Kaspersky
Solved

KSC не видит содержимое группы AD

  • 21 February 2020
  • 14 replies
  • 333 views

 

Используется: KSC 11.0.0.1131 патч B, KES 11.2.0.2254 патч Critical Fix 1

 

Потребовалась настройка блокировки доступа к USB по группе AD.

Создали группу, назначили на новую группу блокировку. Блокировки не происходит. 

Взял другую группу (созданную для другого) ради эксперимента. Блокировка проходит успешно.

 

В чем может быть разница и где смотреть? Могу предположить что не хватает прав на чтение группы Но где настраивать..

icon

Best answer by mike 1 23 February 2020, 22:05

View original

14 replies

Userlevel 7
Badge +7

В группе AD объекты “Компьютер”? Так будет работать, если группа AD использована в условии активации профиля политик, а с пользователями нет.

изменено.

Требуется блокировка по пользователям, а не компьютерам.

Работает с одной из групп с другой не работает. Вот вопрос в чем может быть специфика?

Userlevel 7
Badge +7

Распишите более подробно реализацию.

Вы блокируете “Шину подключения” - “USB”?

Или “Типы устройств” - “Съёмные диски”, “CD/DVD-приводы” и т.п.?

Используете профили политик? Если да, то правила активации как сделаны?

 

Давно Опрос AD делали? Нажмите “Опросить сейчас”:

 

Блокировка стоит "Съемных носителей”

Опрос автоматом, неоднократно уже проходил. Сейчас руками перезапустил повторно.

 

Профили не используются

Userlevel 5
Badge +4

Требуется блокировка по пользователям, а не компьютерам.

Работает с одной из групп с другой не работает. Вот вопрос в чем может быть специфика?

Более подробно напиши лучше со скринами, какая группа в AD, может это не группа а OU? например, компы или пользователи, и что сделано в KSC в политиках. У меня по группам при любых манипуляциях проблем не было, правда я не блокировал а разрешения давал на настройки.

Может AD группа настроена верно а сама политика KSC не на ту группу управления распространена и т.п.

Соотв я сижу под учеткой включенной в группу и блокировки не происходит.

Группа была создана вчера только.

Userlevel 7
Badge +7

Статусы иконок совпадают с моей картинкой?

 

Userlevel 3
Badge +2

А если так настроить, то работает? Лучше проверить на тестовой группе, либо использовать профиль политики. Тестовый пользователь должен быть наверху, а группа “Все” должна быть внизу. Для тестового пользователя разрешаем доступ, а для группы “Все” блокируем доступ.

 

 

Userlevel 3
Badge +2

Проверил у себя на тестовой машине. Если хотите, чтобы модуль работал, необходимо удалить группу “Everyone” и добавить только тех пользователей, которым разрешен доступ к usb носителям.  При такой настройке модуль будет работать в режиме “Белого списка”. Именно для групп почему-то не работает, скорее всего баг KSC.   

Коллеги, что-то изменилось с того времени?

Необходимо всем разрешить флешки, запретить только определенной группе из AD.

Userlevel 4
Badge +2

День добрый.

На KSC12 у меня подобных проблем не возникает. В политике KES11.4 разрешено всем, затем добавлена группа с пользователями, которым заблокирован доступ. Правда, иногда изменения в составе группы применяются не сразу, а через некоторое время.

 

Привет мужики. Ситуация точно такая же . Ранее блокировка флешек была настроена по пользователям , благо их было не так много , человек 5-6 . Тут пришла задача заблочить всем кроме определенного списка сотрудников , причем список будет постоянно пополнятся. Создал группу , навесил политику точно также как и пользователи тока вместо пользователей указал группу . НЕ РАБОТАЕТ !!! 

 

Смотрю дальше ….. окно запрета у одного юзверя вылазиет мол доступ запрещен к накопителем ( но спокойно записывает на флешку и соответственно читает с нее , а сообщение дальше вылазиет периодически , причем в событиях пишет инициатора этого пользователя или NT AUTHORITY\SYSTEM ) , а у другого пользователя сообщение что отказано в доступе к этой папке (которая редактируется уже через групповые политики домена , а ведь их я не трогал) . У обоих клиентов одинаковые версии агентов (13,0,0,11247) и клиента каспера (11,6,0,394)

 

Понял что все эти проблемы изза обновленной политики , решил одного из пользователей добавить отдельно параллельно с той группой которая уже была в списке доступа и вуаля !!!! доступ появился . Вывод : каспер частично  видит пользователей в группах ну или как-то криво , я не могу понять. Если смотреть в пункте “Учетные записи пользователей” то данные группы видит , но не показывает пользователей в свойствах . Причем если создать локальную группу и добавить в нее локальных пользователей , то в свойствах такой группы можно увидить пользователей которые в нее входят.

 

Может кто-нибудь уже разобрался ?

 

Используется: KSC 11.0.0.1131 патч B, KES 11.2.0.2254 патч Critical Fix 1

 

Потребовалась настройка блокировки доступа к USB по группе AD.

Создали группу, назначили на новую группу блокировку. Блокировки не происходит. 

Взял другую группу (созданную для другого) ради эксперимента. Блокировка проходит успешно.

 

В чем может быть разница и где смотреть? Могу предположить что не хватает прав на чтение группы Но где настраивать..

Доброго дня. А вы нашли решение ?

Reply