策略配置文件

仅通过管理组层级应用策略到设备可能在许多环境下不方便。有必要创建单一策略的几个实例，这些实例对于不同的管理组在一两个设置上有所不同，可以在将来同步这些策略的内容。

为帮助您避免此类问题，Kaspersky Security Center 支持策略配置文件。策略配置文件是策略设置的命名子集。该子集随带策略在大设备上分发，在特别条件配置文件激活条件下将其补充。配置文件仅包含与“基本”策略不同的设置，并在客户端设备（计算机或移动设备）上活动。激活配置文件会修改配置文件激活之前已在计算机上活动的策略设置。这些设置将使用已在配置文件中指定的值。

以下限制被施加在策略配置文件：

• 策略可以包含最多 100 个配置文件。
• 策略配置文件不能包含其他配置文件。
• 策略配置文件不能包含通知设置。

配置文件内容

策略配置文件包含以下组成部分：

• 带有相同名称的名称配置文件通过管理组层级互相影响。
• 策略设置子集。不同于包含所有设置的策略，配置文件仅包含实际所需的设置(锁定设置)。
• 激活条件是设备属性的逻辑表达。配置文件仅在配置文件激活条件为真是活动(补充策略)。在其他所有情况，配置文件是非激活和忽略的。以下设备属性可以被包含在逻辑表达：
  • 漫游模式状态。
  • 网络环境属性 — 网络代理连接的活动规则的名称。
  • 设备上指定标签的出现和消失。
  • 设备在活动目录组织单元（OU）上的分配：明确(设备在指定 OU 中)，或不明确(设备是 OU，以嵌套级别包含在指定 OU)。
  • 设备在活动目录安全组中的成员关系（明确或不明确）。
  • 活动目录安全组中设备所有者的成员关系（明确或不明确）。
• 配置文件禁用复选框。被禁用的配置文件总是被忽略，并且它们的激活条件不被验证。
• 配置文件优先级。不同配置文件的激活条件是独立的，因此几个配置文件可以一起激活。如果活动配置文件包含设置的非重叠集合，将不会发生问题。然而，如果两个活动配置文件包含不同的相同设置的值，将发生歧义。该歧义可以通过策略优先级避免：歧义变量的值将来自高优先级的配置文件(在配置文件列表中评级较高)。

策略通过层级互相影响时的配置文件行为

带有相同名称的配置文件根据策略合并规则合并到一起。upstream 策略的配置文件比 downstream 策略的配置文件拥有更高优先级。如果编辑设置在 upstream 策略中被禁止(锁定)，downstream 策略使用 upstream 策略的配置文件激活条件。如果编辑设置在 upstream 策略中被允许，downstream 策略的配置文件激活条件被使用。

既然策略配置文件可能在激活条件中包含“设备已离线”属性，配置文件完全替换漫游用户策略功能，后者将不被支持。

漫游用户的策略可能包含配置文件，但是它们配置文件仅可以在设备切换到漫游模式后激活。