Asignación manual y automática de configuraciones

Una vez creados los perfiles de configuración, éstos pueden ser asignados a los equipos de la red siguiendo dos estrategias diferentes:

  • Mediante asignación manual (asignación directa).

  • Mediante asignación automática a través de la herencia (asignación indirecta).

Ambas estrategias son complementarias y es muy recomendable que el administrador comprenda las ventajas y limitaciones de cada mecanismo para poder definir una estructura de equipos lo más simple y flexible posible, con el objetivo de minimizar las tareas de mantenimiento diarias.

Asignación directa / manual de configuraciones

Consiste en establecer de forma directa los perfiles de configuración a equipos o grupos. De esta manera es el administrador el que, de forma manual, asigna una configuración a un grupo o equipo.

Una vez creados los perfiles de configuración, estos se asignan de tres maneras posibles:

  • Desde el menú superior Equipos, en el árbol de grupos mostrado en el panel de la izquierda.

  • Desde el detalle del equipo en el panel de listado de equipos, accesible desde el menú superior Equipos.

  • Desde el propio perfil de configuración creado o editado.

Para obtener más información sobre el árbol de grupos consulta Árbol de grupos

Desde el árbol de grupos

Para asignar un perfil de configuración a un conjunto de equipos que pertenecen a un grupo:

  • Haz clic en el menú superior Equipos y selecciona el árbol de grupos en el panel izquierdo.

  • Haz clic en el menú contextual en la rama apropiada del árbol de grupos.

  • Haz clic en el menú emergente Configuraciones, se mostrará una ventana con el nombre de los perfiles ya asignados al grupo seleccionado, separados por su clase, y el tipo de asignación:

  • Manual / Asignación directa: mediante la leyenda Asignada directamente a este grupo.

  • Heredada / Asignación indirecta: mediante la leyenda Configuración heredada de y el nombre del grupo del cual se hereda la configuración, junto con la ruta completa para llegar al mismo.

Ejemplo de asignación heredada y manual

Haz clic en una de las clases disponibles, selecciona la nueva configuración y haz clic en Aceptar para asignar la configuración al grupo. La configuración se propagará de forma inmediata a todos los equipos miembros del grupo y sus descendientes.

Desde el panel listado de equipos

Para asignar un perfil de configuración a un equipo concreto:

  • En el menú superior Equipos haz clic en el grupo o filtro donde reside el equipo a asignar la configuración. Haz clic sobre el equipo en la lista de equipos mostrada en el panel derecho para ver la pantalla detalles de equipo.

  • Haz clic en la pestaña Configuración. Se mostrarán los perfiles asignados al equipo separados por su clase, y el tipo de asignación:

    • Manual / Asignación directa: mediante la leyenda Asignada directamente a este grupo.

    • Heredada / Asignación indirecta: mediante la leyenda Configuración heredada de y el nombre del grupo del cual se hereda la configuración, junto con la ruta completa para llegar al mismo.

  • Haz clic en una de las clases disponibles, selecciona la nueva configuración y haz clic en Aceptar para asignar la configuración al equipo. La configuración se aplicará de forma inmediata.

Desde el propio perfil de configuración

La forma más rápida de asignar una configuración a varios equipos que pertenecen a grupos distintos es a través del propio perfil de configuración.

Para asignar equipos o grupos de equipos a un perfil de configuración:

  • En el menú superior Configuración, panel lateral, haz clic en la clase de perfil que quieres asignar.

  • Selecciona la configuración a asignar y haz clic en el botón Destinatarios. Se mostrará una ventana dividida en dos secciones: Grupos de equipos y Equipos adicionales.

  • Haz clic en los botones para añadir equipos individuales o grupos de equipos al perfil de configuración.

  • Haz clic en el botón Atrás. El perfil quedará asignado a los equipos seleccionados y la nueva configuración se aplicará de forma inmediata.

Al retirar un equipo de la lista de equipos asignados a una configuración, el equipo volverá a heredar las configuraciones asignadas al grupo al que pertenece. La consola de administración resaltará este hecho mostrando una ventana de advertencia antes de aplicar los cambios.

Asignación indirecta de configuraciones: las dos reglas de la herencia

La asignación indirecta de configuraciones se realiza a través del mecanismo de la herencia. Esta funcionalidad permite propagar de forma automática un mismo perfil de configuración a todos los equipos subordinados del nodo sobre el cual se asignó la configuración.

Las reglas que rigen la interacción entre los dos tipos de asignaciones (manuales / directas y automática / herencia) se muestran por orden de prioridad:

Regla de la herencia automática

Un grupo o equipo hereda de forma automática las configuraciones del grupo del cual depende (grupo padre o de orden superior).

La asignación de configuración es manual sobre el grupo padre y todos sus descendientes (equipos y otros grupos con equipos en su interior) reciben la configuración de forma automática.

Herencia / asignación indirecta

Regla de la prioridad manual

Una configuración manual prevalece sobre una configuración heredada.

Los equipos reciben las configuraciones heredadas por defecto pero si se establece una configuración manual sobre un grupo o equipo, todos sus descendientes recibirán la configuración manual, y no la configuración heredada de orden superior.

Prevalencia de configuración manual sobre heredada

Límites de la herencia

La configuración asignada a un grupo (manual o heredada) se propaga a todos los elementos de la rama del árbol hasta que se encuentra una asignación manual.

Este nodo y todos sus descendientes reciben la configuración manual asignada, y no la establecida en el nodo de orden superior.

Limite de la herencia

Sobre-escritura de configuraciones

La regla de la prioridad manual indica que las configuraciones manuales prevalecen sobre las configuraciones heredadas en un escenario típico donde primero se establece la configuración sobre el nodo de orden superior para que todos sus descendientes la hereden, y posteriormente se asignan de forma manual aquellas configuraciones especiales sobre ciertos nodos de orden inferior.

Sin embargo, es frecuente que una vez establecidas las configuraciones heredadas y manuales, haya un cambio de configuración en un nodo de orden superior. Se distinguen dos casos:

  • No hay configuraciones manuales en los nodos descendientes: el nodo padre recibe una nueva configuración que se propaga a todos sus nodos descendientes.

  • Sí hay configuraciones manuales en algún nodo descendiente: el nodo padre recibe una configuración que intenta propagar a todos los nodos descendientes, pero el sistema de herencia no permite asignar una configuración de forma automática sobre un nodo que recibió anteriormente una configuración manual.

Sobre escritura de configuraciones manuales

De esta manera, cuando el sistema detecta un cambio de configuración que tenga que propagar a los nodos subordinados, y alguno de estos tenga una configuración manual (sin importar el nivel en el que se encuentre) se presentará la pantalla de selección, preguntando al administrador sobre el comportamiento a seguir: Hacer que todos hereden esta configuración o Mantener todas las configuraciones.

Hacer que todos hereden esta configuración

¡Utiliza esta opción con mucho cuidado, esta acción no tiene vuelta atrás! Todas las configuraciones manuales que dependan del nodo padre se perderán y se aplicará la configuración heredada de forma inmediata en los equipos. El comportamiento de Advanced EPDR podrá cambiar en muchos equipos de la red

La nueva asignación directa se propaga mediante la herencia a todo el árbol por completo, sobrescribiendo la asignación directa anterior y llegando hasta los nodos hijos de último nivel.

Mantener todas las configuraciones

La nueva configuración solo se propaga a aquellos nodos subordinados que no tengan configuraciones manuales establecidas.

Mantener las configuraciones manuales

Si eliges la opción de mantener las configuraciones establecidas de forma manual, la propagación de la nueva configuración heredada se detiene en el primer nodo configurado manualmente.

Eliminar asignaciones manuales y restaurar la herencia

Para eliminar una asignación manual aplicada sobre una carpeta y volver a heredar la configuración de la rama padre:

  • En el menú superior Equipos haz clic en el grupo que tiene la asignación manual a eliminar, dentro del árbol de grupos situados en el panel izquierdo.

  • Haz clic en el icono del menú contextual de la rama apropiada. Se mostrará una ventana emergente con las configuraciones asignadas. Elige el perfil que esté asignado de forma manual y quieres eliminar.

  • Se desplegará un listado con todos los perfiles disponibles para realizar una nueva asignación manual, y al final de la lista se mostrará el botón Heredar del grupo padre junto con información de la configuración que se heredaría, y el grupo del cual se heredará.

Movimiento de grupos y equipos

Al mover un equipo o grupo de equipos a otra rama del árbol con una configuración aplicada, el comportamiento de Advanced EPDR con respecto a las configuraciones que tomará el equipo o grupo movido varia en función de si se trata de grupos completos o equipos individuales.

Movimiento de equipos individuales

Se respetan las configuraciones manuales establecidas sobre los equipos movidos, y se sobrescriben de forma automática las configuraciones heredadas con las configuraciones establecidas en el nuevo grupo padre.

Movimiento de grupos

Se muestra una ventana con la pregunta ¿Quieres que las configuraciones asignadas a este grupo mediante herencia, sean sustituidas por las del nuevo grupo padre?

  • En el caso de contestar SI, el procedimiento será el mismo que en el movimiento de equipos: las configuraciones manuales se respetan y las heredadas se sobrescriben con las configuraciones establecidas en el grupo padre.

  • En el caso de contestar NO, las configuraciones manuales se respetan pero las configuraciones heredadas originales del grupo movido prevalece, pasando de esta forma a ser configuraciones manuales.

Excepciones a la herencia indirecta

A los equipos que se integran en la consola Web dentro de un grupo de tipo nativo, Advanced EPDR les asigna la configuración de red del grupo de destino mediante el mecanismo estándar de asignación indirecta / herencia. Sin embargo, si un equipo se integra en la consola Web dentro de un grupo de tipo IP o de tipo directorio activo, la asignación de la configuración de red se produce de forma manual. Este cambio en la forma de asignar la configuración de red repercute a su vez en un cambio de comportamiento al mover posteriormente ese equipo de un grupo a otro: ya no heredará de forma indirecta la configuración de red asignada al grupo de destino, sino que conservará la suya propia.

Este comportamiento particular de la herencia, se debe a que en empresas de tamaño medio y grande, el departamento que administra la seguridad puede no ser el mismo que el que administra el directorio activo de la empresa. Por esta razón, un cambio de grupo efectuado por el departamento técnico que mantiene el directorio activo puede desembocar de forma inadvertida en un cambio de configuración de red dentro de la consola de Advanced EPDR. Esta situación podría dejar sin conectividad al agente de protección instalado en el equipo y, por lo tanto, en una menor protección. Al asignar de forma manual la configuración de red, se impiden cambios de configuración cuando el equipo cambia de grupo en la consola de Advanced EPDR, debido a un cambio de grupo del directorio activo de la empresa.