Handbuch der cynapspro Endpoint Data Protection. Erläuterungen zu DevicePro, CryptionPro, CryptionPro HDD, ErasePro, PowerPro und ApplicationPro.
Weitere Informationen über die cynapspro Endpoint Data Protection 2010 finden Sie unter http://cynapspro.com/DE/
2. 2
cynapspro Endpoint Data Protection
Alle Rechte vorbehalten, 2004 – 2010 cynapspro GmbH. Diese Dokumentation ist urheberrechtlich
geschützt. Alle Rechte liegen bei der cynapspro GmbH. Jede andere Nutzung, insbesondere die
Weitergabe an Dritte, Speicherung innerhalb eines Datensystems, Verbreitung, Bearbeitung, Vortrag,
Aufführung und Vorführung ist untersagt. Dies gilt sowohl für das gesamte Dokument, als auch Teile
davon.
Änderungen vorbehalten. Die in dieser Dokumentation beschriebene Software unterliegt einer
permanenten Weiterentwicklung. Aufgrund dessen kann es zu Unterschieden in der Dokumentation
und der tatsächlichen Software kommen.
Cynapspro devicepro® sind eingetragene Markenzeichen der cynapspro GmbH. Alle verwendeten
Produktnamen und Warenzeichen sind Eigentum ihres jeweiligen Besitzers.
cynapspro GmbH
Am Hardtwald 1
76275 Ettlingen
Germany
Tel. +49 (0)7243 945-250
Fax. +49 (0)7243 945-100
eMail: contact@cynapspro.com
3. 3
Inhaltsverzeichnis
Allgemeines zu cynapspro Endpoint Data Protection 2010
Die Management Konsole
o Hostname/ Port ändern
o Sprache ändern
Active Directory/ NDS Synchronisation
o Active Directory Synchronisation
o Scheduler
o Domaincontroller Verwaltung
o Log der Synchronisation
o Nicht mehr vorhandene Objekte
Eigenes Directory
Vererbung von Gruppenrechten
Rechteverwaltung
o Zugriffsverwaltung
o Zeitsegmentschema - Zugriffsrechte zeitabhängig steuern
o Einmalige Freigabe
o Freischaltcode generieren
Freischaltung ganzer Geräteklassen
Challenge Response für einzelne Gerätefreischaltungen
o Aktivieren/Deaktivieren von Benutzern oder Rechnern
o Logdateien anzeigen
o Benutzer Info
o Rechte exportieren
o Kombination von Rechner und Benutzer
o Rechnerrechte
o Die Reihenfolge der Rechte
Gerätefreigabe
o Freigegebene Gerätegruppen
o Individuelle Gerätefreigabe
o Medienfreigabe
Administration
o Änderungswünsche
o Mailversand
o Administrative Rollen
o Administratoren und Bereiche
o Datenbankpflege
o Protokollierung
o Contentheaderfilter
o Serververwaltung
o Integration von Fremdsystemen
o Lizenzverwaltung
o Logfiles Verwaltung
o Clienteinstellungen
4. 4
o Individuelle Benutzermeldungen
o MSI Paket generieren
o Installation/ Update der Agenten
Auswertungen
o Nichtaktualisierte Rechte
o Aktive/inaktive Benutzer
o Analyse der Rechteänderungen
o Rechteanalyse
o Rechteübersicht - detailliert
o Rechteübersicht - summary
o Abweichungen von Standardrechten
o Einmalige Freigaben
o Protokollierung
o Gesperrte Zugriffe
o Zugriffsstatistik
Der DevicePro Agent
o Zugriffsrechte anzeigen
o Zugriffsrechte beantragen
o Challenge Response für einzelne Gerätefreischaltungen
o Freischaltcode eingeben
o Anmelden als
o Rechte importieren
Das DevicePro AdminTool
o Datenbank Einstellungen
o Directory Service Einstellungen
o DevicePro Server Einstellungen
o Loglevel
Lösungsszenarien (DevicePro)
o Keine Verbindung zum Server
o Erste Schritte nach der Installation
o Nur firmeneigene Geräte erlauben
o Benutzern bestimmte Geräte freigeben
o Sperren von Dateitypen
o Zugriffsrechte offline ändern
o Erhalten von Überblick auf Dateizugriffen
o Administratoren für verschiedene Ebenen
o Serverumzug
o Zusammenführen zweier Datenbanken
Anhang
o Bausteine zum Erstellen einer DevicePro Rechtedatei
o Unattended Installation von cynapspro Endpoint Data Protection
ApplicationPro
o Einführung
o Rechteverwaltung
o Lernmodus
o Handhabung von ApplicationPro Anhand des Lernmodus
o Verwaltung von Programmen
5. 5
o Verwaltung von Rollen
o ApplicationPro Einstellungen
o Vertrauenswürdige Objekte
Lösungsszenarien (ApplicationPro)
CryptionPro
o Übersicht
o Verschlüsselungseinstellungen
o Schlüsselverwaltung
o CryptionPro Gruppenverwaltung
o CryptionPro Mobile (Globale Einstellungen)
o Blacklist der Geräte
o Unverschlüsselten Dateitransfer
o Konfiguration der Benutzer
o CryptionPro Mobile (Clientsoftware)
Lösungsszenarien (CryptionPro)
CryptionPro HDD
o Standard Einstellungen
o Pre-Boot Authentication
o PBA Einstellungen
o Full Disk Encryption
o Installation und Verwaltung
ErasePro
o Benutzerverwaltung
o Sicheres Löschen von Dateien am Client
PowerPro
o Profilverwaltung
o Rechnereinstellungen
o Scheduler
o Ausnahmen
o Benutzerberechtigungen
o Einstellungen
6. 6
Allgemeines zu
cynapspro Endpoint Data Protection 2010
Für die Administration des DevicePro Servers stehen Ihnen zwei Werkzeuge zur Verfügung:
Die Management Konsole:
Die Management Konsole ist die zentrale Oberfläche zur Steuerung sämtlicher
Funktionen für DevicePro. Die Management Konsole ist standortunabhängig
einsetzbar, d.h. jeder Administrator kann diese von seiner Arbeitsstation
ausführen.
DevicePro AdminTool:
Im DevicePro AdminTool konfigurieren bzw. überprüfen Sie die Servereinstellungen.
Mit der Installation der DevicePro Clientkomponente wird ein Kernelfiltertreiber auf dem
Windows System installiert.
Dieser hat die Aufgabe, die empfangenen Rechte, welche zugeteilt wurden, umzusetzen.
Der Einsatz des Kernelfiltertreibers hat den Vorteil, dass offline alle Rechte erhalten bleiben.
Des Weiteren bietet der Kernelfiltertreiber auf dem PC eine weit höhere Sicherheit vor
Inkompatibilitäten und Problemen.
Die Clientkomponente von DevicePro sollte auf jeder Arbeitsstation installiert werden.
7. 7
Die Management Konsole
Die DevicePro 2010 Management Konsole finden Sie im Startmenü unter
> Programme > cynapspro GmbH
Hostname/ Port ändern
Sie können die Management Konsole von jedem Arbeitsplatz aus ausführen. Hierfür kopieren
Sie lediglich die Konsole auf ein Netzlaufwerk bzw. direkt auf Ihren Computer. Tragen Sie den
Hostnamen bzw. den Port in der Abfrage ein.
Klicken Sie in der Symbolleiste auf Datei > DevicePro Server, wenn Sie sich an einem
anderen Server anmelden und/oder die Einstellungen ändern wollen.
Sprache ändern
Möchten Sie in der Management Konsole die Sprache ändern, so klicken Sie in der
Symbolleiste auf Extras > Optionen.
Es werden die beiden Sprachen Deutsch und Englisch angeboten.
8. 8
Active Directory/ NDS Synchronisation
Damit Benutzer und Gruppen aus Ihrem bestehenden Directory Service in die Datenbank von
DevicePro 2010 übernommen werden können, gibt es die Funktion der Active Directory/ NDS
Synchronisation. Die Synchronisierung des DevicePro Servers mit dem Directory Service wird
die komplette Struktur aus dem Directory auslesen und übernehmen.
Es werden auf dem Server weder Schemaerweiterungen noch andere Änderungen stattfinden.
Alle relevanten Daten werden eins zu eins kopiert.
Bevor Sie mit der ersten Synchronisation beginnen, ist es möglich Standardberechtigungen für
die Benutzer zu setzen. Dies ist sinnvoll, damit Sie nicht bei jedem neuen Benutzer die
gleichen Rechte manuell hinterlegen müssen.
Diese können Sie unter Rechteverwaltung > Spezifische Benutzer > Standardrechte
(Neuer Benutzer) einstellen.
Um die Synchronisation zu starten, gehen Sie auf AD bzw. NDS Synchronisation und klicken
den Button Start.
Haben Sie einige Gruppen aktiviert und möchten, dass die neuen Benutzer dieser Gruppen
sofort aktiviert werden, setzen Sie den Haken bei Neue Benutzer in den aktiven Gruppen
automatisch aktivieren.
Damit die gesamte Verzeichnisdienststruktur nicht jedes Mal synchronisiert werden muss,
können Sie die zu synchronisierenden OU‟s oder Gruppen im linken Fenster auswählen.
9. 9
Active Directory Synchronisation – Scheduler
Es werden öfters Benutzer und Gruppen angelegt bzw. gelöscht. Damit der Directory Service
nicht bei jeder Änderung manuell synchronisiert werden muss, gibt es die
Funktion der automatischen Synchronisation. Mit dem Scheduler (dt. Zeitplaner) ist es möglich
eine solche automatische Synchronisation der Directory Struktur durchzuführen.
Es können die Uhrzeiten, sowie die jeweiligen Wochentage und Zeitintervalle eingestellt
werden. Klicken Sie auf Bestätigen, um die eingestellte Auswahl zu übernehmen.
Domaincontroller Verwaltung
Falls Sie mehrere Domaincontroller (DC) im Einsatz haben und alle OU‟s, Gruppen und
Benutzer dieser DC synchronisieren möchten, können Sie weitere DC hinterlegen.
Der Ersten Domaincontroller wurde während der Installation angegeben.
Unter Weitere Domaincontroller können Sie weitere DC hinterlegen, indem Sie auf
Einfügen klicken und die benötigten Daten eintragen. Klicken Sie anschließend auf
Bestätigen.
10. 10
Log der Synchronisation
Hier können Sie einsehen, wann eine Synchronisation erfolgreich oder erfolglos durchgeführt
wurde.
Nicht mehr vorhandene Benutzer
Werden Benutzer, Rechner, Gruppen oder OU„s aus dem Directory Service gelöscht, so sehen
Sie diese nach der Synchronisation unter Nicht mehr vorhandene Benutzer. Wollen Sie
diesen aus der Datenbank entfernen, wählen Sie ihn aus und klicken auf Löschen.
Eigenes Directory
Sie haben die Möglichkeit DevicePro ohne ActiveDirectory oder Novell eDirectory zu verwalten.
Sobald ein MSI Paket auf einem Rechner installiert wird, finden Sie diesen und alle
angemeldeten Benutzer unter Ungeordnete.
Für eine erhöhte Übersichtlichkeit können Sie eigene OU‟s anlegen. Hierfür klicken Sie mit der
Maustaste auf die Domaine/ Arbeitsgruppe und wählen Organizational Unit einfügen aus.
Benutzer können Sie anschließend in die zuvor angelegten OU‟s verschieben. Hier wählen Sie
den Benutzer aus, betätigen die rechte Maustaste und wählen verschieben nach aus.
11. 11
Vererbung von Gruppenrechten
Um Ihren Administrationsaufwand zu verringern, bieten wir Ihnen die Möglichkeit, Benutzer
über Gruppen zu verwalten.
Standardmäßig sind alle Benutzer von der Vererbung ausgeschlossen. Um einen Benutzer mit
der Vererbung auszustatten klicken Sie in der Rechteverwaltung beim Benutzer auf das Kreuz
in der Spalte VA (Vererbung aktiv). Dies können Sie im Kontextmenü des Benutzers
vornehmen, indem Sie hier auf Vererbung aktivieren klicken.
Nun erhält der Benutzer vorerst Standardrechte, die Sie unter Spezifische Benutzer
eingestellt haben. Möchten Sie, dass der Benutzer automatisch die Rechte der übergeordneten
Gruppe erhalten soll, so gehen Sie unter AD Synchronisation auf
Vererbungseinstellungen.
Hier bestimmen Sie nun, wie die Verberbung vorgenommen werden soll.
Damit Sie im AD/NDS keine Gruppen für DevicePro anlegen müssen, können Sie DevicePro
eigene Gruppen definieren. Hierfür gehen Sie bitte auf DevicePro Gruppenverwaltung.
In der Verzeichnis-Dienst Struktur wählen Sie die übergeordnete OU und klicken mit der
rechten Maustaste auf diese. Hier gehen Sie auf DevicePro Gruppe einfügen. Anschließend
benennen Sie die von Ihnen in DevicePro angelegte Gruppe und teilen auf der rechten Seite
der Gruppe die jeweiligen Benutzer über Gruppenmitglieder zu.
12. 12
Rechteverwaltung
Zugriffsverwaltung
Die Zugriffsverwaltung basiert auf Ihrem Directory Service.
Auf der linken Seite sehen Sie die OU‟s, Gruppen und Ordner. Klicken Sie auf eine OU, so
sehen Sie im rechten oberen Fenster deren Gruppen und Benutzer.
Wählen Sie zunächst die jeweiligen Benutzer, Rechner oder Gruppen manuell oder über die
Suchfunktion in der Verzeichnis-Dienst Struktur aus. Danach werden unter Zugriffsverwaltung
im unteren Teil des rechten Fensters alle Geräte und Ports angezeigt. Wählen Sie nun den
gewünschten Gerätetyp aus und aktivieren Sie die Auswahl durch betätigen der rechten
Maustaste.
Folgende Einstellungen können Sie hier vornehmen:
- Kein Zugriff
- Lesezugriff
- Vollzugriff
- Zeitgesteuerter Zugriff
13. 13
Nachdem Sie eine Auswahl getroffen haben, können Sie die vorgenommenen Änderungen mit
dem Button Speichern zuweisen. Anschließend werden die geänderten Zugriffsrechte sofort
wirksam. Ein Neustart bzw. eine Neuanmeldung des Benutzers ist nicht notwendig.
Sollte die Clientkomponente nicht online sein, wird die Änderung bei der nächsten Anmeldung
zugewiesen.
Die Zuweisung kann kontrolliert werden, in dem Sie die Registerkarte Revision auswählen.
Hier sehen Sie ob und welche Rechte, wann und von wem über welches Verfahren zugewiesen
wurden.
Durch Betätigung des Emergency Buttons werden alle Rechte des Users auf „kein
Zugriff“ gesetzt.
Zeitsegmentschema - Zugriffsrechte zeitabhängig steuern
Hier können Sie für einzelne Wochentage und Uhrzeiten entsprechende Rechte zuweisen.
Einmalige Freigabe
Durch die Einmalige Freigabe haben Sie die Möglichkeit, temporär Zugriffsrechte
zuzuweisen, die dann nach Ablauf der gewählten Dauer auf die vorher gültigen Rechte
zurückgesetzt werden.
Freischaltcode generieren
Mit dieser Funktion haben Sie die Möglichkeit einem Benutzer der offline ist, per Freischaltcode
Zugriffsrechte zuzuweisen.
Freischaltung ganzer Geräteklassen
Um einen Freischaltungscode für eine ganze Geräteklasse zu generieren, gehen Sie bitte bei
dem entsprechenden Benutzer mit der rechten Maustaste auf die jeweilige Geräteklasse. Dort
finden Sie nun im Kontext Menü Freischaltungscode generieren. Wählen Sie hier den
Zugriff bzw. Zeitraum aus und klicken anschließend auf generieren.
Der generierte Code kann nun von dem Benutzer direkt am Tray-Icon der Clientkomponente
über die Funktion Freischaltungscodes eingeben eingegeben werden. Dieser Code gilt nur
für diesen einzelnen Benutzer und kann nur einmalig eingesetzt werden.
14. 14
Falls der Benutzer ein Gerät nutzen sollte, welches sich aktuell nicht in der Whitelist
(Gerätefreigabe) befindet, so kann man dies durch setzen des Haken “Whitelist ignorieren”
umgehen.
Aktivieren/Deaktivieren von Benutzern oder Rechnern
Die Zugriffsrechte greifen nur bei den aktiv gesetzten Benutzern/Rechnern. Sobald der
Benutzer oder Rechner inaktiv geschaltet ist, gelten weder die Rechte für die
Zugriffsverwaltung, noch die Gerätefreigabe. Klicken Sie hierfür mit der rechten Maustaste auf
den Benutzer bzw. die Gruppe und aktivieren bzw. deaktivieren ihn.
Erst nach Aktivierung eines Benutzers oder Rechners wird für das jeweilige Modul (DevicePro,
ApplicationPro oder CryptionPro) eine Lizenz in Anspruch genommen.
Sie können alle Module auf einmal aktivieren bzw. deaktivieren, in dem Sie auf Alle
aktivieren oder Alle deaktivieren klicken.
Logdateien des Agenten
Möchten Sie die Protokolldatei des Agenten eines Benutzers abrufen, so können Sie dies in der
Rechteverwaltung vornehmen.
Klicken Sie einfach mit der rechten Maustaste auf den jeweiligen Benutzer. Sie sehen im
Kontextmenü den Punkt Logdateien des Agenten. Hier gibt es drei Auswahlmöglichkeiten.
Zum einen können Sie sich das neueste Protokoll anschauen, indem Sie auf Aktuelle
Logdatei anzeigen klicken.
Es öffnet sich die aktuelle Datei im Editor als log-Format.
15. 15
Möchten Sie aber auf eine ältere Protokolldatei zugreifen bzw. mehrere Logs dieses Benutzers
öffnen, haben Sie die Möglichkeit dies mit Alle Logdateien anzeigen… abzufragen. Haben
Sie dies angeklickt, so können Sie die gewünschte Logdatei in einer Liste auswählen.
Nach anklicken der gewählten Protokolldatei, öffnet sich diese im Editor. Nun können Sie die
Tätigkeiten des jeweiligen Benutzers kontrollieren bzw. überprüfen.
Sie können in der DevicePro Management Konsole ältere oder alle Logdateien löschen.
Benutzer Info
Über den Button Benutzer Info haben Sie die Möglichkeit, sich eine komplette Übersicht der
Rechte und Einstellungen des gewählten Benutzers anzeigen zu lassen.
16. 16
Dazu wählen Sie in der Rechteverwaltung einen Benutzer aus und klicken auf Benutzer Info
oder gehen direkt mit Rechtsklick auf den entsprechenden User und wählen Benutzer Info.
Es öffnet sich ein Fenster mit den entsprechenden Rechten und Einstellungen dieses
Benutzers. Nun haben Sie noch die Möglichkeit sich diese Rechte auszudrucken bzw. für
Auswertungen als csv-Datei abzuspeichern.
Rechte importieren
Befinden Sie sich derzeit an einem Rechner der nicht am Firmennetzwerk angebunden ist,
wollen aber trotzdem die Benutzerrechte ändern, so können Sie die Benutzerrechte aus der
Management Konsole exportieren und in den Agent importieren.
Vorerst konfigurieren Sie die Zugriffsrechte des entsprechenden Benutzers. Anschließend
klicken Sie den Benutzer in der DevicePro Management Konsole mit der rechten Maustaste an.
Gehen Sie nun auf Rechte exportieren und die dpa Datei ab.
Nachdem Sie dem Benutzer die dpa Datei zur Verfügung gestellt haben, kann dieser mit der
rechten Maustaste auf das DevicePro TrayIcon klicken. Hier sehen Sie die Option Rechte
importieren. Sie können nun die dpa Datei des Benutzers auswählen. Nach dem Speichern
werden sofort die geänderten Rechte gültig.
Kombination von Rechner und Benutzer
Möchten Sie, dass ein Benutzer auf einen oder mehreren Rechner abweichende Rechte besitzt,
so können Sie dies in der Rechteverwaltung tun. Klicken Sie einfach mit der rechten Maustaste
auf den jeweiligen Benutzer. Schon sehen Sie im Kontextmenü den Button Rechner
zuweisen.
17. 17
Sie sehen jetzt die Verzeichnis-Dienst Struktur Ihrer Rechner.
Nun können Sie den jeweiligen Rechner aussuchen und den in das rechte Auswahlfenster
verschieben. Bestätigen Sie die Auswahl mit OK.
Unter dem ausgewählten Benutzer sehen Sie den zugewiesenen Rechner.
Sie können jetzt in der Benutzerverwaltung alle Personen mit zugewiesenen Rechnern sehen.
Wählen Sie einen von diesen Rechnern aus, damit Sie in der Zugriffsverwaltung die
entsprechenden Rechte vergeben können.
Natürlich können Sie einer Person mehrere Rechner zuweisen und diese mit verschieden
Rechte versehen.
Rechnerrechte
Wollen Sie einem oder mehreren Computern Rechte vergeben, unabhängig davon welche
Benutzer angemeldet sind?
Dann gehen Sie in der Rechteverwaltung zur Verzeichnisdienst Struktur. Steuern Sie unten
den Reiter Rechner an. Suchen Sie sich über die Dienststruktur den gewünschten Rechner
aus.
18. 18
Mit der rechten Maustaste können Sie jetzt den Rechner für DevicePro, ApplicationPro oder die
Protokollierung aktivieren.
Danach können Sie in der Zugriffsverwaltung die entsprechenden Rechte vergeben.
Die Reihenfolge der Rechte
Sie fragen sich bestimmt, welche Rechte zuerst greifen würden, wenn man für den Rechner
und den Benutzer verschiedene Rechte vergeben hat.
DevicePro prüft erst welche Rechte der Rechner hat, sind keine Rechteeinschränkungen
vorhanden, prüft DevicePro die Rechteeinschränkungen für die Kombination von Rechner und
Benutzer, sind da auch keine vorhanden, greifen die Rechte des Benutzers ein.
19. 19
Gerätefreigabe
Bei den Gerätefreigaben unterscheidet DevicePro in Geräteklassen. Hier stehen folgende
Möglichkeiten zur Verfügung:
- Freigegebene Gerätegruppen
o Ermöglicht nur die Gerätegruppen zuzulassen, die Sie in die Liste aufnehmen.
Alle anderen Gerätegruppen werden gesperrt.
- Individuelle Gerätefreigabe
o Die individuelle Freigabe von Geräten ermöglicht, Zugriff auf Geräte mit einer
bestimmten Seriennummer zu bekommen, egal welche Rechte der Benutzer hat.
- Medienfreigabe
o Die Medienfreigabe dient der Freigabe von einzelnen CD/DVD Datenträgern.
Freigegebene Gerätegruppen
Hierbei handelt es sich um die herstellerspezifische Geräteklasse, die Sie in Ihrem Netzwerk
freigeben können. Alle Geräte dieses Typs (z.B. Kingston Data Traveler Model X ) und der
jeweiligen Geräteklasse (USB-Massenspeicher) sind dann autorisiert.
Diese Gerätefreigabe baut auf die Zugriffsverwaltung des jeweiligen Benutzers auf.
Sobald für eine Gerätegruppe eine Freigabe existiert, werden alle anderen
Gerätegruppen dieses Devicetyps gesperrt.
Sie können alle Geräte, die gerade angeschlossen sind bzw. waren, in die Liste der
freigegebenen Geräte einfügen. Hierzu wählen Sie den jeweiligen oder mehrere Clients aus, an
dem sich das/die gewünschte/n Gerät/e befinden.
Die Clients können Sie anhand des Hostnamens oder über den Benutzernamen, der an der
jeweiligen Arbeitsstation angemeldet ist, über die Filterfunktion herausfiltern.
Wenn Sie die Auswahl getroffen haben, drücken Sie oben die Taste Einfügen. Es erscheint
nun das Fenster mit der Auswahl an Geräten, die Sie nun in die Whitelist aufnehmen können.
Durch die Deaktivierung des Hakens nur verfügbare Geräte anzeigen werden in der Liste
alle Geräte angezeigt, die jemals angeschlossen waren. Durch das Markieren können Sie
Geräte auswählen und mit Einfügen in die Gerätefreigabenliste einfügen.
Mit der Eingabe eines Kommentars lassen sich die Gerätefreigaben bzw. die Herkunft der
Geräte besser katalogisieren.
20. 20
Individuelle Gerätefreigabe
Externe Geräte, die in der individuellen Freigabe sind, haben immer die gewünschten
Zugriffsrechte, egal welche Rechte der angemeldete Benutzer hat.
Gehen Sie in die Gerätefreigabe und klicken Sie dann auf Individuelle Gerätefreigabe. Sie
können einzelne Geräte für Benutze und/oder Rechner freigeben.
Haben Sie den Rechner ausgewählt, klicken Sie auf Einfügen. Nun öffnet sich das Fenster
Neues Device einfügen. Sie sehen nun alle Geräte, die im Moment angeschlossen sind.
Möchten Sie ein Gerät hinzufügen, das zurzeit nicht angeschlossen ist, aber zuvor war,
deaktivieren Sie den Haken nur verfügbare Devices anzeigen. Wählen Sie ein oder
mehrere Gerät/e aus.
Im Fenster Neues Device einfügen sehen Sie die Spalte Unique. Ist hier der Haken
gesetzt, hat das Gerät an allen Ports die gleiche Seriennummer. Somit kann es dann ohne
Probleme an allen Ports angeschlossen werden und Sie haben immer volle Zugriffsrechte
darauf. Sollte das Gerät vom Hersteller keine einheitliche (engl. Unique) Seriennummer
erhalten haben, können Sie die Geräte an mehreren Ports anstecken um hierfür die jeweilige
Seriennummer freigeben zu können.
Standardmäßig können Sie Geräte nach der HardwareID und Seriennummer des Herstellers
freigeben. In wenigen Fällen hat der Hersteller keine einheitlichen Seriennummern für ein
Gerät vergeben. Hier generiert Windows bei jedem Anstecken des Gerätes eine individuelle
Seriennummer. Bei diesen Geräten empfiehlt es sich, Massenspeichergeräte nach der
VolumeID freizugeben.
Möchten Sie ein Gerätemodell freigeben, so können Sie die Freigabe nach der HardwareID
oder dem Namen dieser Gerätegruppe machen.
Sie können auswählen, ob Sie das Gerät nach der HardwareID + Seriennummer, HardwareID,
VolumeID oder nach dem Namen freigeben möchten.
21. 21
Nach dem Speichern sind diese Devices sofort für alle Benutzer auf diesen Gerätetyp
freigegeben.
Sie haben folgende drei Möglichkeiten um ein spezifisches Gerät frei zu geben.
Möchten Sie dieses Gerät für einzelne Benutzer freigeben, klicken Sie in der
Zugriffsverwaltung bei Benutzer auf Einfügen. Sie können somit bestimmen, dass ein
Benutzer immer einen Lese- oder Vollzugriff auf diesen USB Stick bekommt, egal wo er sich
anmeldet.
Soll das Gerät an einem Rechner freigegeben werden, gehen Sie in der Zugriffsverwaltung
auf den Reiter Rechner und anschließend auf Einfügen. Wählen Sie nun den jeweiligen
Rechner aus und klicken Sie auf OK. Das Zugriffsrecht können Sie unter Rechte ändern.
22. 22
Anschließend hat jeder Benutzer an diesem Rechner auf das von Ihnen ausgewählte Gerät
Lese- oder Vollzugriff.
Sie können das Gerät in einer Benutzer- Rechnerkombination freigeben. Hierfür wählen Sie bei
dem freigegebenen Gerät den betroffenen Benutzer aus und gehen auf Rechner zuweisen.
Wählen Sie nun den jeweiligen Rechner aus und klicken Sie auf OK. Das Zugriffsrecht können
Sie unter Rechte ändern.
23. 23
Medienfreigabe
Mit der Medienfreigabe haben Sie die Möglichkeit über einen im Hintergrund ermittelten
Hashwert eine bestimmte CD/DVD für die Firma, eine OU oder einen einzelnen Mitarbeiter
freizugeben.
Die Medienfreigabe finden Sie unter dem Navigationspunkt Gerätefreigabe. Vorab wählen
Sie einen in der Liste der DevicePro Agenten aufgeführten Rechner aus, indem sich die
CD/DVD befindet. Klicken Sie nun auf Einfügen und wählen den Datenträger, den Sie
freigeben möchten. Falls Sie einen Datenträger freigeben möchten, der zurzeit nicht
angeschlossen ist, deaktivieren Sie den Haken bei nur verfügbare Devices anzeigen. Zum
Bestätigen klicken Sie unten auf Einfügen.
Klicken Sie auf Speichern um die CD/DVD für alle Benutzer freizugeben. Möchten Sie die
Freigabe aber für einzelne OU`s, Benutzer und/oder in Verbindung mit Rechnern freigeben, so
gehen Sie in der Zugriffsverwaltung auf Einfügen und wählen sich die gewünschten OU`s
oder Benutzer aus. Um eine Benutzer-Rechner-Kombination zuzuweisen, wählen Sie den
Benutzer aus, klicken auf Rechner zuweisen und bestätigen mit OK, nachdem Sie den
gewünschten Rechner gewählt haben.
Challenge Response für einzelne Gerätefreischaltungen
Mit dem Challenge Response Verfahren haben Sie die Möglichkeit dem Offline User bei Bedarf
einzelne Geräte frei zu geben. Hierfür öffnet der Benutzer vorerst seinen DevicePro Agent.
Unter Aktuelle Geräte findet der Mitarbeiter die momentan am Rechner angeschlossenen
Devices. Hier klickt er nun mit der rechten Maustaste auf das entsprechende Gerät und wählt
Anfragecode generieren.
24. 24
Diesen Anfragecode gibt nun der Administrator in der Management Konsole beim Benutzer
über die Gerätefreigabe / Challenge-Response Freigabe ein. Anschließend erhalten Sie
Informationen zum beantragten Gerät. Wählen Sie hier den Zugriff bzw. Zeitraum aus und
klicken anschließend auf generieren.
Der generierte Code kann nun von dem Benutzer direkt am Tray-Icon der Clientkomponente
über die Funktion Freischaltungscodes eingeben eingegeben werden. Dieser Code gilt nur
für diesen einzelnen Benutzer und kann nur einmalig eingesetzt werden.
25. 25
Administration
Änderungswünsche
Durch das Ticketsystem haben Sie die Möglichkeit, sich Änderungswünsche von Benutzern
zukommen zu lassen und diese entsprechend sofort mit der rechten Maustaste frei zu geben.
Der Benutzer kann zum Beantragen von Änderungswünschen das Tray-Icon mit der
rechten Maustaste klicken, um die Funktion Änderungswünsche beantragen… zu öffnen.
Anschließend öffnet sich das Fenster DevicePro – Beantragen der Zugriffsrechte. Hier
kann dann der Benutzer in den Drop-Down Listen das erforderliche Gerät auswählen und den
gewünschten Zugriff beantragen. Klickt er auf Einfügen, so wird das Gerät mit Zugriffsart in
die Liste der Rechte zur Beantragung genommen. Anschließend kann der Benutzer eine
Begründung abgeben und mit dem Button Senden seine Wünsche dem Administrator
zuschicken.
Der Administrator bekommt in der Management Konsole unter Administration sofort eine
Meldung über den Änderungswunsch. Sie können die gewünschten Rechte entsprechend
freigeben oder in der Rechteverwaltung die momentanen Rechte überprüfen.
Somit können Sie bestimmen, ob die Änderungswünsche akzeptiert bzw. entsprechend
angepasst werden. Geben Sie die Rechte frei, erhält der Beantragende sofort die Änderung
zugeteilt.
26. 26
Mailversand
Über den Mailversand haben Sie die Möglichkeit sich eine oder mehrere Emailadressen zu
wählen, die neben der Benachrichtigung über die Management Konsole des Administrators
eine Email mit Änderungswünschen erhält.
Dazu gehen Sie in der Administration unter Administrator – Werkzeuge in den
Mailversand. Hier können Sie die Email-Benachrichtigung aktivieren und sich eine oder
mehrere Emailadressen eintragen, die bei Änderungswünschen eine Infomail bekommen.
Dafür klicken Sie auf Einfügen, wählen den Vorgang, bei dem Sie eine Email erhalten sollen,
sowie die entsprechende Emailadresse.
Als nächstes können Sie den standardmäßigen Absendernamen Adresse Von, den SMTP
Server und den SMTP Server Port (Standardmäßig: 25) eintragen.
Die Einstellungen wirken nachdem Sie unten auf Bestätigen geklickt haben.
27. 27
Administrative Rollen
DevicePro 2010 ermöglicht es, Administratoren anhand von Rollen mit verschiedenen
Adminrechten auszustatten.
In den administrativen Rollen können Sie die jeweiligen globalen und bereichsspezifischen
Rollen für die Administratoren anlegen.
Die globalen Rollen legen fest, in wie fern der Administrator folgende Operationen lesen
bzw. ändern darf:
- Standardberechtigungen
- Contentheaderfilter
- Protokollierung
- MSI Pakete für den Client erstellen
- Logfiles Verwaltung
- Administrative Rollen
- Administratoren & Bereiche
- Lizenzverwaltung
- Clienteinstellungen
- Änderungswünsche
- ApplicationPro
- Synchronisation
- Scheduler
All diese Funktionen gelten global und können nicht auf die einzelnen Benutzer bzw. Gruppen
angewendet werden.
In den bereichsspezifischen Rollen können Sie Einstellungen auf folgende
Administratorrechte zuordnen:
- Rechteverwaltung
- Revision
- Gerätegruppen Freigabe
- Administrative Freigabe
- Benutzerdefinierte Freigabe
- Protokollierung
- ApplicationPro (Rechteverwaltung & Lernmodus)
- Auswertungen (Nichtaktualisierte Rechte, Analyse der Rechteverwaltung,
Rechteanalyse, Rechteübersicht, Protokollierung)
Diese Rollen können Sie später individuell zu OU, Gruppen oder einem Benutzer zuweisen.
Administratoren und Bereiche
Supervisor besitzen generell alle Rechte. Administratoren werden bestimmte Rollen und
Bereiche zugeteilt.
Klicken Sie im Register Administratoren auf einen Benutzer um zu sehen, welche
administrativen Rollen diesem zugeteilt wurden.
28. 28
Hier gibt es die beiden Register namens Globale und Bereichsspezifische.
- Unter Bereichsspezifische können Sie dem Administrator die Rollen der
Administration von der gesamten Infrastruktur bis auf die Benutzerebene zuweisen. So
können Abteilungsleiter die Rechte ihrer Mitarbeiter verwalten.
- Unter Globale können Sie dem Administrator die zuvor angelegten globalen Rollen
zuweisen.
In den Bereichen der Administratoren werden die OU‟s, Gruppen, sowie Benutzer in drei
verschiedenen Farben angezeigt:
- Rot: Der Administrator hat keine administrative Rollen in diesen OU‟s, Gruppen und
Benutzern.
- Grau: Einige Elemente der Directory werden von diesem Administrator verwaltet.
- Grün: Alle untergeordneten OU‟s, Gruppen und Benutzer werden administriert.
Datenbankpflege
Bei längerem Einsatz der cynapspro Endpoint Data Protection Lösung bzw. in größeren
Umgebungen kann die im SQL Server hinterlegte DevicePro Datenbank an Volumen zulegen.
Um dieses Datenbankvolumen gering zu halten, können Sie die Daten der Protokollierung und
Revision archivieren bzw. doppelte Datensätze löschen.
Um Duplikate zu erörtern, klicken Sie bitte auf Analysieren. Nun sehen Sie wie viele doppelte
Datensätze in der Protokollierung und Revision vorhanden sind. Um nun die Datenbank ohne
Datenverlust zu minimieren, klicken Sie anschließend auf Löschen.
29. 29
Ist dennoch das Volumen der Datenbank zu groß, so können Sie alte Datensätze in Dateien,
welche später trotzdem ausgewertet werden können, archivieren.
Hierfür wählen Sie bitte, welcher Zeitraum pro Datei verwendet werden soll, an welchem Pfad
die Archivierung abgelegt wird und ob Sie automatisch oder manuell die Archivierung
vollziehen möchten.
Protokollierung
In der Administration der Protokollierung können Sie diese aktivieren bzw. deaktivieren.
Sollen nicht alle Administratoren auf die Protokollierung aller Benutzer zugreifen können,
haben Sie die Möglichkeit, bis zu zwei Passwörter zu hinterlegen. Erst nach Eingabe dieser
Passwörter sind dann die Benutzer in der Protokollierung ersichtlich.
Contentheaderfilter
Mit dem Contentheaderfilter können Sie Filter anlegen. In diesen Filtern habe Sie die
Möglichkeit das Lesen, Schreiben, Kopieren und Öffnen bestimmter Dateien von externen
Geräten zu unterbinden. Dateien mit angegebenen Namen, Endung (engl. Extension) oder
Größe werden bei der Option Blacklist gesperrt. Wenn Sie den Contentheaderfilter als
Whitelist pflegen möchten, werden nur die von Ihnen angegebenen Dateien oder Dateitypen
erlaubt.
Sie können den Contentheaderfilter global für die ganze Firma oder benutzerspezifisch
einsetzen. Bei einem globalen Einsatz aktivieren Sie den Haken in der Spalte global. Falls Sie
den Filter für einzelne Benutzer oder Gruppen einsetzen wollen, wählen Sie in der
Rechteverwaltung das Objekt aus und fügen den Filter im Reiter Contentfilter ein.
30. 30
Somit können Sie zum Beispiel einen Filter anlegen, der generell alle mp3-Dateien über
100 Byte und die Datei Scherz.exe sperrt. Hierfür müssen Sie lediglich folgende Schritte
durchführen:
- Legen Sie einen neuen Filter an, in dem Sie im Fenster Filterdefinition auf Einfügen
klicken. Mit Doppelklick können Sie Ihren Filter umbenennen. Wollen Sie den Filter für
alle Benutzer gültig machen, so klicken Sie auf Global.
- Klicken Sie nun bei der Regeldefinition auf Einfügen, um eine neue Regel zu
erstellen.
- Unter Name geben Sie * (alles) an. Bei Extension schreiben Sie mp3. Und bei Size
Min. (kleinste Größe) hinterlegen Sie 100 Byte. Nun sind alle mp3‟s über 100 Byte auf
externen Geräten gesperrt.
- Für das Sperren der Scherz.exe hinterlegen Sie bei Name das Wort Scherz. Bei
Extension geben Sie exe an.
Serververwaltung
Sie können mehrere DevicePro Server betreiben, um zum Beispiel die Ausfallsicherheit zu
gewährleisten.
Bei der Installation eines weiteren Servers, geben Sie in der Installationsroutine dieselbe
Datenbank an. Anschließend sehen Sie alle DevicePro Server in der Serververwaltung. Sie
können nun hinterlegen, ob sich die Clients an einen zufällig gewählten Server melden oder
nach einer bestimmten Reihenfolge agieren sollen.
Die Serververwaltung ist auch bei einem Rechnerumzug des DevicePro Servers zu empfehlen.
31. 31
Hier geben Sie vor der Deinstallation des alten DevicePro Servers die höhere Priorität auf den
neuen DevicePro Server.
Integration von Drittsystemen
Sie haben ein System in dem Sie schon alle Benutzer Verwalten oder Rechteveränderungen
vornehmen, und möchten, dass die Änderungen automatisch in die DevicePro Datenbank
übernommen werden? Dafür haben wir die Rechteverwaltung über Drittsoftware entwickelt.
Alle Ihre Änderungen können Sie als XML Datei abspeichern und wir werden diese automatisch
übernehmen.
Sie können in der DevicePro Management Konsole den Pfad bestimmen, an dem Sie die XML
Dateien ablegen möchten. Hierfür gehen Sie in der Administration auf Integration von
Drittsoftware. Sie legen hier den Pfad zum Einlesen der XML unter Verzeichnis für den
Datenimport fest. Die beiden anderen Pfade werden automatisch angelegt. Wenn Sie aber
einen anderen Ordner verwenden möchten, klicken Sie auf Durchsuchen.
Wenn Sie nun eine XML Datei in den bei Verzeichnis für den Datenimport hinterlegten
Pfad legen, wird diese sofort bearbeitet.
Wurde die Datei erfolgreich eingelesen, so wird sie automatisch in den Ordner Success
verschoben. Ist die XML Datei fehlerhaft, so finden Sie diese nach dem Einlesen unter dem
Ordner Fail.
Zusätzlich zu der Ordnerstruktur informiert der DevicePro Server Sie über den Status des
Importvorganges. Wurde die XML Datei erfolgreich verarbeitet, so sehen Sie in dieser XML
Datei den Status „Success“. Bei fehlerhaften Einlesen des XML Befehles erhalten Sie die
Meldung "Failed" und einen Rückgabewert "ErrorText" mit dem Fehlertext Status="Failed",
welches in dieser XML Datei niedergeschrieben wird. Somit erhält das Drittsystem ein
Feedback, ob alles funktioniert hat, bzw. falls nicht, warum es nicht geklappt hat.
32. 32
Bitte beachten Sie die im Anhang erwähnten Bausteine zum Erstellen einer DevicePro
Rechtedatei.
Lizenzverwaltung
Hier sehen Sie die Anzahl Ihrer erworbenen Lizenzen, die Anzahl der bereits aktiven Benutzer,
sowie alle Add-Ons, welche mit Ihrer Lizenz aktiviert wurden.
Wollen Sie weitere Lizenzen freischalten oder Add-Ons wie Protokollierung, ApplicationPro,
CryptionPro etc. aktiveren, benötigen Sie dafür nur eine neue Lic-Datei. Sie öffnen diese mit
dem Button Durchsuchen und klicken auf Bestätigen.
Nun sind die neuen Lizenzen bzw. Add-Ons sofort aktiv.
Logfiles Verwaltung
Standardmäßig speichert DevicePro seine Logdateien im Ordner LOG des
Installationsverzeichnisses ab. Sie können den Pfad der Logfiles aber auch nach Belieben
ändern.
Zusätzlich können Sie auch die Stärke der Protokollierung mit den drei Radiobuttons ändern.
Der Betriebsmodus ist eine sehr grobe Protokollierung. Mit dem Modus Administration
haben Sie eine detaillierte Logdatei. Möchten Sie eine sehr detaillierte Protokollierung, so
wählen Sie das Level Debug.
Desweiteren sehen Sie die Option Logdateien komprimieren. Falls Sie einen Support
benötigen sollten, sind diese komprimierten Dateien unseren Mitarbeitern sehr hilfreich.
Wählen Sie dann den Zeitraum, sowie die Komponenten aus. Nun klicken Sie auf
Komprimieren und öffnen den Ordner. Anschließend senden Sie diese Datei samt
Fehlerbeschreibung an unseren Support (support@cynapspro.com).
33. 33
Clienteinstellungen
DevicePro bietet ein Ticketsystem an, mit welchem Benutzer Änderungswünsche der
Zugriffsrechte an den Administrator senden können.
Falls Sie den Benutzern nicht erlauben wollen, diese Funktion zu nutzen, können Sie in den
Clienteinstellungen den Haken bei Anforderung der Rechtveränderungen erlauben
herausnehmen. Dann können Benutzer keine Änderungswünsche per Ticketsystem
beantragen.
Desweiteren können Sie bei der Laufwerksbuchstaben Zuordnung festlegen, ab welchem
Laufwerksbuchstaben externe Massenspeichergeräte anfangen sollen. Wenn Sie den ersten
Laufwerksbuchstaben festlegen, verhindern Sie, dass ein externes Massenspeichergerät den
gleichen Laufwerkbuchstaben wie ein Netzlaufwerk erhält.
Somit können Sie mit einem Klick einen der häufigsten Supportfälle von Unternehmen
entgegen wirken.
Individuelle Benutzermeldung
Mit der individuellen Benutzermeldung können Sie dem Benutzer bei Zugriffsverletzungen eine
Nachricht hinterlegen. Diese erscheint dann als Popup über der Systemuhr.
Um diese zu Verwalten gehen Sie in der Administration unter Clientverwaltung in die
Individuelle Benutzermeldung. Nun haben sie vorab die Möglichkeit sich eine aus den 2
angebotenen Sprachen Deutsch und Englisch zu wählen. Damit Sie die Nachricht nach Ihren
Wünschen ändern können tätigen Sie einen Doppelklick auf Beispielsweise Kein Zugriff,
hinterlegen die entsprechende Nachricht und bestätigen mit OK. Desweiteren haben Sie die
Möglichkeit an einer beliebigen Stelle in der Meldung den Parameter #DeviceType
einzutragen, damit dem Benutzer in der Nachricht die Klasse des gesperrten Gerätes angezeigt
wird.
34. 34
Falls Sie den Zugriff auf externe Massenspeicher erlauben möchten, den Benutzer aber auf die
Gefahren dieser Geräte aufmerksam machen möchten, verwenden Sie Sicherheitswarnungen.
Beim ersten Zugriff auf ein Massenspeichergerät erfolgt dann eine von Ihnen definierte
Warnung. Diese muss einmalig bestätigt werden. Erst nach bestätigen dieser
Sicherheitswarnung werden externe Massenspeichergeräte erlaubt.
MSI Paket für den Client generieren
Sie können hier ein MSI-Paket für die Installation des DevicePro 2010 Agenten generieren.
Die Einstellungen für das Paket werden automatisch aus dem aktuellen DevicePro 2010 Server
übernommen.
Außerdem können Sie das MSI Paket so generieren, dass das Tray-Icon in Windows
ausgeblendet wird.
Um ein optimalen Offline Support zu gewährleisten wird empfohlen, das Tray-Icon nicht
auszublenden.
Durch Setzen des Hakens Stoppen unterbinden wird das MSI Paket so generiert, dass
Benutzer mit administrativen Rechten nicht mehr die Möglichkeit besitzen den Dienst, der zur
Kommunikation zwischen Server und Client dient, zu stoppen.
Der Passwortschutz zur Deinstallation soll Benutzer mit administrativen Rechten daran
hindern, den DevicePro 2010 Agenten zu deinstallieren.
Falls Sie eine niedrige Bandbreite in Ihrem Netzwerk besitzen, können Sie den Timeout auf
dem Client erhöhen. Standardmäßig wird hier ein Timeout von 12 Sekunden hinterlegt.
Falls Sie Rechner über WLAN oder UMTS/GPRS am Firmennetzwerk angebunden haben,
können Sie mit Rechte für Kommunikationsgeräte erlauben, dass die Funkverbindung erst
nach einem Neustart des Rechners unterbunden wird.
Installation/ Update der Agenten
Um Ihnen die Arbeit bei Versionsupdates zu erleichtern, können Sie aus der DevicePro
Management Konsole Ihre Agenten updaten bzw. installieren lassen. Für die Installation
hinterlegen Sie bitte unter Einstellungen – Installation einen für die Installation
berechtigten Domainenbenutzer (Beispiel: admin@domaine.local). Bei Einstellungen -
Update haben Sie zwei Möglichkeiten. Sie können das Update manuell anstoßen oder
automatisiert bei jedem Serverupdate ausführen lassen.
35. 35
Um ein manuelles Update oder Installation aus der Konsole zu starten gehen Sie unter
Administration / Installation/Update der Agenten auf die entsprechenden Rechner,
wählen diese aus und klicken auf Install/Update.
Ein automatisches Update wird ausgeführt, wenn Sie bei Download Einstellungen auf
automatisch klicken und anschließend die Einstellung bestätigen.
Sie können aber auch die Aktualisierungen zu einem bestimmten Zeitpunkt ausrollen und
updaten lassen. Hierfür verwenden Sie bitte den Punkt Zeitgesteuert.
Wenn Sie den Namen der MSI Datei umbenannt haben, aktivieren Sie bitte den Haken bei
Namensänderungen zulassen. Falls die Installation über eine Softwareverteilung oder von
einem Netzlaufwerk ausgeführt wurde, empfehlen sich diese Einstellungen ebenfalls.
Des Weiteren haben Sie die Möglichkeit, sich anzeigen zu lassen, welche Clients bereits mit
dem DevicePro Agent noch nicht ausgestattet wurden. Wählen Sie hier unter Ansicht nur die
Rechner ohne Agent.
Falls die Installation nicht ordnungsgemäß über die Management Konsole ausgeführt wurde.
Überprüfen Sie bitte, ob am Client das MSI unter C:Temp transferiert wurde. Falls dies nicht
der Fall ist, überprüfen Sie bitte die Firewalleinstellungen. Befindet sich die MSI unter C:Temp
konnte aber nicht remote ausgeführt werden, so nehmen Sie folgende Group Policy
Änderungen vor:
Computer ConfigurationAdministrative TemplatesNetworkNetworkConnectionsWindows
FirewallDomain ProfileWindows Firewall: Allow inbound remote administration exception
Computer ConfigurationAdministrative TemplatesNetworkNetworkConnectionsWindows
FirewallStandard ProfileWindows Firewall: Allow inbound remote administration exception
36. 36
Auswertungen
Um sich einen Überblick über die Rechtesituation Ihrer Benutzer zu verschaffen, haben Sie
hier mehrere Auswertungsmöglichkeiten.
Alle Auswertungen sind so auswählbar, dass Sie die Anzeige auf die komplette Verzeichnis-
Struktur oder auf einen Teil beschränken können.
Wünschen Sie also nur eine Information aus einer bestimmten OU oder Gruppe, können Sie
diese vorher aus dem Baum auswählen.
Bei Aktivieren von Sofort berechnen werden alle Abfragen automatisch angezeigt. Somit
müssen Sie nicht jedesmal auf Anzeigen klicken.
Nichtaktualisierte Rechte
Manchmal kann es vorkommen, dass sich ein Benutzer nach einiger Zeit noch nicht am
Netzwerk angemeldet hat. Somit konnten frisch geänderte Rechte diesem Benutzer noch nicht
zugewiesen werden. Dies können Sie hier kontrollieren.
Aktive/Inaktive Benutzer
Sehen Sie hier ein, welche Benutzer bereits aktiviert wurden, bzw. welche Benutzer noch nicht
durch DevicePro geschützt wurden.
Analyse der Rechteänderungen
Hier sehen Sie, welcher Administrator wann und wem welche Rechte zugewiesen hat.
Rechteanalyse
Möchten Sie kontrollieren, welcher Benutzer bestimmte Rechte auf einen Gerätetyp hat, dann
klicken Sie in der Rechteanalyse den jeweiligen Gerätetyp mit der rechten Maustaste und
wählen die Zugriffsart aus.
Klicken Sie auf Anzeigen. Nun sehen Sie alle Benutzer die das vorgegebene Zugriffsrecht für
diese Devices besitzen. Hier sind auch Kombinationen von mehreren Gerätetypen möglich.
Rechteübersicht - detailliert
Möchten Sie einen Überblick erhalten, welche Zugriffsrechte zu welchen Benutzern zugeteilt
wurden, hilft diese Funktion weiter.
Klicken Sie auf die gewünschte Gerätegruppe und anschließend auf Anzeigen. Es werden alle
Benutzer und deren Zugriffsrechte auf diese Gerätegruppen angezeigt.
37. 37
Rechteübersicht - Summary
In der Rechteübersicht – Summary erhalten Sie die Zugriffsrechte prozentual. Sie wählen das
Device aus, die gewünschte Ansicht und klicken auf Anzeigen. Nun erhalten Sie einen
Überblick, welches Recht für das jeweilige Device wie oft in Ihrem Netzwerk vertreten ist.
Sie können zwischen folgenden Ansichten auswählen:
- Tabelle
- Kuchendiagramm
- Balkendiagramm
Abweichungen von Standardrechten
Hier können Sie einsehen, welche Benutzer keine identischen Rechte mit dem neuen
Benutzer haben. Somit können Sie kontrollieren, welche Benutzer individuell angepasst
wurden.
Einmalige Freigaben
Kontrollieren Sie, welche Benutzer derzeit eine zeitlich begrenzte Rechteänderung erhalten
hat.
Protokollierung
In der Protokollierung können Sie überprüfen, wann und wo die Benutzer Dateien gelesen,
kopiert, geschrieben oder gelöscht haben.
Gesperrte Zugriffe
Unter gesperrte Zugriffe finden Sie alle Zugriffsverletzungen. D.h. Sie können nachvollziehen,
welche Benutzer wann und warum nicht auf ein Gerät zugreifen konnten.
39. 39
Der DevicePro Agent
Über das DevicePro Tray Icon lassen sich per Doppelklick verschiedene Funktionen aufrufen.
Benutzerrechte/ Aktuelle Geräte
Es ist dem Benutzer mittels der Clientkomponente möglich, sich seine verschiedenen
Benutzerrechte anzeigen zu lassen. Des Weiteren sieht der Benutzer alle aktuell
angeschlossenen Geräte und die dazugehörigen Rechte unter aktuelle Geräte.
Zugriffsrechte beantragen
Der Benutzer kann zum Beantragen von Änderungswünschen im DevicePro Agent die Funktion
Rechte beantragen… öffnen.
40. 40
Hier kann dann der Benutzer in den Drop-Down Listen das erforderliche Gerät auswählen und
den gewünschten Zugriff beantragen. Klickt er auf Einfügen, so wird das Gerät mit Zugriffsart
in die Liste der Rechte zur Beantragung genommen. Es können gleichzeitig mehrere
Änderungswünsche beantragt werden.
Anschließend kann der Benutzer ein Begründung abgeben und mit dem Button Senden die
Wünsche dem Administrator zuschicken.
Der Administrator bekommt in der Management Konsole unter Administration oder per eMail
sofort eine Meldung über diesen Änderungswunsch.
Challenge Response für einzelne Gerätefreischaltungen
Mit dem Challenge Response Verfahren haben Sie die Möglichkeit dem Offline User bei Bedarf
einzelne Geräte frei zu geben. Hierfür öffnet der Benutzer vorerst seinen DevicePro Agent.
Unter Aktuelle Geräte findet der Mitarbeiter die momentan am Rechner angeschlossenen
Devices. Hier klickt er nun mit der rechten Maustaste auf das entsprechende Gerät und wählt
Anfragecode generieren.
Diesen Anfragecode gibt nun der Administrator in der Management Konsole beim Benutzer
über die Gerätefreigabe / Challenge-Response Freigabe ein. Anschließend erhalten Sie
Informationen zum beantragten Gerät. Wählen Sie hier den Zugriff bzw. Zeitraum aus und
klicken anschließend auf generieren.
Der generierte Code kann nun von dem Benutzer direkt am Tray-Icon der Clientkomponente
über die Funktion Freischaltungscodes eingeben eingegeben werden. Dieser Code gilt nur
für diesen einzelnen Benutzer und kann nur einmalig eingesetzt werden.
41. 41
Freischaltcode eingeben
Befindet sich ein Mitarbeiter nicht im Firmennetzwerk, möchte aber seine Rechte geändert
haben, dann ist dies über einen Freischaltungscode möglich.
In der Rechteverwaltung können Sie den Benutzern oder Gruppen einen Code zum
Freischalten von Geräten generieren. Anschließend gibt der Mitarbeiter diesen Code in seinem
DevicePro Agenten ein und bekommt die geänderten Rechte zugewiesen.
Anmelden als
Wenn Sie auf einem bereits angemeldeten Rechner einen Zugriff eines anderen Benutzers
erhalten wollen, aber nicht den Windows-User abmelden möchten, können Sie sich am
DevicePro Agent ummelden.
Hierfür klicken Sie doppelt auf das DevicePro TrayIcon. Sie sehen nun im Menü den Punkt
Rechte verändern und wählen hier Anmelden als…. Nach Anklicken dieser Option öffnet
sich eine Eingabemaske.
Geben Sie hier den gewünschten Benutzernamen und dessen Passwort ein.
Anschließend erhalten Sie sofort die Rechte dieses Benutzers.
Falls Sie wieder auf die Rechte des momentan an Windows angemeldeten Users gehen
möchten, klicken Sie im Kontextmenü des DevicePro TrayIcon auf Abmelden.
Rechte importieren
Befinden Sie sich derzeit an einem Rechner der nicht am Firmennetzwerk angebunden ist,
wollen aber trotzdem die Benutzerrechte ändern, so können Sie die Benutzerrechte aus der
Management Konsole exportieren und in den Agent importieren.
42. 42
Vorerst konfigurieren Sie die Zugriffsrechte des entsprechenden Benutzers. Anschließend
klicken Sie den Benutzer in der DevicePro Management Konsole mit der rechten Maustaste an.
Gehen Sie nun auf Rechte exportieren und die dpa Datei ab.
Hierfür klicken Sie doppelt auf das DevicePro TrayIcon. Sie sehen nun im Menü den Punkt
Rechte verändern und wählen hier Rechte importieren….. Sie können nun die dpa Datei
des Benutzers auswählen. Nach dem Speichern werden sofort die geänderten Rechte gültig.
43. 43
Das DevicePro AdminTool
Nach erfolgreicher Installation des DevicePro Servers können hier sowohl Server als auch
Datenbankeinstellungen kontrolliert oder geändert werden.
Das Tool wird standardmäßig unter
C:Programmecynapspro GmbHDevicePro 2010 installiert und kann unter
> Programme > DevicePro 2010 aufgerufen werden.
Datenbank Einstellungen
Über den Button Prüfen können Sie die Verbindung zu der angegebenen Datenbank
kontrollieren. DevicePro benötigt einen Administrator Datenbankbenutzer (DB Owner) um auf
die Datenbank zu zugreifen.
Directory Service Einstellungen
Voraussetzung für die Synchronisation der Verzeichnis Struktur in DevicePro ist,
dass der angegebene Benutzer die benötigten Rechte (List Contents, Read All Properties)
besitzt.
Tragen Sie in das Feld Domaincontroller den Hostnamen des Verzeichnis-Dienst Servers ein.
Über den Button Prüfen können Sie die Verbindung kontrollieren.
DevicePro Server Einstellungen
Für den Betrieb von DevicePro werden für die Kommunikation zwei Ports standardmäßig
benötigt. Geben Sie an dieser Stelle den Client-Server XmlRpcPort und den Server-Client
Notification Port ein.
Der Client-Server XmlRpcPort wird von den Clients für eine Verbindung zum Server verwendet
(Standard: 6005).
Der Server-Client Notification XmlRpcPort dient der Benachrichtigung der Clients über die auf
dem Server vorgenommen Rechteänderungen (Standard: 6006).
Loglevel
Der Serverdienst sowie der Agent protokollieren permanent Ihre Aktivitäten. Die Höhe der
Detaillierung kann hier eingestellt werden.
- Betrieb Modus: Nur Fehler
- Administration Modus: Detailliert
- Debug Modus: Sehr detailliert
44. 44
Lösungsszenarien
Keine Verbindung zum Server
Die Installation wurde ohne Probleme fertiggestellt. Die Management Konsole
bekommt aber keinen „Connect“ zum Server.
Um sicherzugehen, dass alle Einstellungen korrekt hinterlegt wurden, überprüfen Sie
diese im DevicePro AdminTool. Sind diese Einstellungen richtig, überprüfen Sie bitte
die Firewalleinstellungen bzw. wechseln die Authentifizierungsmethode.
Vorgehensweise
Das AdminTool von DevicePro finden Sie im Startmenü unter
Start > Programme > CynapsPro GmbH > DevicePro 2010.
Kontrollieren Sie hier die Datenbank Einstellungen, sowie die Directory Service Einstellungen,
indem Sie bei beiden auf den Knopf Prüfen klicken. Passen Sie gegeben falls die hinterlegten
Daten an.
Sollte immer noch kein „Connect“ zum Server möglich sein, so überprüfen Sie, ob die
angegebenen Ports in Ihrer Firewall freigeschalten sind.
Führt dies auch nicht zum Erfolg, so wechseln Sie bitte die Authentifizierungsmethode bzw.
überprüfen, ob der angegebene Benutzer die benötigten Rechte besitzt.
Erste Schritte nach der Installation
Sie haben die Installation bereits erfolgreich abgeschlossen und wollen nun
DevicePro in Betrieb nehmen. Die ersten Benutzer bzw. Gruppen aus Ihrem Active
Directory/ NDS sollen nun mit bestimmten Rechten versehen werden.
Konfigurieren Sie zuerst die Standardberechtigungen und starten anschließend die
Synchronisation von AD/ NDS. Aktivieren Sie nun die ersten Benutzer bzw. Gruppen.
Jetzt können Sie das Clientpaket erstellen und auf den Arbeitsplätzen installieren.
Vorgehensweise
Öffnen Sie die Management Konsole. Hier wählen Sie den Button Rechteverwaltung. In der
Gruppe spezifische Benutzer befindet sich der Punkt Standardrechte (neue Benutzer).
In diesem Fenster können Sie Standardberechtigungen für neue Benutzer definieren. Klicken
Sie mit der rechten Maustaste auf das gewünschte Gerät und teilen Sie diesem die Zugriffsart
zu. Anschließend klicken Sie auf Bestätigen.
Haben Sie alle Gerätetypen konfiguriert, so können Sie mit der Synchronisation von AD/ NDS
starten. Gehen Sie hierfür auf den Button AD Synchronisation. Wenn Sie hier nun auf den
Knopf Start klicken, so fängt die Synchronisation automatisch an und alle Benutzer und
Gruppen werden aus dem bestehenden AD/ NDS übernommen.
45. 45
Möchten Sie in regelmäßigen Abständen die Synchronisation starten, dann richten Sie im
Punkt Scheduler (dt. Zeitplaner) einen Synchronisationsjob ein. Sollen bei dem Abgleich neu
angelegte Benutzer sofort aktiviert werden, dann können Sie den Haken bei Neue Benutzer
in den aktiven Gruppen automatisch aktivieren setzen.
Falls Sie vor der ersten Synchronisation nicht den Haken bei Neue Benutzer in den aktiven
Gruppen automatisch aktivieren gesetzt haben, gelten die Standardberechtigungen noch
bei keinem der Benutzer. Gehen Sie zu der Rechteverwaltung und setzen die Benutzer und
Gruppen mit der rechten Maustaste auf aktiv, bei welchen die Berechtigungen nun greifen
sollen.
Nach dem Aktivieren der Benutzer und Gruppen, sollten Sie DevicePro auf den
Arbeitsstationen installieren. Gehen Sie hierfür wieder in die Administration. Sie sehen in der
Gruppe Clientverwaltung den Punkt MSI Paket für den Client generieren. Wählen Sie den
Pfad aus, auf dem Sie das Paket ablegen wollen und klicken auf generieren.
Soll der Benutzer weder die Möglichkeit haben seine Rechte einzusehen, Änderungswünsche
zu beantragen bzw. Freischaltcodes eingeben zu dürfen, so setzen Sie den Haken bei Tray-
Icon ausblenden. Damit der Benutzer den Dienst von DevicePro 2010 nicht deaktivieren
kann, können Sie auch das Stoppen unterbinden.
Nach dem Generieren des Paketes rufen Sie nun die MSI- Datei an der Arbeitsstation auf.
Hierfür wurden 3 Bat-Dateien erstellt. Sie installieren die Software des Agenten Anklicken der
Datei DBAgentSetup.msi oder durch das Anklicken der Datei install.bat. Möchten Sie den
Agenten über die Kommandozeile installieren, so geben Sie den Befehl
msiexec /i C:DeviceproMSIDBAgentSetup.msi ein.
Abfrage bereits installierter Rechner
Sie möchten nachvollziehen welche Rechner bereits mit den cynapspro Agents
ausgestattet wurden.
Lassen Sie sich unter Update der Agenten alle bereits installierten Clients anzeigen oder
Filtern Sie nach Clients ohne Agent.
Vorgehensweise
Gehen Sie hierfür unter Administration / Update der Agenten auf das Auswahlfeld neben
Ansicht. Wählen Sie hier nur die Rechner ohne Agent um alle noch nicht mit DevicePro
ausgestatteten Computer anzuzeigen. Wenn Sie alle bereits installierten Agents sehen
möchten, wählen Sie Alle Agenten aus und klicken anschließend auf Inaktive um
ausgeschaltete Rechner zu sehen.
46. 46
Nur firmeneigene Geräte erlauben
Sie haben alle Rechte erfolgreich zugewiesen und haben die komplette Kontrolle
darüber wer welche externen Devices nutzen darf. Jetzt möchten sie auch
sicherstellen, dass nur die Geräte benutzt werden, die auch aus ihrer Firma kommen.
Mitarbeiter sollten durchaus mit Firmen USB Sticks arbeiten, aber keinne private
mitbringen dürfen. Das gleiche gilt zum Beispiel für Digitalkameras.
Normalerweise befindet sich im Unternehmen nur eine begrenzte Anzahl an
Gerätegruppen im Umlauf. Wir haben die Möglichkeit eine Whitelist der Hersteller
und Modelle zu verwalten, die in der Firma benutzt werden dürfen. Die anderen
werden gesperrt, auch wenn der Benutzter die Rechte auf diesen Devicetyp hat.
Vorgehensweise
In der Konsole wird der Menüpunkt Gerätefreigabe angewählt. Oben erscheinen drei
Freigabetypen.
- Freigegebene Gerätegruppen
- Individuelle Gerätefreigabe
- Medienfreigabe
Wählen sie den Punkt Freigegebene Gerätegruppen freigeben aus.
In dem Fenster rechts sehen Sie alle schon freigegebene Gerätegruppen. Die Bezeichnung
wird von Windows übernommen und entspricht der Benennung im Gerätemanager.
Wenn Sie weitere Geräte einfügen möchten, können Sie nichts manuell eingeben. Es reicht
aus, wenn ein Gerät dieses Typs an einem Rechner im Netz angeschlossen ist. Wählen Sie
diesen Rechner aus.
Falls viele Rechner gerade online sind, hilft die Filtereingabe um die Auswahl zu begrenzen.
Sobald der Rechner ausgewählt wurde, drücken Sie Einfügen. Jetzt wird der Rechner
gescannt und alle verfügbaren Geräte werden nach dem Gerätetyp gruppiert angezeigt.
Wählen Sie alle Gerätegruppen aus, die Sie freigeben möchten und klicken Sie auf OK. Die
ausgewählten Gerätegruppen werden in der Liste eingefügt und sobald Sie die Änderungen
speichern, sind sie für alle Benutzer freigegeben.
Änderungen werden sofort per Push- Verfahren an alle Rechner verteilt, die gerade online
sind. Alle anderen werden die aktuelle Whitelist beim Starten des Rechners bekommen.
Wenn Sie im Einfügefenster sind, können Sie mit der Checkbox entscheiden, ob Sie nur die
Geräte sehen wollen, welche aktuell angeschlossen sind oder auch alle Geräte, die jemals an
diesen Rechner angeschlossen waren.
Sie können auch mehrere bzw. alle Rechner auswählen, die gerade online sind. Sie
bekommen dann alle Devices zu sehen die in der Firma benutzt werden. So sparen Sie Zeit
und erhalten sogar eine Mini-Inventur.
47. 47
Benutzern bestimmte Geräte freigeben
Es kann sein, dass das Erlauben von firmeninternen Geräten für Sie nicht ausreicht
und Sie genau vorgeben wollen, welche Person welche einzelnen Geräte benutzen
darf.
Hier werden nicht nur die Modelle überwacht, sondern die Rechte können für jedes
einzelne Gerät vergeben werden. Diese können nach Seriennummern unterschieden
werden, falls der Hersteller eine eindeutige Seriennummer vergeben hat. Dann wird
der Benutzer X nur genau diese Kamera oder genau diesen USB Stick benutzen
dürfen, alle anderen, auch wenn das Modell und der Hersteller übereinstimmen,
werden dann gesperrt.
Vorgehensweise
Gehen Sie in der Management Konsole auf Gerätefreigabe und klicken auf Individuelle
Gerätefreigabe. Wählen Sie in der Liste der DevicePro Agenten die betroffenen
Arbeitsstationen aus.
Bei einer größeren Infrastruktur können Sie die gewünschten Rechner über den Filter suchen
lassen.
Klicken Sie auf den Button Einfügen und wählen die frei zu gebenden Geräte aus.
Anschließend können Sie die Benutzer und Gruppen angeben, bei denen der Zugriff nur auf
die Geräte in der Whitelist erlaubt werden soll.
Sperren von Dateitypen
Ihre Mitarbeiter sollen nicht alle Dateien öffnen dürfen. Sie möchten Dateien mit
einem bestimmten Typ generell verbieten oder nur mit einem begrenzten
Datenvolumen erlauben.
Im Contenheaderfilter können Sie genau bestimmen, welche Dateiendungen und
-größen für den Zugriff nicht erlaubt werden sollen. Definieren Sie hier Regeln,
welche Sie den Benutzern zuteilen können.
Vorgehensweise
Sie finden in der Konsole unter Administration die erweiterten Einstellungen. Hier befindet
sich der Contentheaderfilter.
Zum Anlegen eines neuen Filter klicken Sie bei Filterdefinition auf den Knopf Einfügen. Es
wird ein Filter namens New Filter angelegt.
Um neue Dateitypen dem New Filter zu zuteilen, klicken Sie in der Regeldefinition auf
Einfügen. Teilen Sie der neuen Regel einen Name zu und geben in der Spalte Extension den
Typen an (z.B. *.exe). In den Spalten Size min. und Size max. können Sie die Mindest- und
Maximalgröße der verbotenen Datei angeben.
Klicken Sie in der Filterdefinition auf Global, so wirkt diese Regel für alle Benutzer. Wollen Sie
aber nur bestimmten Benutzer oder Gruppen diese Filterregel zuweisen, dann gehen Sie in der
Rechteverwaltung auf den gewünschten Benutzer oder Gruppe. Im Register
Contentheaderfilter können Sie dann die Regel mit klicken auf Einfügen zuteilen.
48. 48
Zugriffsrechte offline ändern
Befindet sich ein Mitarbeiter nicht im Firmennetzwerk, möchte aber seine Rechte
geändert haben, dann ist dies über einen Freischaltungscode möglich.
In der Rechteverwaltung können Sie den Benutzern oder Gruppen einen Code zum
Freischalten von Geräten generieren. Anschließend gibt der Mitarbeiter diesen Code
in seinem DevicePro Agenten ein und bekommt die geänderten Rechte zugewiesen.
Vorgehensweise
Gehen Sie in die Rechteverwaltung der Management Konsole. Gehen Sie zu der Gruppe oder
dem Benutzer und klicken mit der rechten Maustaste auf das gewünschte Gerät. Im
Kontextmenü sehen Sie unten Freischaltcode generieren. Teilen Sie nun das Zugriffsrecht,
sowie die Gültigkeit zu. Anschließend klicken Sie auf den Button Generieren.
Wurde eine Whitelist für Ihre Gerätegruppen angelegt und das Gerät gehört nicht zu der
freigegebenen Gerätegruppe, aktivieren Sie den Haken bei Whitelist ignorieren.
Teilen Sie dem Benutzer den generierten Code mit. Dieser kann den Code im DevicePro Agent
eingeben. Hierfür klickt er mit der rechten Maustaste auf das Tray-Icon und wählt
Freischaltcode eingeben. Mit der erfolgreichen Eingabe des Codes werden die geänderten
Rechte sofort aktiv.
Dateizugriffe protokollieren
In Ihrem Firmennetzwerk wurde ein Virus eingeschleust oder es wurden vertrauliche
Daten an Dritte weitergegeben. Sie möchten nun nachvollziehen bzw. belegen
können wer dafür verantwortlich ist.
In der Protokollierung sehen Sie, wann bzw. wer auf welche Datei Zugriff hatte. Hier
können Sie dann den Zeitraum bzw. die Datei herausfiltern.
Vorgehensweise
Klicken Sie in der Konsole auf Auswertungen. Dort sehen Sie den Punkt Protokollierung.
Wählen Sie die Gruppe der Benutzer oder den ganzen Baum aus. Anschließend geben Sie die
Filterregeln ein.
Nun haben Sie Zugriff auf alle protokollierten Tätigkeiten in Ihrem Firmennetzwerk. Wenn Sie
diese nun den Benutzern zuordnen wollen, aber die Shadow-Box aktiviert haben, geben Sie
die erforderlichen Passwörter ein.
49. 49
Administratoren für verschiedene Ebenen
Sie haben mehrere Standorte oder Abteilungen und möchten nicht, dass alle
Administratoren auf alle Ebenen oder Einstellungen Zugriff haben.
Es gibt bei DevicePro zwei Arten von Administratoren.
o Supervisor (Alle Rechte für die Verwaltung)
o Administratoren (Zugeteilte Rechte für die Verwaltung)
Erstellen Sie administrative Rollen und teilen diese dann den Administratoren für
bestimmte Bereiche zu.
Vorgehensweise
Gehen Sie zuerst in der Management Konsole auf Administration. Hier befinden sich die
beiden Punkte Administrative Rollen, sowie Administratoren & Bereiche.
Zunächst legen Sie die administrativen Rollen fest. Klicken Sie auf Globale, wenn Sie Rollen
für die Verwaltung des DevicePro Servers anlegen wollen.
Wollen Sie Rollen für die Verwaltung von Benutzern und Gruppen anlegen, so klicken Sie auf
Bereichsspezifische. Fügen Sie nun eine Rolle hinzu und bestimmen, was der Administrator
in dieser Rolle verändern oder lesen darf.
Anschließend gehen Sie zu dem Punkt Administratoren & Bereiche. Wenn Sie nun auf den
Reiter Administratoren klicken, dann sehen Sie alle Administratoren. Klicken Sie hier einen
an und teilen Sie ihm eine Rolle zu.
Unter Bereichsspezifische können Sie sogar Gruppen oder einzelne Benutzer auswählen, für
welche der Administrator verantwortlich sein soll.
50. 50
In den Bereichen der Administratoren werden die OU‟s, Gruppen, sowie Benutzer in drei
verschiedenen Farben angezeigt:
- Rot: Der Administrator hat keine administrative Rollen in diesen OU‟s, Gruppen und
Benutzern.
- Grau: Einige Elemente der Directory werden von diesem Administrator verwaltet.
- Grün: Alle untergeordneten OU‟s, Gruppen und Benutzer werden administriert.
Serverumzug
Durch einen Hardwarewechsel oder andere Gegebenheiten haben Sie sich entschlossen den
DevicePro Server umzuziehen. Dies ein kein Problem, wenn die IP Adresse und/oder der
Rechnername des Servers übernommen wird. Die DevicePro Agenten finden dann automatisch
den neuen Server. Falls dies nicht der Fall ist, können Sie auch die Serverkomponente von
DevicePro folgendermaßen umziehen.
Nun gibt es zwei Möglichkeiten einen DevicePro Serverumzug durchzuführen.
1.
Sie installieren den neuen DP Server und lassen ihn auf die alte/neue Datenbank
zugreifen (den SQL-Server geben Sie währen der Installation an oder nachträglich über
das Admin Tool.)
Nun öffnen Sie auf dem alten Server die Management Konsole und gehen unter
Administration zu der "Serververwaltung". Hier können Sie jetzt den neuen Server
höher Priorisieren als den alten, sodass sich sämtliche Clients sobald Sie sich am Server
melden, dem neuen Server zugewiesen werden.
2.
Sie installieren den neuen DP Server und lassen ihn auf die alte/neue Datenbank
zugreifen (den SQL-Server geben Sie währen der Installation an oder nachträglich über
das Admin Tool.) Nun starten Sie den neuen Sever, gehen unter dem Punkt
Administration zu "MSI Paket für den Client generieren" und generieren ein neues MSI
Paket (vergessen Sie nicht vorab die Standardeinstellungen für die Clients zu tätigen).
Sie können direkt auf "Ordner öffnen" klicken um in das Verzeichnis zu springen.
Kopieren Sie nun das neue MSI Paket in das MSI Verzeichnis des alten Servers und
führen ein Update der Agenten vom alten Server aus durch. Somit verteilt der alte
Server die Serverinformationen des neuen Servers an die Clients, die sich dann
ebenfalls alle beim neuen Server melden.
Bei beiden Varianten kann es sein, dass nicht alle Clients Online sind und das Update
bekommen. Somit würden sich diese nach wie vor am alten Server melden. Am besten Sie
lassen den alten Server noch ein bis zwei Wochen laufen, um sicher zu sein, dass auch alle
Clients das Update bekommen. Sie können unter "Update der Agenten" beim alten Server auf
"Inaktive" klicken, um zu sehen wie viele und welche Clients Offline sind und somit das Update
noch nicht bekommen haben.
51. 51
Zusammenführen zweier Datenbanken
Falls Sie mehrere DevicePro Server in verschiedenen Umgebungen installiert haben und diese
nun zusammenführen möchten, können Sie das folgende Szenario vornehmen.
Verbinden Sie sich auf den DevicePro Server, welcher später nicht mehr existieren soll.
Exportieren Sie die Datenbankinformationen in eine Datei (Format txt) mit folgendem Befehl
aus der Kommandozeile:
<Installationspfad>DpAdminTool.exe /exportACL "<Pfad><Dateiname>.txt"
Anschließend verbinden Sie sich auf den DevicePro Server, welcher weiterhin existieren soll.
Importieren Sie nun die Informationen über folgenden Befehl aus der Kommandozeile
<Installationspfad>DpAdminTool.exe /importACL "<Pfad><Dateiname>.txt"
Die Verknüpfung der Benutzerinformationen findet über den Namen statt. Somit entstehen
keinerlei Komplikationen, falls sich die SID geändert hat.
52. 52
Anhang
Bausteine zum Erstellen einer DevicePro Rechtedatei
Geräteport ändern
Beispiel:
<?xml version="1.0"?>
<Xml>
<Header></Header>
<Body>
<Schema>1</Schema>
<DP Type="9" Name="Firewire">
<SD>
<ACE sid="S-1-5-21-3757206099-4223034928-3177353085-1003" ar="0"></ACE>
</SD>
</DC>
</Body>
</Xml>
Mit dem Parameter DP Type=“Wert“ (…) können Sie einzelne Ports sperren. Geben bitte
hier den Port mit ID (Type) der entsprechenden Ports an. Die Angabe des Klassenamens
(Name) ist optional und dient der Übersichtlichkeit.
Parallel Port: <DP Type="3" Name="Parallel Port"></DP>
Serial Port: <DP Type="4" Name="Serial Port"></DP>
Firewire: <DP Type="9" Name="FireWire"></DP>
PCMCIA: <DP Type="10" Name="PCMCIA"></DP>
USB Port: <DP Type="14" Name="USB (without keyboards, mouses...)"></DP>
Sie können die Rechte einzelner Gruppen und Benutzern über den Baustein SD ändern. Zuerst
müssen Sie die Port-/Geräteklasse (DP oder DC). Dazwischen setzen Sie den SD (=Security
Descriptor) in welchem Sie dann den Zugriffskontrolleintrag ACE (=Access control entry)
übergeben. Im Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen,
sowie das Zugriffsrecht AR (=Access Right). Novell GUID‟s werden automatisch von cynapspro
in eine SID umgewandelt.
Für unbekannte Benutzer verwenden Sie S-1-5-11. Als Zugriffsrechte können Sie den Wert
0 für Kein Zugriff, den Wert 1 für Lesezugriff und den Wert 3 für Vollzugriff verwenden.
Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und external Storage gewährt werden.
Möchten Sie ein Rechnerrecht bearbeiten so verwenden Sie den Parameter host. Geben Sie
hier den Full Qualified Name des Rechners an.
Um einen Rechner dem Benutzer zuzuweisen fügen Sie den Parameter Host und SID
zusammen.
53. 53
Geräteklasse ändern
Beispiel:
<?xml version="1.0"?>
<Xml>
<Header></Header>
<Body>
<Schema>1</Schema>
<DC Id="1" Name="CD / DVD">
<SD>
<ACE sid="S-1-5-21-3757206099-4223034928-3177353085-1003" ar="0"></ACE>
</SD>
</DC>
</Body>
</Xml>
Mit dem Parameter DC Type=“<Wert>“ können Sie einzelne Geräteklassen sperren. Geben
bitte hier die Geräteklasse mit ID (Type) der entsprechenden Geräte an. Die Angabe des
Klassenamens (Name) ist optional und dient der Übersichtlichkeit.
unbekannte Geräte: <DC Id="0" Name="Unknown"></DC>
CD/DVD: <DC Id="1" Name="CD / DVD"></DC>
Diskettenlaufwerk: <DC Id="2" Name="Floppy Disk"></DC>
externe Speichermedien: <DC Id="5" Name="External Storage"></DC>
Infrarotgeräte: <DC Id="6" Name="Infrared"></DC>
Bluetooth Adapter: <DC Id="7" Name="Bluetooth"></DC>
WLAN Karten/Adapter: <DC Id="8" Name="WiFi"></DC>
Scanner/Kameras: <DC Id="11" Name="Scanners and Cameras"></DC>
TV Karten/Adpater: <DC Id="12" Name="TV Tuner"></DC>
Drucker: <DC Id="13" Name="Printers"></DC>
PDA/Smartphone: <DC Id="15" Name="PDA"></DC>
Blackberry: <DC Id="16" Name="Blackberry"></DC>
Modem: <DC Id="17" Name="Modem"></DC>
ISDN Karten/Adapter: <DC Id="18" Name="ISDN Cards"></DC>
Sie können die Rechte aller Benutzer oder einzelner Gruppen und Benutzern über den
Parameter SD ändern. Zuerst müssen Sie die Port-/Geräteklasse (DP oder DC), bzw. eine
Freigabe (DM oder DN) öffnen. Dazwischen setzen Sie den SD (=Security Descriptor) in
welchem Sie dann den Zugriffskontrolleintrag ACE (=Access control entry) übergeben. Im
Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen, sowie das
Zugriffsrecht AR (=Access Right). Novell GUID‟s werden automatisch von cynapspro in eine
SID umgewandelt.
Für unbekannte Benutzer verwenden Sie S-1-5-11. Als Zugriffsrechte können Sie den Wert
0 für Kein Zugriff, den Wert 1 für Lesezugriff und den Wert 3 für Vollzugriff verwenden.
Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und external Storage gewährt werden.
Möchten Sie ein Rechnerrecht bearbeiten so verwenden Sie den Parameter host. Geben Sie
hier den Full Qualified Name des Rechners an.
Um einen Rechner dem Benutzer zuzuweisen fügen Sie den Parameter Host und SID
zusammen.
54. 54
Freigegebene Gerätegruppen
Beispiel:
<?xml version="1.0"?>
<Xml>
<Header></Header>
<Body>
<Schema>1</Schema>
<DM Class="1" Cert="1" HwId="IDECDROMLITE-ON_DVDRW_SHM-
165P6S________________MS0F____"></DM>
</Body>
</Xml>
Um einzelne Gerätegruppen in die Whitelist der Freigegebenen Gerätegruppen zu Integrieren
verwenden Sie bitte den Parameter DM Class="<Wert>" Cert="<Wert>"
HwId="<HardwareID> ".
Der Parameter Class bzw. Port steht für die Geräteklasse bzw. den Port:
unbekannte Geräte: Class="0"
CD/DVD: Class="1"
Diskettenlaufwerk: Class="2"
Parallel Port: Port="3"
Serial Port: Port="4"
externe Speichermedien: Class="5"
Infrarotgeräte: Class="6"
Bluetooth Adapter: Class="7"
WLAN Karten/Adapter: Class="8"
Firewire: Port="9"
PCMCIA: Port="10"
Scanner/Kameras: Class="11"
TV Karten/Adpater: Class="12"
Drucker: Class="13"
USB Port: Port="14"
PDA/Smartphone: Class="15"
Blackberry: Class="16"
Modem: Class="17"
ISDN Karten/Adapter: Class="18"
Mit der Angabe von Cert hinterlegen Sie bitte den Wert 1 zum Hinzufügen oder 0 zum
Entfernen.
Die Windows HardwareID des Gerätes geben Sie unter dem Parameter HwID bekannt.
55. 55
Baustein für individuelle Gerätefreigabe
Beispiel PDA für alle Benutzer freigeben:
<?xml version="1.0"?>
<Xml>
<Header></Header>
<Body>
<Schema>1</Schema>
<DN Port="14" Class="15" InstanceId="USBVID_0BB4&PID_0BCE5&1C5E86F8&0&1"
Name="Windows Mobile-based Device">
<SD>
<ACE sid="S-1-1-0" ar="3"></ACE>
</SD>
</DN>
</Body>
</Xml>
Wollen Sie über die Seriennummer und HardwareID einzelne Geräte für einzelne Benutzer
und/oder Rechner mit Lese- oder Vollzugriff freigeben. Hierfür können mit dem Parameter DN
Port="<Wert>" Class="<Wert>" InstanceId="<HwID+SNr>"
Name="<Gerätebeschreibung>" verwenden. Mit den Werten Port und Class hinterlegen
Sie die genaue Ansteuerung des Gerätes. Die InstanceID besteht aus HardwareID und
Seriennummer des entsprechenden Gerätes. Mit dem Parameter Name können Sie optional
eine Gerätebeschreibung hinterlegen.
In den Parameter <DN (…)>…</DN> können Sie mit folgenden Tags die betroffenen
Benutzer und Rechte hinterlegen. Hierfür öffnen Sie mit SD den „Security Descriptor“ in
welchem Sie dann die Zugriffskontrolleintrag ACE (=Access control entry) übergeben. Im
Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen, sowie das
Zugriffsrecht AR (=Access Right).
Als Zugriffsrechte können Sie den Wert 0 für Kein Zugriff, den Wert 1 für Lesezugriff und
den Wert 3 für Vollzugriff verwenden. Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und
external Storage gewährt werden.
Um einen Benutzer oder Rechner aus einer Gerätefreigabe zu entfernen verwenden Sie den
Parameter del. Der Wert hinter diesem Parameter gibt die Anzahl der Objekte an.
Anschließend hinterlegen Sie die SID oder den Rechner.
AD/NDS/LDAP Synchronisation starten
DpAdminTool.exe /sync [/activate]
Starten Sie mit dem Kommandozeilenbefehl /sync die komplette Synchronisation Ihrer bereits
bestehenden Verzeichnis Dienst Struktur. Mit dem zusätzlichen Parameter /activate werden
alle neuen User automatisch in DevicePro aktiviert.
Alle Benutzer in DevicePro aktivieren
DpAdminTool.exe /activate
Aktivieren Sie sämtliche Benutzer automatisiert.
Lizenzdatei wechseln
56. 56
DpAdminTool.exe /license LICENSE_FILE_PATH /user LICENSE_NAME
Verwaltung von ersten Laufwerksbuchstaben
DpAdminTool.exe /driveLetter "<Laufwerksbuchstabe>"
Damit keine Konflikte zwischen Netzlaufwerken und externen Massenspeichern bei der
Vergabe der Laufwerksbuchstaben entstehen, können Sie mit dem folgenden Befehl den
ersten Buchstaben für Speichermedien setzen.
Client Rollout über DevicePro Server
/install [all] [MACHINE_NAMES]
Installieren Sie den DevicePro Agent auf allen [all] oder einzelnen Rechnern
[MACHINE_NAMES].
Client Update über DevicePro Server
/update [all] [MACHINE_NAMES]
Updaten Sie den DevicePro Agent auf allen [all] oder einzelnen Rechnern [MACHINE_NAMES].
Automatisches Löschen von Logfiles
DpAdminTool.exe /serverLogsTime 5 - (5 Tage Begrenzung)
DpAdminTool.exe /serverLogsTime 0 - (keine zeitliche Begrenzung)
DpAdminTool.exe /serverLogsSize 5 - (5 MB Größe Begrenzung)
DpAdminTool.exe /serverLogsSize 0 - (keine Begrenzung der Größe)
DpAdminTool.exe /agentLogsTime 5 - (5 Tage Begrenzung)
DpAdminTool.exe /agentLogsTime 0 - (keine zeitliche Begrenzung)
DpAdminTool.exe /agentLogsSize 5 - (5 MB Größe Begrenzung)
DpAdminTool.exe /agentLogsSize 0 - (keine Begrenzung der Größe)
Um den Speicherbedarf von DevicePro zu minimieren, können Sie mit folgenden Parametern
die Aufbewahrung von Logdateien, welche die Programmaktivitäten mit protokollieren nach
Zeitraum oder Volumen automatisch leeren.
Abändern von Domaincontroller Daten
DpAdminTool.exe /xmlrpcport 6005 /agentPort 6006 /dsType 1 /domainController [DC_NAME] /adUser [AD_USER]
/adPassword [AD_PASSWORD] /dbServer [DB_SERVER] /dbName [DB_NAME] /dbUserName [DB_USER_NAME] /dbPassword
[DB_PASSWORD]
Nur eingetragene Parameter werden für die Änderung berücksichtigt.
Abändern der Pfad für XML Schnittstellen
DpAdminTool.exe /impdir ACL_IMPORT_DIR /impdirsuccess IMPORT_SUCCESS_DIR /impdirfail IMPORT_FAIL_DIR
Hinterlegen Sie den Importpfad (ACL_IMPORT_DIR), den Pfad für erfolgreiche
Importvorgänge (IMPORT_SUCCESS_DIR) oder fehlerhafte XML Dateien (IMPORT_FAIL_DIR).
Import und Export der Einstellungen von Server zu Server
/importACL ACL_FILE_PATH
/exportACL ACL_FILE_PATH
57. 57
Importieren Sie alle Benutzerrechte und Gerätefreigaben eines anderen Servers über die
Export/Import Funktion
Anwenderbeispiele
1) Benutzer-/Rechnerrechte für einen Port definieren
<?xml version="1.0"?>
<Xml>
<Header></Header>
<Body>
<Schema>1</Schema>
<DP Type="14" Name="USB">
<SD>
<ACE host="computer.damain.in" sid="S-1-5-21-3757206099-4223034928-
3177353085-1003" ar="3"></ACE>
</SD>
</DP>
</Body>
</Xml>
2) Einem Rechner Zugriffsrechte für 2 Ports und 2 Geräte ändern
<?xml version="1.0"?>
<Xml>
<Header></Header>
<Body>
<Schema>1</Schema>
<DP Type="9" Name="FireWire">
<SD>
<ACE host="hostname.domain.at" ar="0"></ACE>
</SD>
</DP>
<DP Type="10" Name="PCMCIA">
<SD>
<ACE host="hostname.domain.at" ar="3"></ACE>
</SD>
</DP>
<DC Id="7" Name="Bluetooth">
<SD>
<ACE host="hostname.domain.at" ar="0"></ACE>
</SD>
</DC>
<DC Id="8" Name="WiFi">
<SD>
<ACE host="hostname.domain.at" ar="3"></ACE>
</SD>
</DC>
</Body>
</Xml>
3) Zwei Geräte unterschiedlicher Geräteklassen in freigegeben Gerätegruppen fügen
<?xml version="1.0"?>
<Xml>
<Header></Header>
<Body>
<Schema>1</Schema>
59. 59
ApplicationPro
Einführung
ApplicationPro versiegelt Ihren Client mit einer Anwendungszugriffssteuerung nach dem Black-
oder Whitelistverfahren. Sie bestimmen, welche Benutzer auf ausgewählte Applikationen
Zugriff erhält – alle anderen Programme werden gesperrt.
Einem Programm wird von ApplicationPro automatisch ein Hashwert zugeteilt. Somit kann ein
Benutzer sich an sämtlichen Rechnern der Firma anmelden und erhält immer die gleichen
Programmzugriffsrechte. Durch diese Technologie können Benutzer auch nicht durch
umbenennen von Dateien Zugriff auf nicht erlaubte Programme erlangen.
Somit stellen Sie unter anderem sicher, dass keine unautorisierte Software (z.B. Viren,
Trojaner, Spiele, Scherzprogramme…) auf Firmenrechner installiert oder ausgeführt werden
kann.
Die Verwaltung von ApplicationPro wird durch den Lernmodus um einiges erleichtert. Der
Anwender führt eine bestimmte Zeit seine Programme wie gewohnt aus. Anschließend geben
Sie ihm einzelne Applikationen frei.
Rechteverwaltung
Bevor Sie mit der Benutzerverwaltung von ApplicationPro beginnen möchten, sollten Sie
dieses Produkt aktivieren. Klicken Sie hierfür mit der rechten Maustaste auf den Benutzer,
anschließend auf Aktivieren/Deaktivieren. Hier wählen Sie nun ApplicationPro aus.
Ist ein Benutzer deaktiviert, so werden ihm alle Programme erlaubt. Sobald ein Benutzer
aktiviert ist, werden ihm die zugeordneten Programme freigegeben. Alle anderen
Applikationen werden gesperrt.
Nach der Installation oder einem Update der Clientkomponente empfiehlt es sich den Rechner
einmalig neu zu starten. Haben Sie dem Benutzer kein Programmpaket oder keine Rolle
hinzugefügt, werden alle Programme frei gegeben.
In der Zugriffsverwaltung finden Sie bei den jeweiligen Benutzern den Reiter ApplicationPro.
Unter diesem Reiter befinden sich folgende Möglichkeiten:
Speichern
Bestätigen und der soeben vorgenommenen Tätigkeiten. Die Rechteveränderung wird sofort
an den Agent gepusht.
Rolle einfügen
Zuordnung einer zuvor angelegten Rollendefinition zu einem Benutzer. Rollen können aus
mehreren Paketen bestehen und dienen zur Vereinfachung und der Übersichtlichkeit.
Paket einfügen
Zuordnung eines zuvor angelegten Paketes zu einem Benutzer. Pakete bestehen aus einem
oder mehreren ausgewählten Applikationen.
60. 60
Löschen
Entfernen von hinzugefügten Rollen und Paketen.
Rollendefinition
Verknüpfung zur Verwaltung von Rollen.
Lernmodus starten
Erfassung von Programmzugriffen des Benutzers.
Benutzerprogramme
Ergebnisliste des Lernmodus. Anwendungen können hier Paketen zugeordnet werden.
Lernmodus
Der Lernmodus ist ein sogenannter „Non-Blocking-Mode“. Dies bedeutet, dass in der Zeit, in
der der Lernmodus aktiviert ist, alle Programme freigegeben werden.
Der Lernmodus zeichnet alle Programme auf, welche durch den Benutzer nicht nur im Vorder-,
sondern auch im Hintergrund ausgeführt werden. Anhand eines Hashwertes können Sie
bestimmte Applikationen einem selbst definierten Paket hinzufügen.
Diese Pakete können später einem Benutzer zugeordnet werden.
Handhabung von ApplicationPro Anhand des Lernmodus
Möchten Sie mit der Aufzeichnung der Programmzugriffe eines Benutzers beginnen, klicken Sie
auf Lernmodus starten.
Wählen Sie hier die Dauer des Lernmodus aus.
Nach Beendigung des Lernmodus sehen Sie unter Benutzerprogramme, welche
Applikationen im Vorder- oder Hintergrund durch den Benutzer ausgeführt wurden. Sie sehen
unter Ergebnisse, wann der Benutzer von welchem Pfad aus, die jeweiligen Programme
ausgeführt hat.
61. 61
Wählen Sie ein oder mehrere Programme aus, die nach dem Speichern einem Paket
zugeordnet werden können.
Sollten Sie bereits Pakete angelegt haben, so können Sie die ausgewählten Programme diesen
hinzufügen. Sie können aber auch ein neues Paket für diese Applikationen anlegen.
Bestätigen Sie anschließend die Einstellungen mit OK. Sie können nun weitere
Programmpakete anlegen oder das Fenster Ergebnisse schließen.
Möchten Sie eine Rolle oder das soeben angelegte Programmpaket dem Benutzer zuweisen, so
klicken Sie auf Paket einfügen. Wählen Sie hier das jeweilige Paket aus und bestätigen mit
OK. Wenn Sie diese Tätigkeit speichern, wird die Rechteänderung sofort dem Agent
mitgeteilt und ausgeführt.
Ab jetzt werden alle nicht autorisierten Anwendungen gesperrt. Sollte eine Applikation
übersehen worden sein, so starten Sie bei dem Benutzer nochmals den Lernmodus. Es werden
alle Programme in diesem Moment frei gegeben. Möchten Sie nun, dass der Benutzer in
Zukunft dieses Programm verwenden kann, so fügen Sie dieses über Benutzerprogramme
einem bereits bestehenden oder neuen Paket hinzu und ordnen dies dem Benutzer zu.
Verwaltung von Programmen
In der Navigation der Management Konsole finden Sie unter ApplicationPro die
Programmverwaltung. Hier können Sie Programmpakete anlegen bzw. bearbeiten.
Um ein Paket anzulegen, gehen Sie auf Neues Paket. Anschließend können Sie in der
Paketdefinition Programme von Ihrem Arbeitsplatz hinzufügen. Beim Hinzufügen einer
Applikation wird sofort ein Hashwert ermittelt. Dieser Hashwert ist bei jedem Arbeitsplatz für
dieses Programm gleich.
Einzelne Pakete können in Ordnern zusammengefasst werden, indem Sie in einem Ordner
angelegt werden oder über den Button Neuer Link in den Ordner verknüpft werden.
Verwaltung von Rollen
Unter dem Navigationspunkt ApplicationPro sehen Sie die Verwaltung der Rollen. Hier können
Sie Programmpakete und Ordner von Paketen in Rollen zusammenfassen.
62. 62
Dies fördert die Übersichtlichkeit und effizientere Verwaltung von ApplicationPro.
Um eine neue Rolle anzulegen, klicken Sie auf neue Rolle. Benennen Sie nun die Rolle
entsprechend und teilen dieser nun Programme und Rollen über die entsprechenden Buttons
Programm einfügen / Rolle einfügen zu.
ApplicationPro Einstellungen
In den Einstellungen von ApplicationPro können Sie bestimmen, ob Sie das White- oder
Blacklist Verfahren verwenden möchten. Im Whitelistverfahren werden dem User nur die von
Ihnen freigegebenen Applikationen gewährt. Bei der Blacklist werden alle Anwendungen die
Sie dem Mitarbeiter zugewiesen haben gesperrt. Alle anderen Programme werden erlaubt.
Vertrauenswürdige Objekte
Hier haben Sie die Möglichkeit verschiedene Verzeichnise zu wählen, die den Benutzern
erlaubt, die darin befindlichen Anwendungen trotz sperrung durch die Anwendungskontrolle
auszuführen.
63. 63
Lösungsszenarien (ApplicationPro)
Schnelles Freigeben von Anwendungen
Sie haben einem Benutzer ausgewählte Anwendungen freigegeben. Nun meldet
dieser sich und bittet Sie schnellst möglich den Zugriff auf ein weiteres Programm zu
gewähren.
Hier können Sie den Lernmodus starten. Mit ausführen des Lernmoduses werden alle
Anwendungen sofort für die Zeit des Lernmoduses freigegeben. Anschließend können
Sie den Lernmodus stoppen und das entsprechende Programm einem Paket
hinzufügen.
Vorgehensweise
Den Lernmodus finden Sie in der Rechteverwaltung. Gehen Sie beim Benutzer auf den
Reiter ApplicationPro. Dort sehen Sie den Button Lernmodus starten. Hinterlegen Sie hier
die Dauer des Lernmodus. In dieser Zeit hat der Benutzer Zugriff auf alle Anwendungen.
Nachdem der Benutzer sein Programm ausgeführt hat, stoppen Sie den Lernmodus durch
anklicken des Buttons Lernmodus stoppen.
Falls Sie dem Anwender in Zukunft das Programm erlauben möchten, gehen Sie auf den
Button Benutzerprogramme. Hier wählen Sie das entsprechende Programm aus und fügen
es einem Paket hinzu.
Freigabe von mehreren Programme an viele Benutzer
Sie haben bereits mehrere Programmpakete angelegt und wollen jedem Benutzer
einer gleichen Abteilung die gleichen Anwendungen freigeben. Hierfür möchten Sie
so wenig Aufwand wie möglich betreiben.
Sie können Rollen definieren, welche mehrere Programmpakete oder andere Rollen
beinhalten. Diese Rollen können den Benutzern zugewiesen werden.
Vorgehensweise
Gehen Sie in der Management Konsole auf den Navigationspunkt ApplicationPro. Dort
wählen Sie Rollen aus. Legen Sie mit dem Button neue Rolle eine Rolle an. Diese können Sie
z.B. nach einer Abteilung benennen. Anschließend können Sie unter Paket einfügen dieser
Rolle Programmpakete zuordnen. Falls Sie bereits schon untergeordnete Rollen definiert
haben, können Sie diese der neu angelegten Rolle mit Rolle einfügen hinzufügen. Diese
Rolle können Sie nun den Benutzern in der Rechteverwaltung im Reiter ApplicationPro
einfügen.
64. 64
CryptionPro
Sie alle kennen die Situation: der USB Stick ist nicht wieder zu finden,
wahrscheinlich im Taxi oder beim Essen aus der Hosentasche
rausgerutscht und die Präsentation, sowie ein Paar Excel Tabellen an
denen Sie zu Hause arbeiten wollten, waren darauf. Natürlich sind die
Daten auch auf der Festplatte abgespeichert, aber die viel
interessantere Frage ist - wo der Stick zur Zeit ist und wer gerade
Ihre Daten liest.
Ist das ein Ihnen wohlgesonnener Mensch, oder ein Konkurrent, intern oder extern, oder ein
„netter“ Mensch der alle Daten sofort ins Internet stellt.
Damit Sie trotzdem ruhig schlafen können, haben wir CryptionPro entwickelt – eine
Verschlüsselungslösung, die im Hintergrund alle Daten die Sie auf den USB Stick, oder externe
Festplatten schreiben ver- und entschlüsselt.
Ihre Arbeit wird dadurch nicht beeinträchtigt, Sie merken nichts davon, aber sobald die
Datenträger verloren oder gestohlen werden, sind diese für unbefugte Personen nicht lesbar.
CryptionPro stellt auch bei Ihnen sicher, dass...
Unbefugte Ihre Daten nicht lesen können.
der Verlust Ihres externen Massenspeichergerätes kein Sicherheitsrisiko ist.
Daten auf externen Geräten automatisch im Hintergrund verschlüsselt werden.
Sie Ihre verschlüsselten Daten immer und überall zur Verfügung haben.