存取控制規則
介紹
存取控制規則可用於提供在特定情況下使用者可以存取特定電腦的詳細控制。 在以下操作中,術語 規則 用作 存取控制規則 的同義字。
當使用者嘗試存取電腦時,將逐一處理定義的存取控制規則,直到套用規則的所有條件。 一旦套用規則的所有啟用條件,就不再處理任何規則並執行存儲的動作 (例外: 規則已停用)。
規則可以透過 Veyon 組態器在組態頁 存取控制 的 存取控制規則 區進行組態。 預設情況下,規則清單為空。 在這種情況下,所有存取嘗試都將拒絕,因為沒有明確允許存取的規則。 這意味著必須至少定義一個規則,允許在特定條件下存取。
加入和修改規則
按一下按鈕 + 時,將開啟一個對話方塊,允許建立新規則。 可以透過按兩下規則或按一下帶有筆符號的按鈕來開啟或編輯現有規則。
規則基本上由一般設定、條件和套用所有條件時執行的動作組成。 對話方塊分為三個部分。 下面將解釋各個對話方塊部分中各個選項的含義。
一般
應先在輸入欄位 規則名稱 中定義規則的名稱。 該名稱稍後用於標識規則,並顯示在規則清單中。 為了文件目的,可以加入選用描述到 規則描述 輸入欄位。
選項 始終處理規則並忽略條件 會導致下面設定的條件不檢查規則處理,並且始終執行設定操作。 這對於規則清單底端的回復規則特別有用。 您可以指定,如果沒有套用其它規則,則詢問登入使用者的權限。
您可以使用 反轉所有條件 選項來確定所有啟用的條件在評估之前都反轉,這意味著啟用的條件不得適用。 例如,如果啟用條件 沒有使用者登入,則規則只在一個或多個使用者登入時適用。 如果組態條件以便使用者必須是特定群組的成員,則除非該使用者是群組的成員才適用規則。
條件
為了處理規則,必須套用一個或多個條件。
- 使用者是群組成員屬於
使用這個條件,可以定義存取使用者或本機登入的使用者必須是特定群組的成員。 可以選擇所需的群組。 如果沒有或只有錯誤的群組是可選的,則可能需要調整 電腦存取控制 的一般設定下的 使用者群組後端。
- 電腦位於
使用這個條件,可以定義存取或本機電腦必須位於特定位置。 可以選擇所需的位置。 如果沒有或只有錯誤的位置是可選的,則必須調整 網路物件目錄。
- 存取電腦和本機電腦位於同一位置
使用這個條件,您可以確定存取電腦和本機電腦必須位於同一位置。 例如,這可用於防止教師訪問不同教室的電腦。
- 存取電腦是 localhost
如果啟用這個條件,則僅當存取電腦是本機電腦時,該規則才適用。 例如,這可確保教師可以存取本機 Veyon 服務。 Veyon Master 需要這個存取才能透過 Veyon 服務執行特定功能 (例如,用於示範模式的伺服器)。
- 存取使用者與本機 (登入的) 使用者有一個或數個群組在通用
可以使用這個條件指定存取和本機使用者必須是至少一個通用群組的成員,例如類別或研討會的使用者群組。
- 存取使用者是登入的使用者
作為條件的覆寫準則 存取電腦是 localhost 您還可以允許使用者存取自己的工作階段。 為此目的,必須啟用這個條件。
- 存取使用者已經連線
結合條件 存取電腦和本機電腦位於同一位置 可以建立一個擴展的規則集,允許在特定條件下存取其它位置的電腦。 這包含在存取使用者已連線時存取電腦的可能性。 例如,如果教師同時登入到教室 A 和 B 的教師電腦並顯示在 Veyon Master 中顯示的教室 B 電腦,則教室 B 中的電腦有從教師連線。 然後,如果以允許動作啟用這個條件,教師還可以從教室 A 的 Veyon Master 訪問教室 B。
- 沒有使用者登入
這個條件確定在未登入使用者時如何存取電腦。 為了便於電腦管理,在未登入使用者時始終能夠存取電腦會很有用。
動作
如果規則的所有啟用條件都適用,則對電腦存取執行特定動作。 您可以在 動作 區中定義這個動作:
- 允許存取
允許存取電腦,並且不處理其它規則。 如果以下的規則清單中有一個規則拒絕存取,則仍然允許存取。這個動作必須至少有一個規則。
- 拒絕存取
拒絕存取電腦,並且不處理其它規則。 如果以下的規則清單中有一個規則允許存取,則仍然拒絕存取。
- 詢問登入使用者的權限
這個動作在電腦上顯示一個對話方塊,允許登入使用者選擇是允許還是拒絕存取。 無論使用者如何決定,都不再處理其它規則。
- 無 (停用規則)
這個動作會使規則被忽略。 存取控制將以處理下一個規則繼續。 這個選項可用於建立創建未使用中虛擬項目,以直覺地細分規則清單。
透過按一下 確定 按鈕,將接受規則和所做的變更,且關閉對話方塊。
排序規則
重要
定義的存取控制規則按清單的順序依次處理。 執行第一個符合規則的動作,即使後續規則也會套用並導致不同的動作。
所有規則都可以透過帶有箭頭符號的按鈕重新排序。 應盡可能高地設定從根本上防止或允許基於特定條件的存取規則。 涵蓋特殊情況的規則如下。 實施回復行為的規則應位於底部。
規則的邏輯串聯
如果在規則中啟動了多個條件,則 每個 條件必須套用於要套用的規則 (邏輯 AND)。 如果只套用多個規則之一 (邏輯 OR),則必須定義多個存取控制規則。
根據布林代數的基本知識,選項 反向所有條件 可用作否定運算子,並結合反向動作來建構擴展方案。 例如,如果使用者必須是兩個特定群組的成員才能允許存取電腦,則可以建立兩個單獨的規則來拒絕存取,如果使用者*不*是任一群組的成員。
備註
如果沒有符合的存取控制規則,以致所有啟用的條件都適用,則拒絕存取並關閉連線。 這可以防止攻擊者由於不完整的規則集而意外允許存取。
測試規則集
在 電腦存取控制 區組態的規則集可以使用 測試 按鈕檢查各種方案。 在測試對話方塊中,您可以輸入參數來模擬方案。 使用 確定 按鈕以給予的參數處理規則,並顯示含有測試結果的訊息。