Создание подразделения

•Тип подразделения - Для обнаружения файлов на компьютерах и серверах выберите тип подразделения Компьютеры. Для обнаружения документов в Elasticsearch выберите тип подразделения Узлы Elasticsearch.

•Компьютеры - Задайте список компьютеров для данного подразделения. Доступны два типа списков: Статический список и Динамический список. Тип списка можно выбрать при создании подразделения. После того, как подразделение создано, изменить тип списка невозможно.

1. Статический список - Компьютеры в списке задаются по именам или IP-адресам. Поскольку этот список статический, то даже если какой-либо компьютер более не существует в сети, он будет сканироваться (с созданием события об ошибке), пока запись о нем не будет удалена вручную из этого списка.

Сканируемые компьютеры задаются в списке справа. Компьютеры, подлежащие сканированию, следует выбрать в левом списке, а затем переместить их в список справа, используя кнопку

•Из файла - Загрузка заранее подготовленного списка компьютеров из текстового файла с последующим выбором компьютеров. Файл должен содержать список компьютерных имен или IP-адресов по одному имени или адресу на строке. Чтобы открыть файл, нажмите кнопку

•Вручную - Ввод и выбор компьютеров вручную. Каждое имя или IP-адрес компьютера должно быть введено на отдельной строке. Для перехода на новую строку нажимайте клавишу ENTER.

2. Динамический список - В отличие от статического списка, вместо имен компьютеров и/или IP-адресов динамический список содержит путь к контейнеру (например, подразделение) в дереве службы каталогов (такой как Active Directory, Novell eDirectory, OpenLDAP и т.п.). Каждый раз в момент выполнения задачи сервер Discovery получает список всех компьютеров, которые в настоящий момент времени существуют в контейнере. Таким образом, если какой-либо компьютер был удален из службы каталогов или был перемещен в другой контейнер, то он не будет более сканироваться. И наоборот, если появился новый компьютер, который не существовал в контейнере на момент создания/редактирования задачи, а был добавлен туда позже, то данный компьютер будет сканироваться во время выполнения задачи. Можно выбрать один или несколько контейнеров.

Путь к выбранным контейнерам указывается в поле Путь. Выберите контейнеры в дереве щелчком мыши, удерживая нажатой клавишу Shift или Ctrl. Затем нажмите кнопку Выбрать. Чтобы отменить выбор контейнера, нажмите красный крестик в поле Путь.

Установите флажок Просматривать вложенные контейнеры, чтобы разрешить серверу Discovery получать компьютеры из всех вложенных контейнеров, находящихся внутри выбранного контейнера. В противном случае, если флажок Просматривать вложенные контейнеры выключен, то все вложенные контейнеры игнорируются, а список компьютеров формируется только из выбранного контейнера.

Хотя работать с деревом Active Directory можно и в режиме LDAP (см. ниже), рекомендуется использовать именно специальный режим Active Directory, т.к. в этом случае сервер Discovery работает со службой каталогов более эффективно и потребляет меньше ресурсов.

Если для доступа к Active Directory требуется задать данные (пользователь и пароль) альтернативной учетной записи, нажмите на кнопку

и укажите необходимое имя пользователя и соответствующий ему пароль.

Примечание: Если альтернативная учетная запись не задана, то для доступа к Active Directory используется учетная запись, от имени которой запущена служба DeviceLock Content Security Server. Подробнее см. в разделе Настройка стартовой учетной записи службы сервера.

Установите флажок Синхронизация, чтобы разрешить серверу Discovery использовать функцию синхронизации, предоставляемую Active Directory. Это позволяет значительно снизить нагрузку на контроллер домена и быстрее получать список компьютеров в момент выполнения задачи.

•Базовый DN - Начальная точка для просмотра дерева каталогов. Это должно быть действительное DN-имя, например cn=users,o=company,c=US. Если базовый DN не указан, просмотр начинается с корня дерева. Нажмите кнопку Получить, чтобы выбрать контекст именования для базового DN.

•Пользовательский DN, Пароль - DN-имя и пароль пользователя службы каталогов для доступа к LDAP-серверу. Это должно быть быть действительное DN-имя, например cn=admin,o=company,c=US.

Примечание: Если имя пользователя не указано, для доступа к LDAP-серверу используется стартовая учетная запись службы DeviceLock Content Security Server. Подробнее об этой учетной записи см. в разделе Настройка стартовой учетной записи службы сервера.

•Установить параметры доступа - При необходимости, нажмите эту кнопку, чтобы указать имя и пароль учетной записи с достаточными правами для доступа к компьютерам из списка. Рекомендуется использовать учетную запись, обладающую правами администратора на всех сканируемых компьютерах.

Установка параметров доступа не является обязательной. Если параметры доступа не установлены, сервер Discovery получает доступ к удаленным ресурсам посредством учетной записи, под которой запущена служба DeviceLock Content Security Server, или использует сертификат DeviceLock для доступа к сервису DeviceLock с установленным сертификатом.

Примечание:

•Для применения указанных параметров доступа служба DeviceLock Content Security Server должна быть запущена под учетной записью с правами локального администратора.

•При использовании базы данных другого сервера Discovery потребуется заново ввести параметры доступа. Поскольку эти параметры зашифрованы защищенным ключом, хранящемся на сервере, они не могут быть расшифрованы другим сервером Discovery, так что их необходимо ввести заново.

•Включающие фильтры / Исключающие фильтры - Задайте параметры включающих или исключающих фильтров, которые определяют, какие диски, папки и файлы будут сканироваться. По умолчанию DeviceLock Discovery сканирует все диски, папки и файлы на компьютере, за исключением съемных носителей и подключенных сетевых устройств.

Для создания нового фильтра нажмите кнопку Добавить под соответствующим списком фильтров. Для добавления включающего или исключающего фильтра служит диалоговое окно Добавить включающий фильтр или Добавить исключающий фильтр соответственно. Описание этих диалоговых окон см. в разделе Добавление фильтров. Редактировать или удалять ранее созданные фильтры можно нажатием на кнопку Редактировать или Удалить соответственно.

Правила внутри фильтра объединяются по ИЛИ. Например, если у включающего фильтра установить флажки Системный, Не системный и Съемный, Гибкий и Оптический в категории Все диски, сканироваться будут только указанные типы устройств. Если еще установить флаг Документы, то на указанных устройствах будет сканироваться только папка Документы. При использовании нескольких фильтров они объединяются по ИЛИ, т.е. сканироваться будет область, соответствующая любому из заданных фильтров. Включающие и исключающие фильтры объединяются по И. Дополнительные сведения см. в разделе Создание фильтра: Пример.

•Обнаружение без агента - Если этот флажок установлен, то сервер будет сканировать удаленные компьютеры, используя протокол SMB, без установки агента на удаленную систему. В зависимости от заданных правил обнаружения контента может потребоваться полная проверка содержимого файлов. В этом случае проверяемые файлы передаются на сервер для проведения анализа, что может повлечь повышенную нагрузку на сеть и снизить её пропускную способность.

•Автоматически устанавливать агент Discovery - Если этот флажок установлен, то агент сервера Discovery будет автоматически установлен на удаленную систему при условии, что он не был установлен ранее, а на удаленной системе не запущен сервис DeviceLock со встроенным агентом сервера Discovery.

•Автоматически удалять агент Discovery - Если этот флажок установлен, то агент сервера Discovery будет автоматически удален с удаленной системы по завершении сканирования. Обратите внимание, что этот параметр не приводит к удалению сервиса DeviceLock со встроенным агентом сервера Discovery.

Примечание: Если служба DeviceLock Content Security Server запускается под локальной учетной записью системы (Local System), то сервер Discovery не может устанавливать или удалять агенты Discovery на удаленных компьютерах.