Я собираюсь развернуть настройки SNMP для серверов Windows через групповую политику и подготовил административный шаблон. Однако я замечаю странное поведение при применении политики.
Создаются две строки сообщества с разными разрешениями. то есть:
MYCOMMUNITY - READ ONLY
MYCOMMUNITY - READ CREATE
Реестр Windows также показывает два значения, которые создаются в
HKLM\Software\Policies\SNMP\Parameters\ValidCommunities
NAME TYPE DATA
1 REG_SZ MYCOMMUNITY
MYCOMMUNITY REG_DWORD 0x00000010 (16)
Именно последнее из этих двух значений реестра создает сообщество READ CREATE, которое я хочу, но, похоже, я не могу остановить создание первой строковой записи.
У меня вопрос: будут ли разрешения READ CREATE иметь приоритет над разрешениями READ ONLY, или при этой конфигурации будет «случайное» поведение?
Спасибо
Фактически нашли решение с помощью групповой политики. Несмотря на то, что я прочитал вчера, на самом деле вы можете удалить значения реестра с помощью шаблона adm. Код политики, который решил эту проблему для меня, выглядит следующим образом.
POLICY "Delete Default SNMP Community"
EXPLAIN "Deletes the first Community String from SNMP"
KEYNAME "Software\Policies\SNMP\Parameters\ValidCommunities"
VALUENAME "1"
VALUEON DELETE
VALUEOFF "MYCOMMUNITY"
END POLICY
Я знаю, это немного отличается от заданного вопроса. Однако это дает результат, в котором я нуждался - это было единое сообщество, которое, как я знаю, имеет доступ READ CREATE.
Для SNMP v1 вы хотите, чтобы сообщества были разными, т.е.
MYROCOMMUNITY - READ ONLY
MYRWCOMMUNITY - READ WRITE
Поскольку для SNMP v1 нет имен пользователей, сообщество решает, каков уровень доступа. Я не знаю, как Windows справляется с этой ситуацией.