Stellen Sie sich ein Szenario vor, in dem zwei Richtliniendomänen vorhanden sind, die beide aus mehreren Regeln bestehen. Als Admin wissen Sie nie genau, welche VMs letztlich Mitglieder einer Gruppe werden, da VMs basierend auf dynamischen Mitgliedschaftskriterien (z. B. Name des Betriebssystems, Name des Computers, Benutzer, Tagging) mit einer Gruppe verknüpft werden.
Konflikte entstehen in folgenden Szenarien:
- Eine VM ist Bestandteil zweier Gruppen, wobei jede Gruppe von einem anderen Profil geschützt wird.
- Eine Partnerdienst-VM ist mit mehreren Dienstprofilen verknüpft.
- Eine unerwartete Regel wurde auf einer Gast-VM ausgeführt oder eine Regel wurde auf einer Gast-VM nicht ausgeführt.
- Richtlinienregeln oder Domänen wird keine Sequenznummer zugewiesen.
Szenario | Erwarteter Ablauf für Endpoint-Schutz | Lösung |
---|---|---|
Eine VM wird Mitglied in mehreren Gruppen, wobei jede Gruppe von einem anderen Dienstprofiltyp geschützt wird. Erwarteter Schutz wurde nicht auf die VM angewendet. |
Eine mit einem Mitgliedschaftskriterium erstellte VM-Gruppe bedeutet, dass VMs dynamisch zur Gruppe hinzugefügt werden. In einem solchen Fall kann die gleiche VM mehreren Gruppen angehören. Es ist nicht möglich, im Voraus zu bestimmen, zu welcher Gruppe die VM gehören wird, da die VM über die Mitgliedschaftskriterien dynamisch in die Gruppe eingetragen wird. Stellen Sie sich vor, dass VM-1 zu Gruppe 1 und Gruppe 2 gehört.
Die Richtlinie für Endpoint-Schutz führt das Dienstprofil „Gold“, nicht aber das Dienstprofil „Platin“ auf VM 1 aus. |
Ändern Sie die Sequenznummer von Regel 2 so, dass sie vor Regel 1 ausgeführt wird.
|
Eine Regel ordnet dasselbe Dienstprofil zum Schutz von zwei VM-Gruppen zu. Der Endpoint-Schutz führt die Regel nicht in der zweiten VM-Gruppe aus. |
Der Endpoint-Schutz führt nur das erste Dienstprofil auf der VM aus, da dasselbe Dienstprofil nicht erneut auf alle anderen Regeln für Richtlinien oder Domänen angewendet werden kann. Stellen Sie sich vor, dass VM-1 zu Gruppe 1 und Gruppe 2 gehört. Regel 1: Auf Gruppe 1 (nach Betriebssystemname) wird „Gold“ (Dienstprofil) angewendet Regel 2: Auf Gruppe 2 (nach Tag) wird „Gold“ (Dienstprofil) angewendet |
|