你在这里

DeviceLock策略设定与发布

关于 DeviceLock Policy 的修改与发布,有二种方式可供选择,其一是 DeviceLock Management Console / DeviceLock Enterprise Manager;另一则是透过 AD Server 的 Group Policy 来更新存取政策。安装时,可设定 “默认存取政策”。

  • 透过 DeviceLock Management Console 或 Enterprise Manager 来更新政策: 

透过 DeviceLock 所提供的管理介面,可做到:

  1. 依照不同的电脑群组设定不同的存取政策。
  2. 依照不同的用户/群组设定不同的存取政策。
  3. 依照不同的时段设定不同的存取政策。
  4. 存取权限包含Full access / Read-only / No access。

透过 DeviceLock Manager 来修改与发布政策,简单且直觉,而且政策发布下去可马上生效,也可清楚知道所有机器政称更新的结果;但其缺点为针对未开机或未连线的电脑,则无法进行政策更新。 

  • 透过 Windows AD Server 之 Group Policy(组策略) 来进行派送。 

透过 AD Group Policy 也可做到与 DeviceLock Manager 相同的功能。但两者在功能上差异主要有:

  1. DeviceLock Manager 仅能对已开机且连线的电脑进行政策更新;但透过 AD Group Policy 来发布政策,则只要加入网域的电脑一连线,即会进行政策更新。
  2. DeviceLock Manager 针对未加入网域的机器,您只要拥有 DeviceLock Administrator 的帐号及密码,您仍可进行政策修改。但 Group Policy 则无法更改未加入网域的政策。

 

布署建议

  • 如何布署 Agent 

关于如何布署 DeviceLock Agent,针对下述三种布署方式均可同时并行:

  • 透过 DeviceLock Enterprise Manager 来进行布署:

建议此为主要的布署方式,因此透过 DeviceLock Enterprise Manager 可以直接知道布署结果,以利后续进行相关事宜。而且针对未加入网域的电脑,你也可指定该电脑的管理者帐号及密码来进行布署。

  • 透过 AD Group Policy 来进行布署:

针对加入网域的电脑,透过 AD Group Policy 来进行布署是最简单的方式,只要电脑登入网域,即会自动进行布署。

  • 透过人工手动安装:

此方式是针对上述二种方式无法成功进行布署的机器,透过人工方式来进行布署,例如:非加入网域之电脑、不常连线之电脑、或其它特殊需求而必须透过人工来进行布署。

  • 如何更新政策设定 

Policy 的发布可分为二种方式,我们也是建议二种方式并行:

  • 透过 AD Group Policy 来发布政策:

透过 AD Group Policy 来更新用户端的政策,只要设定好新的存取政策,已连络电脑即会自动更新政策,针对未连线电脑,待下次连线后也会自动更新政策。此种作法可以有效减少政策修改的管理人力。

  • 透过 DeviceLock 管理工具来发布政策:

针对未加入网域的雷脑或是需有特别存取权限设定(即不想套用 AD Group Policy 中的存取权限),则可透过 DeviceLock Manager 来进行政策修改:

  1. 针对未加入网域,可针对每台机器指定 DeviceLock Administrator 帐号及密码来进行政策更新。
  2. 针对需有特殊政策设定的电脑,可设定 DeviceLock Manager 来指定其套用 Local Policy(非套用Group Policy)。