Product Documentation

Définir les priorités de stratégies et créer des exceptions

Oct 21, 2016
La définition de priorités de stratégies vous permet de définir quelles sont les stratégies qui prévalent lorsqu'elles présentent des conflits de paramètres. Le processus utilisé pour évaluer des stratégies se présente comme suit :
  1. Lorsque les utilisateurs ouvrent une session, toutes les stratégies correspondant aux affectations pour la connexion sont identifiées.
  2. Les stratégies identifiées sont triés dans un ordre de priorité et plusieurs instances de tous les paramètres sont comparées. Chaque paramètre est appliqué selon l'ordre de priorité de la stratégie.

Vous définissez la priorité des stratégies en leur donnant des numéros de priorité différents. Par défaut, la priorité d'une nouvelle stratégie est plus faible que celle d'une stratégie déjà existante. Lorsque deux stratégies à appliquer ont des règles entrant en conflit, la stratégie dotée de la plus haute priorité (la valeur 1 représentant la plus haute priorité) prévaut sur la stratégie dotée de la priorité la plus faible. Les paramètres sont combinés selon leur priorité et leur condition, par exemple si le paramètre est désactivé ou activé. Tout paramètre désactivé remplace un paramètre de plus faible priorité qui est activé. Les paramètres de stratégie qui ne sont pas configurés sont ignorés ; ils ne l'emportent pas sur les paramètres dotés d'une priorité plus faible.

Après avoir créé des stratégies pour des groupes d'utilisateurs, des machines utilisateur ou des machines, vous constaterez peut-être qu'il est nécessaire de définir, pour certains membres de ces groupes, des exceptions à certains paramètres de stratégie. Vous pouvez créer des exceptions en :
  • créant une stratégie uniquement pour ces membres de groupe qui ont besoin des exceptions, et en plaçant la priorité d'une stratégie en plus haute position que la stratégie de tout le groupe ;
  • utilisant le mode Refuser pour une attribution ajoutée à la stratégie.
Une affectation avec le mode défini sur Refuser applique une stratégie uniquement aux connexions qui ne correspondent pas aux critères d'affectation. Par exemple, une stratégie contient les affectations suivantes :
  • L'affectation A est une affectation d'adresse IP cliente qui spécifie la plage 208.77.88.* et le mode est défini sur Autoriser.
  • L'affectation B est une affectation utilisateur qui spécifie un compte utilisateur particulier et le mode est défini sur Refuser.

La stratégie est appliquée à tous les utilisateurs qui ouvrent une session sur le site dont les adresses IP se trouvent dans la plage spécifiée dans l'affectation A. Cependant, la stratégie n'est pas appliquée à l'utilisateur ouvrant une session sur le site avec le compte d'utilisateur spécifié dans l'affectation B, même si l'ordinateur de l'utilisateur se voit attribuer une adresse IP dans la plage spécifiée dans l'affectation A.