與用戶端條件,因為這些條件使用的對話方塊遵循相同的格式。
- 在「原則組態」導覽樹狀目錄中,於您要套用條件的觸發程序內選取節點或建立新節點。
該條件可直接新增至環境索引標籤內的觸發程序。
- 在「條件」功能區中,選取所需條件。
特定於條件類型的「條件」索引標籤會依預設顯示。此索引標籤允許使用一組通用選項及欄位來設定參數。如需更多詳細資訊,請參閱條件變數。
- 使用可用欄位及核取方塊來定義條件。
- 選取一般索引標籤。
- 輸入說明和任何選填備註。該說明會用來做為條件的顯示名稱。若此欄位保留空白,則會根據設定的條件自動設定顯示名稱。
- 按一下確定以儲存條件。
Environment Manager 代理程式使用條件為登入的使用者尋找具有相同準則的相符項目。若找到相符項目,便會執行附加在條件上的任何動作。
在建立完成後,您可以在節點工作區域內選取失敗時停止子節點核取方塊以防止失敗的動作繼續執行任何相依的子節點。依預設,系統會為新的條件啟用失敗時停止子節點。
條件變數
可使用下列欄位、下拉式選單以及核取方塊的變化來指定各種條件類型:
- 等於 - 針對相符欄位的內容進行比較,藉此挑出這些符合準則的使用者或電腦。在相符欄位內輸入準則或視需要使用省略符號 (...) 進行搜尋或選取。
- 不等於 - 挑出所有不符合相符欄位內準則的使用者或電腦。在相符欄位內輸入準則或視需要使用省略符號進行搜尋或選取。
- 查詢 - 挑出所有符合查詢欄位內指定準則的使用者或電腦。在查詢之中使用萬用字元可找出更大範圍的相符項目,例如:
- *Windows - 挑出名稱結尾為文字 Windows 的使用者或電腦。
- Windows* - 挑出名稱開頭為文字 Windows 的使用者或電腦。
- *Windows* - 挑出名稱包含文字 Windows 的使用者或電腦。
- 規則運算式 - 對使用者或電腦使用規則運算式指定進階查詢。
- 介於 - 用於可設定值範圍的條件。例如,可建立能套用一組選定 IP 位址範圍的條件。
- 每個工作階段評估一次 - 選取時,便會評估條件且快取結果。若再次執行該條件,便會從快取獲取結果,而非再次評估條件。如果您要讓相同條件的多個執行個體僅評估一次,則必須建立可重複使用的條件並可供多次參照。如果您要建立多個條件,則每個條件將執行一次。如果可重複使用的節點被多次參照,仍只會在工作階段中執行一次評估。
- 此選項不適用於處理序開始和處理序停止觸發程序中的條件。
此選項的相關行為已在 8.1 版中變更。在 8.1 版之前,系統會在剖析和快取工作階段的組態時評估該選項。在 8.1 和更新版本中,只有在快取整個工作階段的結果以啟動觸發程序時才會評估該選項。
例如,為 calc.exe 建立一個處理序開始條件並選取每個工作階段評估一次核取方塊。在 8.0 版中,當於登入時解析組態時,系統會為工作階段快取結果。在 8.x 版中,則會等到執行 calc.exe 時才會快取結果。
條件組態範例
下方的簡單組態會在「印表機 1」登入時對應為「端點 1」。在登入期間,Environment Manager 代理程式會檢查託管電腦是否符合條件指定的內容;「端點 1」。如果符合條件,會執行將印表機對應至印表機 1 的動作。若託管電腦並非「端點 1」,則會忽略該動作。
在 Environment Manager 控制台中,範例將如下所示:
在相同層級上新增其他條件時會建立一個 OR 條件。此組態會在登入時為「端點 1」或「端點 5」對應「印表機 1」。若該電腦是已指定的其中一部電腦,則會執行將印表機對應至「印表機 1」的動作。若託管電腦並非「端點 1」或「端點 5」,則會忽略該動作。
若該條件是另一個條件的子項,則會建立一個 AND 條件。系統會將用來檢查使用者是否為管理員的條件新增為另一個條件的子項。在新增該條件之後,系統會為指定的電腦和身為管理員的使用者執行動作。
可結合 AND 和 OR 陳述式來建立 AND OR 條件。針對具有管理員權限的使用者,此組態會在登入時為「端點 1」或「端點 5」對應「印表機 1」。
對於您可以新增至 AND 和 OR 的條件以及可使用的 AND OR 條件,在數量上並沒有限制。
您可以在選項功能區中開啟和關閉 AND OR 標籤和項目背景色彩。
欄位驗證
下表列出了各項條件的欄位內可使用的字串。
| 條件 | 欄位 | 允許的字串 | 範例 |
|---|---|---|---|
| 使用者和群組 | 符合 | domain\group | ivanti/sales 與 ivanti 網域中的 'sales' 群組相符。 |
| LDAP | CN=sales, DC=ivanti, DC=com 與 ivanti 網域中的 'sales' 群組相符 | ||
| 查詢 | domain\gro* | ivanti\sal* 與 ivanti 網域中以 "sal" 開頭的群組名稱相符。 | |
| domain\*gro | ivanti\*les 與 ivanti 網域中以 "les" 結尾的群組名稱相符。 | ||
| domain\*gro* | ivanti\*ale* 與 ivanti 網域中包含 "ale" 的群組名稱相符。 | ||
| 使用者名稱 | 符合 | domain\user | ivanti\smithj 與 ivanti 網域中的 "smithj" 使用者名稱相符 |
| 查詢 | domain\use* | ivanti\smit* 與 ivanti 網域中以 "smit" 開頭的群組名稱相符。 | |
| domain\*use | ivanti\*ith 與 ivanti 網域中以 "ith" 結尾的群組名稱相符。 | ||
| domain\*use* | ivanti\*ith* 與 ivanti 網域中包含 "ith" 的群組名稱相符。 | ||
| 電腦群組 | 符合 | domain\group | ivanti\sales 與 ivanti 網域中的 'sales' 群組相符 |
| LDAP | CN=sales, DC=ivanti, DC=com 與 ivanti 網域中的 “sales” 群組相符 | ||
| 查詢 | domain\gro* | ivanti\sal* 與 ivanti 網域中以 "sal" 開頭的群組名稱相符。 | |
| domain\*gro | ivanti\*les 與 ivanti 網域中以 "les" 結尾的群組名稱相符。 | ||
| domain\*gro* | ivanti\*ale* 與 ivanti 網域中包含 "ale" 的群組名稱相符。 | ||
| 電腦名稱 | 符合 | 電腦 | SalesDesk01 與電腦名稱 "SalesDesk01" 相符 |
| 查詢 | comp* | SalesDesk* 與所有以 "SalesDesk" 開頭的電腦名稱相符 | |
| *comp | Desk01* 與所有以 "Desk01" 結尾的電腦名稱相符 | ||
| *comp* | Desk* 與所有包含 "Desk" 的電腦名稱相符 | ||
| 電腦網域 | 符合 | domain | ivanti 與 "ivanti" 網域名稱相符 |
| domain | ivanti.com 與 "ivanti.com" 網域名稱相符 | ||
| 查詢 | dom* | iva* 與所有以 "iva" 開頭的電腦網域相符 | |
| *dom | *nit 與所有以 "nit" 結尾的電腦網域相符 | ||
| *dom* | *ant* 與包含 "ant" 的網域相符。 | ||
| 電腦 NETBIOS | 符合 | 電腦 | SalesDesk01 與電腦 NETBIOS 名稱 "SalesDesk01" 相符。 |
| 查詢 | comp* | SalesDesk* 與所有以 "SalesDesk" 開頭的電腦名稱相符 | |
| *comp | Desk01* 與所有以 "Desk01" 結尾的電腦名稱相符 | ||
| *comp* | Desk* 與所有包含 "Desk" 的電腦名稱相符 | ||
| 電腦 IP 位址 | 符合 | xxxx.xxxx.xxxx.xxxx | 192.168.0.1 與 IP 位址 192.168.0.1 相符 |
| 介於 | xxxx.xxxx.xxxx.xxxx yyyy.yyyy.yyyy.yyyy | IP 位址 1: 192.168.0.1,IP 位址 2: 192.168.0.254 與介於 "192.168.0.1" 和 "192.168.0.254" 之間的所有 IP 位址相符。 | |
| 使用者 OU 成員資格 | 符合 | LDAP | CN=sales, DC=ivanti, DC=com 與 ivanti.com 網域中的使用者 OU "sales" 的目錄成員資格相符。 |
| 查詢 | ou* | sales* 與以 "sales" 開頭的使用者 OU 名稱相符 | |
| *ou | *sales 與以 "sales" 結尾的使用者 OU 名稱相符 | ||
| *ou* | *sales* 與包含 "sales" 的使用者 OU 名稱相符 | ||
| 電腦 OU 成員資格 | 符合 | LDAP | CN=sales, DC=ivanti, DC=com 與 ivanti.com 網域中的電腦 OU "sales" 的目錄成員資格相符。 |
| 查詢 | ou* | sales* 與以 "sales" 開頭的電腦 OU 名稱相符 | |
| *ou | *sales 與以 "sales" 結尾的電腦 OU 名稱相符 | ||
| *ou* | *sales* 與包含 "sales" 的電腦 OU 名稱相符 | ||
| 目錄站點 | 符合 | 網站名稱 | testsite 與 "testsite" 站點名稱相符 |
子網域內裝置的基於 Active Directory 的條件
以 Active Directory (AD) 為基礎之用戶端條件,會將自 Windows 終端伺服器或 Citrix 等同項目取得之用戶端的 NetBIOS 名稱轉換為用於查詢 AD 的 FQDN。若終端伺服器位於父系網域內且試圖解析子網域中連線裝置的 FQDN,便無法解析 FQDN。這將影響根網域中套用至終端伺服器和 VDI 的「裝置」和「自訂」規則 (使用以 Active Directory 為基礎之用戶端條件)。
終端伺服器必須以所有子網域的 DNS 尾碼進行設定。必須在所有想要解析用於在子網域中進行連線之名稱的終端伺服器上設定搜尋清單。
例如,對父系網域 domain.local 而言,子網域 childa.domain.local 及 childb.domain.local 都必須在終端伺服器上進行設定,才能讓以 AD 為基礎的條件進行正確評估。
如需有關設定網域尾碼搜尋清單的資訊,請參閱: https://support.microsoft.com/en-gb/kb/275553