Funktionsweise von Markierungen
Die auf einem Clientcomputer angewendete Policies ist meistens das Ergebnis der Zusammenführung mehrerer Policies zu einer endgültigen Policy. Beim Zusammenführen von Policies können Sie das erwartete Verhalten der endgültigen Policy durch die Reihenfolge der angewendeten Policies mithilfe von Policy-Markierungen anpassen. Die Markierungen legen fest, wie eine Policy eine bestimmte Einstellung verarbeitet.
Pro Einstellung können Sie eine der folgenden Markierungen auswählen:
Nicht anwenden |
Einstellungen mit dieser Markierung werden nicht von der Policy festgelegt. Diese Einstellungen können daher von anderen, später angewendeten Policies geändert werden. |
Anwenden |
Einstellungen mit der Anwenden-Markierung werden auf dem Clientcomputer übernommen. Damit wird sichergestellt, dass später angewendete Policies diese Einstellung beim Zusammenführen nicht ändern können. Wenn ein Clientcomputer eine Policy empfängt, die Einstellungen mit dieser Markierung enthält, ändern diese Einstellungen die Konfiguration des Clientcomputers. Da die Einstellung nicht erzwungen wird, kann sie von später angewendeten Policies geändert werden. |
Erzwingen |
Einstellungen mit der Erzwingen-Markierung haben Priorität und können nicht von später angewendeten Policies überschrieben werden (selbst wenn diese auch eine Erzwingen-Markierung haben). Damit wird sichergestellt, dass später angewendete Policies diese Einstellung beim Zusammenführen nicht ändern können. Wenn ein Clientcomputer eine Policy empfängt, die Einstellungen mit dieser Markierung enthält, ändern diese Einstellungen die Konfiguration des Clientcomputers. |
Szenario: Ein Administrator möchte dem Benutzer John erlauben, Policies in seiner Stammgruppe zu erstellen und zu bearbeiten. Außerdem soll John alle vom Administrator erstellten Policies sehen können, inklusive Policies mit Erzwingen-Markierung. Der Administrator möchte, dass John alle Policies sehen kann, jedoch keine Änderungen an den vom Administrator erstellten Policies vornehmen darf. John kann nur Policies in seiner Stammgruppe „San Diego“ erstellen oder bearbeiten. Lösung:Der Administrator führt die folgenden Schritte aus: Benutzerdefinierte statische Gruppen und Berechtigungssätze erstellen
Policies erstellen
Ergebnis Die vom Administrator erstellten Policies werden zuerst angewendet, da die Erzwingen-Markierungen auf die Policy-Einstellungen angewendet wurden. Einstellungen mit der Erzwingen-Markierung haben Priorität und können nicht von später angewendeten Policies überschrieben werden. Die vom Benutzer John erstellten Policies werden nach den vom Administrator erstellten Policies angewendet. Um die endgültige Policy-Reihenfolge anzuzeigen, navigieren Sie zu Mehr > Gruppen > San Diego. Wählen Sie den Computer und anschließend Details anzeigen aus. Klicken Sie im Bereich Konfiguration auf Angewendete Policies. |