Создание/Редактирование задачи

Сервер DeviceLock Enterprise Server : Мониторинг : Задачи мониторинга : Создание/Редактирование задачи

Каждая задача содержит свой собственный список компьютеров и набор настроек.

Чтобы создать новую задачу, используйте команду Создать задачу из контекстного меню, доступного для пункта Мониторинг. Чтобы отредактировать существующую задачу, используйте команду Редактировать задачу из контекстного меню. Если требуется безвозвратно удалить задачу, выделите эту задачу в дереве консоли и выберите команду Удалить задачу из контекстного меню.

Для создания или редактирования задачи используется следующее диалоговое окно:

•Имя - Имя задачи, которое служит для ее идентификации в списке задач и в журнале мониторинга (см. раздел Просмотрщик журнала мониторинга).

•Активно - Если этот флажок установлен, DeviceLock Enterprise Server будет выполнять задачу. Снимите этот флажок, если нужно отключить выполнение данной задачи без ее удаления.

•Компьютеры - Тип списка компьютеров, используемый для задания компьютеров, которые будут контролироваться данной задачей.

Нажмите кнопку Редактировать, чтобы настроить список, тип которого выбран в поле Компьютеры.

Поддерживаются два типа списков компьютеров:

1. Статический список - Все компьютеры задаются в списке по именам и/или IP-адресам. Поскольку этот список статический, то даже если какой-либо компьютер больше не существует в сети, он будет контролироваться задачей, пока запись о нем не будет вручную удалена из этого списка.

Контролируемые компьютеры задаются в правом списке. Выберите необходимые компьютеры в левом списке и затем переместите их в правый список, нажав кнопку

Если необходимо исключить некоторые компьютеры из процесса мониторинга, то выделите их в правом списке и нажмите кнопку

Используя кнопки

, можно добавлять и удалять все доступные компьютеры за один раз (не нужно по отдельности выделять компьютеры в списках).

Имеется несколько вариантов выбора компьютеров в левом списке:

•Active Directory - Просмотреть и выбрать компьютеры из подразделений службы каталогов Active Directory.

•Компьютеры - Просмотреть и выбрать компьютеры из дерева сети.

•LDAP - Просмотреть и выбрать компьютеры из дерева LDAP-совместимой службы каталогов.

•Из файла - Загрузить заранее подготовленный список компьютеров из внешнего текстового файла, а затем выбрать компьютеры. Чтобы открыть внешний файл, нажмите кнопку

. Текстовый файл может содержать имена компьютеров и/или IP-адреса, каждый из которых должен быть записан на отдельной строке.

•Вручную - Ввести имена компьютеров вручную и затем выбирать компьютеры из полученного списка. Каждое имена или IP-адрес компьютера необходимо вводить на отдельной строке.

2. Динамический список - Вместо имен компьютеров или IP-адресов, динамический список содержит путь к контейнеру (например, к подразделению) в дереве службы каталогов (такой как Active Directory, Novell eDirectory, OpenLDAP и т.п.). Каждый раз в момент выполнения задачи DeviceLock Enterprise Server получает все компьютеры, которые в настоящий момент времени существуют в контейнере. Таким образом, если некоторый компьютер был удален из службы каталогов или был перемещен в другой контейнер, то он не будет более контролироваться задачей. И наоборот, если появился новый компьютер, который не существовал в контейнере на момент создания/редактирования задачи, а был добавлен туда позже, то этот новый компьютер будет контролироваться в момент выполнения задачи. Можно выбрать один или несколько контейнеров.

Путь к выбранным контейнерам указывается в поле Путь. Выберите контейнеры в дереве щелчком мыши, удерживая нажатой клавишу Shift или Ctrl. Затем нажмите кнопку Выбрать. Чтобы отменить выбор контейнера, нажмите красный крестик в поле Путь.

Установите флажок Просматривать вложенные контейнеры, чтобы разрешить задаче получать компьютеры из всех вложенных контейнеров, находящихся внутри выбранного контейнера. Если этот флажок снят, то все вложенные контейнеры игнорируются и компьютеры получаются только непосредственно из выбранного контейнера.

Предусмотрены два режима работы со службой каталогов:

•Active Directory - Просмотр и выбор контейнера из дерева службы каталогов Active Directory.

Хотя дерево Active Directory может отображаться и в режиме LDAP (см. ниже), мы рекомендуем использовать этот специальный режим Active Directory, т.к. в этом случае DeviceLock Enterprise Server работает со службой каталогов более эффективно и потребляет меньше ресурсов.

Если для доступа к Active Directory вам требуется задать данные альтернативной учетной записи (имя пользователя и пароль), нажмите кнопку

и укажите в открывшемся диалоговом окне Параметры доступа необходимое имя пользователя и соответствующий ему пароль.

Примечание: Если альтернативная учетная запись не задана, то для доступа к Active Directory используется учетная запись, от имени которой запущена служба DeviceLock Enterprise Server. Дополнительную информацию см. в описании параметра Входить в систему как.

Установите флажок Синхронизация, чтобы разрешить серверу DeviceLock Enterprise Server использовать внутренний механизм синхронизации, предоставляемый Active Directory. Использование данного механизма позволяет значительно снизить нагрузку на контроллер домена и быстрее получать компьютеры в момент выполнения задачи.

Примечание: Чтобы использовать механизм синхронизации, требуется доступ к Active Directory с правами администратора.

•LDAP - Просмотр и выбор контейнера из дерева LDAP-совместимой службы каталогов.

Чтобы настроить подключение к LDAP-серверу, нажмите кнопку

и задайте следующие параметры в диалоговом окне Настройки LDAP.

•Хост - Имя или IP-адрес LDAP-сервера, к которому выполняется подключение.

•Порт - Номер порта, по которому LDAP-сервер принимает подключения. По умолчанию это порт 389.

•Базовый DN - Начальная точка для просмотра дерева каталога. Вы должны использовать строку в LDAP-формате (например, cn=qa,o=SMARTLINE,c=US). Оставьте это поле пустым для просмотра с корня дерева.

Получить все доступные контексты можно, нажав кнопку Получить.

•Пользовательский DN - Имя пользователя, под которым выполняется подключение к каталогу. Вы должны использовать строку в LDAP-формате (например, cn=admin,o=SMARTLINE,c=US).

Примечание: Если имя пользователя не задано, то для доступа к LDAP-серверу используется учетная запись, от имени которой запущена служба DeviceLock Enterprise Server. Дополнительную информацию см. в описании параметра Входить в систему как.

•Пароль - Пароль пользователя.

•Способы сетевого опроса - Различные методы сетевого сканирования, используемые для определения статусов (доступен или недоступен) проверяемых компьютеров.

В момент выполнения задачи сервер DeviceLock Enterprise Server использует все выбранные методы сканирования в перечисленном порядке, пока один из них не вернет статус доступен для компьютера. Если ни один из методов не вернул статус доступен, то данный компьютер получает статус недоступен.

Поддерживается три метода сетевого сканирования:

•Ping-пакеты - Сервер посылает обычный ICMP-пакет (“пинг”) к компьютеру и ждет от него ответа.

•NetBIOS-запросы - Если компонент “Клиент для сетей Microsoft” установлен на компьютере, то этот компьютер ответит на NetBIOS-запрос, отправленный сервером.

•Опрос TCP-портов - Сервер проверяет перечисленные TCP-порты на компьютере и ищет первый открытый порт. Используя запятую (,) или точку с запятой (;) в качестве разделителя, вы можете указать несколько портов одновременно.

Примечание: Если на компьютере используется какой-либо файрвол, то он может блокировать отсылку некоторых или всех сетевых пакетов. В таком случае данный компьютер получит статус недоступен, даже если он на самом деле включен и работает.

Чтобы задать дополнительные параметры сканирования, нажмите кнопку Дополнительные настройки и задайте следующие параметры в диалоговом окне Настройки сетевого опроса.

•Количество повторов - Определяет, какое количество раз DeviceLock Enterprise Server будет повторно выполнять каждый метод сканирования, когда он возвращает статус недоступен. Ноль (0) в этом поле означает, что повторных попыток сканирования этим же методом предприниматься не будет (для данного компьютера в данный момент выполнения задачи).

•Ожидание ответа - Время в секундах, в течение которого DeviceLock Enterprise Server ожидает ответ от компьютера для каждого метода сканирования. Если DeviceLock Enterprise Server работает в медленной или чрезмерно загруженной сети, возможно потребуется увеличить это значение.

•Настройки соединения сервиса - Эти параметры определяют как DeviceLock Enterprise Server должен подключаться к сервису DeviceLock на контролируемых компьютерах для получения номера версии, настроек и т.п. Если параметры соединения заданы неправильно, то DeviceLock Enterprise Server не сможет подключиться к сервису DeviceLock, и компьютеры, на которых он работает, получат статус Сервис недоступен.

Сервис DeviceLock может быть настроен на использование фиксированного порта или динамических портов в момент установки на компьютер. Дополнительную информацию см. в разделах Установка без вмешательства пользователя и Установка в DeviceLock Enterprise Manager.

Предусмотрены два способа подключения:

•Динамическая привязка к портам - Выберите эту опцию для использования сервером DeviceLock Enterprise Server динамических портов при подключении к сервису DeviceLock.

•Фиксированный TCP-порт - Если сервис DeviceLock настроен на использование фиксированного TCP-порта, то следует выбрать эту опцию и указать номер порта.

Примечание: Чтобы успешно подключаться к сервису DeviceLock и получать от него необходимую информацию, DeviceLock Enterprise Server должен обладать как минимум правом доступа на чтение на этом сервисе. Если данная задача также должна перезаписывать настройки (политики) на контролируемых экземплярах сервиса, то DeviceLock Enterprise Server должен обладать правом полного доступа к этим экземплярам сервиса.

Для подключения к сервису DeviceLock сервер DeviceLock Enterprise Server использует учетные данные, с которыми были запущена его служба. Если указан секретный ключ, сервер также может использовать аутентификацию на основе сертификата DeviceLock. За дополнительной информацией обращайтесь к описанию параметров Входить в систему как и Имя сертификата.

•Проверять настройки сервиса - Установите этот флажок, если требуется, чтобы данная задача мониторинга выполняла проверку настроек сервиса DeviceLock путем их сравнения с определенными эталонными настройками.

Если данный флажок установлен, то на каждом контролируемом компьютере задача мониторинга проверяет настройки сервиса DeviceLock, сравнивая их с эталонными. При обнаружении настроек, отличающихся от эталонных, компьютеру присваивается статус “Настройки повреждены”. Кроме того, событие “Настройки повреждены” регистрируется в журнале мониторинга. Список настроек, отличающихся от эталонных, содержится в записи о событии. Его можно просмотреть при помощи команды Просмотр деталей на событии “Настройки повреждены” в журнале мониторинга (см. Просмотрщик журнала мониторинга). Еще один способ просмотра настроек, не совпадающих с эталонными, - использовать команду Просмотр деталей на контролируемом компьютере с статусом “Настройки повреждены” (подробнее об этом см. в разделе Задача и ее контролируемые компьютеры).

•Файл с настройками сервиса - Путь и имя файла настроек сервиса DeviceLock, которые считаются эталонной политикой. Для выбора файла служит кнопка рядом с этим полем.

Эталонная политика назначается задаче путем загрузки определенного файла настроек сервиса DeviceLock. Этот файл можно создать в консоли DeviceLock Service Settings Editor, DeviceLock Management Console или DeviceLock Group Policy Manager.

В ходе проверки задача получает настройки с контролируемых компьютеров и сравнивает их с файлом настроек, назначенным в качестве эталонной политики для этой задачи.

Все настройки, не определенные в эталонной политике (параметры, находящиеся в состоянии “не определен”), при проверке не учитываются. Эта функция может использоваться для выборочной проверки интересующих параметров, позволяя другим параметрам отличаться от эталонной политики.

Для загрузки файла нажмите кнопку

. Поскольку цифровая подпись на данном этапе не проверяется, можно выбрать подписанный или неподписанный файл. Имя и путь выбранного файла отображается в поле Файл с настройками сервиса. В случае подписанного файла его имя и путь заключается в круглые скобки.

При редактировании задачи, которой уже назначена эталонная политика, параметры эталонной политики можно экспортировать в файл, нажав кнопку Сохранить.

•Восстанавливать настройки сервиса - Установите этот флажок, если требуется, чтобы задача мониторинга заменяла поврежденные настройки на контролируемых компьютерах настройками из эталонной политики. Задача, у которой данный флажок установлен, не только проверяет, но и восстанавливает настройки сервиса DeviceLock в случае их изменения или повреждения.

•Интервал сканирования - Время в секундах, которое должно пройти после окончания выполнения задачи и перед началом выполнения этой же задачи снова.

•Количество сканирующих потоков - Максимальное количество потоков, которое может быть задействовано данной задачей в процессе своего выполнения. Вы можете увеличить это значение, чтобы распараллелить процесс сканирования компьютеров. Тем не менее, большее число потоков требует большего количества ресурсов (особенного памяти и сетевого трафика) для сервера DeviceLock Enterprise Server.

•Автоматически устанавливать/обновлять Сервис DeviceLock - Установите этот флажок для автоматической установки сервиса DeviceLock на компьютеры, включенные в задачу мониторинга.

•Автоматически удалять Сервис DeviceLock - Установите этот флажок для автоматического удаления сервиса DeviceLock с компьютеров, включенных в задачу мониторинга.

Примечание: Если служба сервера DeviceLock Enterprise Server запускается под локальной учетной записью системы (Local System), то задачи мониторинга не смогут устанавливать, обновлять и удалять сервис DeviceLock на удаленных компьютерах.