Программа DeviceLock предназначена для управления доступом пользователей ОС семейства Windows к периферийным устройствам хранения и обработки данных, а также для контроля действий пользователей с устройствами (вставка, чтение, запись файлов, форматирование, извлечение) и для контроля содержимого скопированных файлов.Общие сведения о том, какие устройства и какие типы файлов попадают под контроль, описаны подробно на сайте разработчика и в руководстве пользователя. Мы же сосредоточимся на неочевидных нюансах, которые необходимо учитывать при развертывании и эксплуатации программы в достаточно большом домене.
Поскольку программа состоит из нескольких независимых компонентов, вначале кратко остановимся на их обзоре. Далее мы рассмотрим следующие аспекты работы с программой:
установка, удаление, в том числе установка новых версий поверх старых и совместимость модулей разных версий между собой;
особенности контроля доступа к внешним устройствам;
аутентификация и авторизация при административном доступе к компонентам, при взаимодействии компонентов, в том числе дополнительные механизмы обеспечения целостности службы (агента) DeviceLock;
сетевые аспекты взаимодействия компонентов;
работа с логами и файлами теневого хранилища, в том числе некоторые полезные SQL-запросы для реализации функций не доступных через DeviceLock;
интеграция с Active Directory для управления доступами в большом домене
Ниже в случаях, если специально не указывается версия и билд программы, имеется в виду версия 7.1. билд 31981.
Компоненты
DeviceLock имеет 6 основных и 3 дополнительных компонента. Основными являются DeviceLock Service (далее — агент), DeviceLock Server (далее — сервер), DeviceLock Management Console, DeviceLock Enterprise Manager, DeviceLock Service Settings Editor, DeviceLock Group Policy Manager, DeviceLock Signing Tool. Дополнительными компонентами являются: DeviceLock Content Security Server, Network Lock, Content Lock.
DeviceLock Service — служба на рабочих станциях, которая блокирует доступы к устройствам, ведет лог активности, отправляет лог и теневые копии записанных/прочитанных файлов на сервер.
DeviceLock Enterprise Server — служба на сервере, которая собирает данные от агентов, фильтрует собранные данные, выводит их в разных представлениях, а также может осуществлять мониторинг целостности настроек агентов и восстановление нарушенных настроек.
DeviceLock Management Console и DeviceLock Enterprise Manager — консоли управления агентом и сервером выполненные как оснастки MMC; первая из них предназначена для индивидуальной работы с агентами (например, изменение отдельных настроек агента), вторая — для массовой работы (массовая установка, массовая разливка файла настроек, отчет о настройках, массовое удаление).
Не так давно мы уже обсуждали качество картинки в обзоре первых мини-ITX Brazos. Если вычитали этот ...