Правила контроля доступа

Вступление

Правила контроля доступа могут использоваться для обеспечения подробного контроля над тем, какие пользователи могут получить доступ к определенным компьютерам при определенных обстоятельствах. Далее термин правило используется как синоним для правила управления доступом.

Когда пользователь пытается получить доступ к компьютеру, определенные правила контроля доступа обрабатываются один за другим, пока не будут выполнены все условия правила. Как только все активированные условия правила применяются, дальнейшие правила не обрабатываются, и сохраненное действие выполняется (исключение: правило отключено).

Правила могут быть настроены через Veyon Конфигуратор на странице конфигурации Контроль доступа в разделе Правила контроля доступа. Список правил пуст по умолчанию. В этом случае все попытки доступа отклоняются, поскольку нет правила, которое явно разрешает доступ. Это означает, что должно быть определено по крайней мере одно правило, которое разрешает доступ при определенных условиях.

Добавить и изменить правила

При нажатии на кнопку + откроется диалоговое окно, в котором можно создать новое правило. Существующие правила можно открыть или отредактировать, дважды щелкнув их или нажав кнопку с символом пера.

Правило в основном состоит из общих настроек, условий и действия, которое выполняется, когда применяются все условия. Диалог разделен на три раздела. Значения отдельных опций в различных разделах диалога описаны ниже.

Главное

В первую очередь имя для правила должно быть определено в поле ввода Название правила. Позже это имя используется для идентификации правила и отображается в списке правил. Для целей документирования необязательное описание может быть добавлено в поле ввода Описание правила.

Опция Всегда обрабатывать правило и игнорировать условия приводит к тому, что условия, установленные ниже, не будут проверяться для обработки правила и набор действий всегда выполняется. Это особенно полезно для резервных правил в внизу списка правил, где вы можете указать, что у вошедшего в систему пользователя запрашивается разрешение, если не применяются другие правила.

Вы можете использовать опцию Инвертировать все условия, чтобы инвертировать все активированные условия перед оценкой, это означает, что активированные условия не должны применяться. Например, если условие Ни один пользователь не вошел в систему активировано, правило применяется, только если один или несколько пользователей вошли в систему. Если условие настроено так, что пользователь должен быть членом определенной группы, правило применяется только в том случае, если указанный пользователь не является членом группы.

Условия

Для обработки правила должно применяться одно или несколько условий.

Пользователь является членом группы: С помощью этого условия вы можете определить, что либо доступ, либо локальный пользователь вошедший в систему должен быть членом определенной группы. Можно выбрать необходимую группу. Если не выбраны никакие или только неправильные группы, то Группы пользователей серверная части в общих настройках для Контроль доступа к компьютеру могут быть скорректированы.
Компьютер расположен в: С помощью этого условия вы можете определить, что либо доступ, либо локальный компьютер должен быть расположен в определенном местоположение. Желаемое местоположение может быть выбрано. Если не выбраны никакие или только неправильные местоположения, то Каталог сетевых объектов должен быть скорректирован.
Компьютер осуществляющий доступ и локальный компьютер находятся в том же местоположении: С помощью этого условия вы можете определить, что компьютер осуществляющий доступ и локальный компьютер должен быть расположен в том же местоположении. Это может использоваться, например, для предотвращения доступа учителей к компьютерам в разных классах.

Компьютер осуществляющий доступ localhost: Если это условие включено, правило применяется только в том случае, если доступ осуществляется к локальному компьютеру. Это гарантирует, например, что учителя могут получить доступ к локальному Veyon Service. Этот доступ необходим для Veyon Master для выполнения определенных функций через Veyon Service(например, сервер для демонстрационного режима).
Пользователь имеет одну или несколько групп, общих с локальным пользователем: Вы можете использовать это условие, чтобы указать, что получающий доступ и локальный пользователь должны быть членами по крайней мере одной общей группы, например группы пользователей для занятия или семинара.
Доступ осуществляется залогинившимся пользователем: В качестве альтернативы условию Компьютер осуществляющий доступ localhost вы можете разрешить пользователю получать доступ к его собственным сеансам. Для этого должно быть активировано соответствующее условие.
Пользователь уже подключен: В сочетании с условием Компьютер осуществляющий доступ и локальный компьютер находятся в том же местоположении может быть создан расширенный набор правил, позволяющий получить доступ к компьютер в других местоположениях при определенных условиях. В том числе возможность доступа к компьютеру, если пользователь, получающий доступ, уже подключен. Например, если учитель одновременно входит в систему на учительском компьютере в комнатах A и Б и отображает компьютеры комнаты Б, отображаемые в Veyon Master, компьютеры в комнате Б подключены к учителю. Затем учитель также может получить доступ к комнате Б от Veyon Master в комнате A, если это условие разрешено.
Пользователь не вошел: Это условие определяет, как можно получить доступ к компьютеру, когда ни один пользователь не вошел в систему. Для упрощения администрирования может быть полезно всегда иметь возможность получить доступ к компьютеру, когда ни один пользователь не вошел в систему.

Действие

Если применяются все разрешенные условия правила, выполняется определенное действие в отношении доступа к компьютеру. Вы можете определить это действие в разделе Действие:

Разрешить доступ: Доступ к компьютеру разрешен, и дальнейшие правила не обрабатываются. Если в приведенном ниже списке правил есть правило, запрещающее доступ, доступ по-прежнему разрешен. Для этого действия должно быть по крайней мере одно правило.

Запретить доступ: Доступ к компьютеру запрещен, и дальнейшие правила не обрабатываются. Если есть правило в приведенном ниже списке правил, которое разрешало бы доступ, доступ по-прежнему запрещен.

Запросить полномочия вошедшего пользователя: Это действие отображает диалоговое окно на компьютере, которое позволяет авторизованному пользователю выбрать, разрешить или запретить доступ. Никакие дополнительные правила не обрабатываются независимо от решения пользователя.
Нет (правило отключено): Это действие приводит к игнорированию правила. Контроль доступа перейдёт к обрабатке следующего правила. Этот параметр можно использовать для создания неактивной фиктивной записи для визуального разделения списка правил.

Нажатием на кнопку OK правило и внесенные изменения будут приняты и диалоговое окно закрыто.

Правила сортировки

Важно

Определенные правила контроля доступа обрабатываются одно за другим в порядоке следования в списке. Действие первого правила для которого выполненны условия запустится, даже если последующие правила также eljdktndjhtys и приведут к другому действию.

Порядок обработки правил можно изменить с помощью кнопок со стрелками. Правило которое должно в корне препятствовать или разрешать доступ на основе определенных критериев должно быть размещено как можно выше. Правила, охватывающие особые случаи, могут следовать ниже. Правила реализующие резервное поведение должны быть в самом низу списка.

Логическое объединение правил

Если в правиле активировано более одного условия, каждое условие должно применяться для применения правила (логическое И). Если должно применяться хотябы одно из нескольких правил (логическое ИЛИ), необходимо определить несколько правил управления доступом.

Обладая базовыми знаниями булевой алгебры, опция * Инвертировать все условия* может использоваться в качестве оператора отрицания в сочетании с инвертированными действиями для моделирования расширенных сценариев. Например, если пользователь должен быть членом двух определенных групп, чтобы разрешить доступ к компьютеру, можно создать два отдельных правила, которые запрещают доступ, если пользователь не является членом ни одной из групп.

Примечание

Если нет соответствующего правила контроля доступа, для которого удовлетворены все активированные условия, доступ запрещен и соединение закрыто. Это предотвращает случайное разрешение доступа злоумышленнику из-за неполного набора правил.

Тестирование набора правил

В разделе Контроль доступа к компьютеру настроенный набор правил можно проверить с помощью различных сценариев, используя кнопку Тестировать. В диалоговом окне тестирования вы можете ввести параметры для имитации сценария. С помощью кнопки OK правила обрабатываются с заданными параметрами и отображается сообщение с результатом теста.