7 Replies Latest reply on Dec 6, 2011 2:31 AM by Markus.Zierer

    ShopPolicy an dynamische Gruppe

    RuedigerJ Specialist
      Hallo,

      ich habe eine ShopPolicy an eine dynamische Gruppe gehängt.
      Filter der dynamischen Gruppe ist (BasicInventory.DirectoryContext:IgnoreCase=*.IT.*)

      Alle Computer der IT stehen in einem AD-Kontext, auf den diese Bedingung zutrifft. Die Rechner (und nur diese Rechner) sehe ich auch als Mitglieder der dynamischen Gruppe.

      Jetzt habe ich Installationen für einen Test als Shop-Pakete dieser Gruppe zugewiesen. Und das in der Annahme, dass die Shop-Pakete dann nur auf Rechnern der IT gesehen und ausgeführt werden können.

      In der Praxis werden sie aber von allen Usern gesehen, egal in welchem AD-Kontext sich der Rechner/User befindet und egal, ob der Rechner in der dynamischen Gruppe angezeigt wird, oder nicht.

      Warum ist das so? Und, wie muss ich das machen, damit nur die IT die Installationen sieht?
      In welcher Logdatei könnte ich denn nachvollziehen, warum die Installation angezeigt wird und auch möglich ist?

      Gruß
      Rüdiger
        • 1. Re: ShopPolicy an dynamische Gruppe
          MichaelLink Apprentice
          So wie du es beschreibst, sollte es funktionieren. Ist die Software evtl. noch über eine andere Shop-Policy zugewiesen ?

          Was das Logging angeht: in der web.config von blsClientManagement kannst du (temporär) folgenden Logger in die log4net-Section einfügen:

             
               
             


          Wenn jetzt dein Client synct, kommt z. B. so eine Ausgabe:

          --- Reading policies for Computer 2756 ---
          Found 6 possible targets for the policy query (excl. the target Computer 2756 itself)
          Parent-Containers:
          - Managed Users & Computers (10, OrgTreeContainer)
          - MliOU (1006, OrgTreeContainer)
          Static-Groups:
          - VIP-Group (5046, StaticGroup)
          - JethroTull (6070, StaticGroup)
          - Test1 (6326, StaticGroup)
          Dynamic-Groups:
          - GoodGroup (7608, DynamicGroup)
          Found 8 matching policies
          ...

          Hier sieht man, welche Target-Objekte berücksichtigt werden, um passende Policies zu ermitteln. Danach kommen dann die dazu gefundenen Policies. Diesselbe Ausgabe kommt dann auch noch für den User. Mit den Infos sollte man eigentlich sehen, woher der unerwünschte Shop-Eintrag kommt.

          Grüsse

          Michael
          • 2. Re: ShopPolicy an dynamische Gruppe
            RuedigerJ Specialist
            Hallo Michael,

            ich habe das jetzt so eingetragen. In der Liste der "Dynamic-Groups" steht die Gruppe drin. Das erklärt, warum er die Installation im Shop anbietet.
            In der DSM-Konsole steht sie nicht. Der Computer steht nicht unter der Gruppe und in den Eigenschaften des Computers ist die Gruppe auch nicht angegeben.
            Warum der BLS den Computer jetzt fälschlicher Weise dieser Gruppe zuordnet, finde ich allerdings aus der Logdatei nicht heraus.

            Wo könnte ich denn jetzt weiterforschen?

            Gruß
            Rüdiger
            • 3. Re: ShopPolicy an dynamische Gruppe
              Markus.Zierer Expert
              Das Problem liegt darin, dass eine Dynamische Gruppe nur auf DSM Objekte angewendet wird. Mit AD hat das an dieser Stelle gar nichts zu tun. Wenn du sowas übers AD abbilden möchtest, musst Du ne AD Gruppe anlegen, diese als ext. Gruppe in der DSM anlegen und anschliessend Alle gewünschten Computer Mitglied dieser AD Gruppe machen. Dann hast du das, was Du möchtest.

              Oder aber, Du importierst dein Gesamtes AD in die DSM und baust Dir dann die Gruppenschachtelung so auf, wie Du möchtest. Dann sollte es auch mit Dyn. Gruppen gehen. Du musst dann allerdings immer dann, wenn Du im AD nen Computer in ne andere OU verschiebst, das ganze auch im DSM machen
              • 4. Re: ShopPolicy an dynamische Gruppe
                RuedigerJ Specialist
                Hallo,

                ich wende die dynamische Gruppe doch auf ein DSM-Opjekt an. Ich frage vom DSM-Computerobjekt die Eigenschaft BasicInventory.DirectoryContext:IgnoreCase mit der Abfrage nach *.IT.* ab. Der DirectoryContext wird in der DSM-Konsole auch richtig angezeigt.

                In der DSM-Konsole funktioniert das auch. Hier gehört der Computer nicht zu der Gruppe.
                Der BLS scheint die Abfrage nicht richtig zu machen. Er weist den Computer der dynamischen Gruppe zu, obwohl die Abfrage nicht zutrifft. Weder der Computer, noch der eingeloggte User, haben im DirectoryContext ein .IT. stehen.
                Da es sich um eine Computergruppe handelt, dürften die Eigenschaften des Userobjekts ja auch nicht greifen. Selbst, wenn der User in einem entsprechenden DirectoryContext stehen würde.

                Gruß
                Rüdiger
                • 5. Re: ShopPolicy an dynamische Gruppe
                  Markus.Zierer Expert
                  Hm Okay, Anhand der Beschreibung konnte ich jetzt nicht eindeutig erkennen ob Du auf AD oder DSM Objekte abfragst.

                  Aber woher hast Du Die Abfrage "BasicInventory.DirectoryContext" ? Ich hab mal in meiner Testumgebung nachgesehen und kann diese BasicInventory Eigenschaft nirgends finden. Es gibt FQDN und AD Distinguished Name, aber keinen DirectoryContext. Falls es so ne Eigenschaft tatsächlich gibt, würde mich das schon interessieren wo die Definiert ist. Das könnte schon mal hilfreich sein.
                  • 6. Re: ShopPolicy an dynamische Gruppe
                    Frank.Scholer Master
                    Hi Markus,

                    wenn du im Basic Inventory in die Definition der Eigenschaft "Active Directory Distinguished Name" schaust, siehst du dass das Tag den internen Namen "DirectoryContext" hat... Rüdiger ist also schon auf dem richtigen Pfad...

                    Gruß Frank
                    • 7. Re: ShopPolicy an dynamische Gruppe
                      Markus.Zierer Expert
                      Hallo Frank,

                      Ah OK. Jetzt seh ich's auch. Irgendwie Banane dass der Interne Name erst angezeigt wird, wenn Du den Filter definiert hast. Aber OK.

                      Also ich muss sagen, ich weis an der Stelle leider auch nicht weiter. Eigentlich sollte es so funktionieren. Da kann ich leider nur an den Frontrange Support verweisen.

                      Das einzige was mir jetzt noch einfallen würde, ist dass die betreffende SW über ein SWSet mit ner anderen ShopPolicy bereits für alle User freigegeben wurde...