Разрешение IT-специалистам полностью управлять клиентом Symantec на всех компьютерах

[Nikita 0]

Создал в SEPM 11.0.4202.75 структуру с группами "IT" и "Пользователи", в которые импортировал соответствующие организационные юниты с компьютерами и пользователями из AD. В первой группе находятся учетные записи группы IT-специалистов и их компьютеры. Во второй - обычные пользователи и их компьютеры. В группе "IT" политики, грубо говоря, разрешают всё, никаких ограничений нет, SEP управляется в смешанном режиме. В группе "Пользователи" действуют различные запретительные политики Управления приложениями и устройствами, запрещено изменение режима работы Защиты от вирусов и программ-шпионов, а клиенты SEP управляются сервером.

Управляемые клиенты SEP распространены по всем компьютерам с предпочтением режима "Режим компьютера"

Все работает замечательно, но есть проблема:

Как правильно (или хоть как-нибудь!) сделать, что IT-специалистам из группы IT могли обходить все ограничительные политики на компьютерах пользователей для выполнения задач администрирования: установить что-то с CDROM, запустить программу с флешки, отключить на время Автоматическую защиту файловой системы и т.д. - то есть все то, что политики, применяемые к компьютерам пользователей запрещают? (разумеется, IT-специалисты обладают административными правами на комьютерах пользователей)

Наложил на запуск интерфейса клиента SEP пароль, а управление SEP у пользователей сделал смешанным. Это позволило IT-специалистам временно отключать для своих нужд автоматическую защиту файловой системы, причем клиент SEP позволяет отключить автоматическую защиту файловой системы только если интерфейс запущен из-под учетки с административными правами. Часть проблем это решило.

Однако, остались проблемы с политиками Управления приложениями и устройствами.

Насколько я понимаю, единственный выход - переключение клиентов SEP в режим пользователя, хотя это и не совсем удобно. Как я понял из описаний, при использоваении режима пользователя клиент SEP должен перемещаться в группу текущего пользоваетеля: например, из группы "Пользователи", где "все запрещено", в группу "IT", где все разрешено.

Переключить в режим пользователя импортированный из AD компьютер невозможно, приходится его копировать непосредственно в группу списке клиентов SEPM. До этого момента все более-менее понятно. А вот дальше затык: почему-то, когда я скопированный из импортированного подразделения клиент переключаю из режима компьютера в режим пользователя, то вместо того, чтобы переместиться в группу с существующей учетной записью этого пользователя, он создает учетную запись в той группе, где он находится и остается там. При последующих логинах под другими учетными записями пользователей он тоже никуда не перемещается... Вот такая вот непонятная ситуация. Помогает только если удалить из SEPM всю информацию о компьютере с установленным клиентом SEP включая импортированное из AD подразделение. Тогда да, клиент перемещается по группам при логине разных пользователей. Неужели это единственный вариант? Или все дело в том, что клиенты установленны с предпочтением режима "Режим компьютера"? Как это в таком случае исправить?

Заранее спасибо.

P.S. Есть еще вопрос о том, как сделать, чтобы в клиенте SEP галочка "Разрешить общий доступ к моим папкам и принтерам в сети на вкладке "Сеть Microsoft Windows" параметров защиты от угроз из сети автоматически выставлялась?

[Кирилл Керценбаум 671]

Nikita какую версию SEP используете, точный билд?

P.S. Есть еще вопрос о том, как сделать, чтобы в клиенте SEP галочка "Разрешить общий доступ к моим папкам и принтерам в сети на вкладке "Сеть Microsoft Windows" параметров защиты от угроз из сети автоматически выставлялась?

Для этого в политике Файрвола на SEPM есть предсозданное правило, оно не выставляет галочку, но изменяет настройку

[Nikita 0]

Nikita какую версию SEP используете, точный билд?

Для этого в политике Файрвола на SEPM есть предсозданное правило, оно не выставляет галочку, но изменяет настройку

11.0.4202.75

Для этого в политике Файрвола на SEPM есть предсозданное правило, оно не выставляет галочку, но изменяет настройку

Дело в том, что как минимум при режиме управления "управление клиентом" (который у нескольких компьютерах IT-специалистов) эта галочка стоит как бы не полностью: не галочка, а квадратик.

Но это дело поправимое: убрал одним кликом квадратик, а вторым поставил галочку, а IT-специалистов не так много

Как я писал, чтобы обслуживающие IT-специалисты могли при необходимости отключить автоматическую защиту файловой системы, на всех пользовательских компьютерах я сделал вместо "управления сервером" "смешанное управление", и на некоторых из них SEP блокирует общий доступ к папкам.

[Кирилл Керценбаум 671]

Насколько я понимаю, единственный выход - переключение клиентов SEP в режим пользователя, хотя это и не совсем удобно

Другого варианта нет, попробуйте поэксперементировать, у вас одна из последних версий, должно все работать, рекомендую вначале несколько раз перечитать соответствующий раздел Документации, где искать русскую знаете?

[Nikita 0]

Если речь идет про "Symantec™ Endpoint Protection и Symantec Network Access Control: Руководство администратора", то оно у меня есть. Судя по нему, никаких проблем не должно быть и при переключении из режима компьютера в режим пользователя:

"Имя компьютера клиента и имя пользователя содержатся в разных группах. При переключении в режим пользователя группа клиента заменяется на группу, в состав которой входит имя пользователя. Появляется сообщение, информирующее пользователя об изменении группы."

У меня же клиент остается в той же группе, но в виде учетной записи пользователя: имя компьютера меняется на имя пользователя и все. И сообщений о замене группы тоже нигде никаких не высвечивается...

Скажите, необходимо ли для нужной мне работы клиентов SEP переустанавливать его с предпочтением режима компьютера? И можно ли для того, чтобы, например, IT-специалистам запускать с флешки или CDROM программы на компьютерах, где это запрещено политиками SEP, использовать какой-нибудь другой способ без переключения клиентов в режим пользователя?