辦公安全平台提供指令碼策略管理功能,協助 IT 管理員通過預設的指令碼模板,對企業內的終端裝置執行批量自動化操作。此功能旨在簡化常規的 IT 管理工作,例如檔案分發、系統管理和個人化,並提供完整的任務調度、監控與審計能力。本功能基於平台提供的指令碼模板建立策略,不支援上傳和執行自訂指令碼。
核心概念
指令碼策略
定義“在什麼時間、對哪些裝置、做什麼事”的調度藍圖。策略是長期存在的配置規則,決定了任務的產生和執行邏輯。例如:可以建立一個“每周五下午六點對“設計部”所有裝置執行關機”的策略。
任務
策略的一次具體執行執行個體。任務是策略在特定時間點產生的、可執行檔單元。一個策略可以根據其調度設定(如一次性、每周、間隔)產生一個或多個任務。
快速入門:建立一條案頭壁紙替換策略
本樣本將快速建立一個策略,為一台指定裝置更換案頭壁紙,協助您快速瞭解核心流程。
準備壁紙檔案:
將需要設定的壁紙圖片上傳至公網可訪問的Object Storage Service或其他位置,並擷取其 URL 地址。例如:
https://aliyundoc.com/wallpaper.png。建立策略:
進入腳本執行頁面,單擊新建脚本策略。
在新建策略配置面板,完成以下核心配置:
策略名稱:測試壁紙替換。
脚本模版:桌面壁紙替換。
开启状态:開啟。
执行方式:一次执行。
壁纸下载地址:設定指定的壁紙 URL。
生效範圍:選擇指定设备,隨後在列表中選擇目標測試裝置。
單擊確定。
驗證結果:
策略建立後,可在腳本執行頁面看到該策略的狀態為待调度或执行中。
切換到任務管理頁簽,可以找到同名任務。
待任務執行成功後,登入您的測試裝置,確認案頭壁紙已被更換。
建立指令碼策略
進入腳本執行頁面,單擊新建脚本策略。
在新建策略配置面板,根據如下參數說明設定策略資訊,然後單擊確定。
配置項
說明
策略名稱
設定策略的名稱。
脚本模版
選擇需要執行的指令碼模板。詳情可參考模板庫。
遠程註銷:支援管理員對目標使用者裝置進行定時登出。
遠程重啟:支援管理員對目標使用者裝置進行定時重啟。
遠程關機:支援管理員對目標使用者裝置進行定時關機。
文件採集:支援批量提取目標裝置上的指定檔案。
檔案刪除:支援大量刪除目標裝置上的指定檔案。
文件分發:支援批量分發檔案到指定裝置的目錄。
桌面壁紙替換:支援為指定裝置設定案頭壁紙。
任務描述
輸入對該任務的簡要描述。
开启状态
指定指令碼策略建立後是否預設啟用。
执行方式
一次执行:任務僅在指定的時間段內執行一次。
每周执行:任務在每周指定的日期和時間段內執行。
间隔执行:任務按指定的間隔時間周期性執行。
执行时间
設定指令碼開始和結束執行的時間段。
间隔执行时间
执行方式為间隔执行時,需配置此參數,用於指定周期性執行的時間間隔。
策略有效期
設定策略的生效到期日。支援永久有效或有效日期截止。
脚本参数
不同脚本模版對應的脚本参数如下:
遠程註銷、遠程重啟、遠程關機:
强制执行:是否強制執行。強制執行可能導致未儲存資料丟失,請謹慎使用。
文件採集:
源文件路径:指定需要採集的檔案路徑,支援添加多個。
上传链接:指定將採集檔案上傳的地址。
上传速率限制:上傳速率限制,單位KB/s,預設2048 KB/s,0表示無限制。
文件大小限制:僅採集檔案大小在指定限制內的檔案,單位MB,預設1024MB。
檔案刪除:
待删除文件路径:指定需刪除的檔案路徑,支援添加多個。
文件分發:
下载地址:在用戶端可訪問的檔案下載地址。支援 HTTP/HTTPS,且可添加多個。
下载速率限制:下載速率限制,單位kb/s,預設2048 kb/s,選擇0則為不限速。
儲存路徑:檔案下載至用戶端後的儲存目錄。支援Windows和macOS平台,且必須至少配置其中一個平台的路徑。
桌面壁紙替換:
壁纸下载地址:在用戶端可訪問的壁紙下載地址。支援 HTTP/HTTPS 協議的圖片地址。
超时时间(秒)
設定指令碼執行的逾時時間,預設為300秒。
生效范围
選擇指令碼生效的範圍,支援指定用户组、指定设备标签、指定设备或全部使用者。
對於離線的裝置,它們將在上線後檢查自身是否在策略生效範圍內。若滿足條件且在執行時間視窗內,任務將被執行。
建立指令碼策略後,在指令碼策略列表中,其狀態如下:
待调度:等待下一次在指定時間進行調度。在任務管理頁簽中會產生一條同名的任務,其狀態為待调度。
执行中:當前正在執行中,在任務管理頁簽中會產生一條同名的任務,其狀態為执行中。
已停止:當前策略已停止,在任務管理頁簽中最新的同名任務,其狀態為已停止。
說明在建立指令碼策略時將產生首次執行的任務,根據設定情況,其狀態為待调度或执行中。
若根據已有設定,指令碼策略需要執行多次,每次任務執行完成後,將自動產生下一次待執行的任務,其狀態為待调度。
管理指令碼策略
進入腳本執行頁面,可執行如下操作:
查看指令碼策略詳情
定位目標指令碼策略,單擊操作列下的詳情。
刪除指令碼策略
定位目標指令碼策略,單擊操作列下的刪除,並按提示操作即可。
停止指令碼策略
單個停止:定位目標指令碼策略,單擊操作列下的停止。
大量停止:批量選擇多個指令碼策略後,單擊列表下方的批量停止。
啟用指令碼策略
單個啟用:定位目標指令碼策略,單擊操作列下的啟用。
說明执行方式為一次执行的指令碼策略,若狀態為已停用,則不允許啟用。可選擇重新建立新的指令碼策略。
批量啟用:批量選擇多個指令碼策略後,單擊列表下方的批量啟用。
說明當選擇的指令碼策略中存在执行方式為一次执行的記錄,則不允許執行批量啟用操作。
監控與管理工作
進入任務管理頁面,定位目標任務,可執行如下操作:
查看任務狀態
在狀態列,可查看當前任務狀態(待调度、执行中、已停止)。
查看生效范围
單擊生效范围列下的連結(如:指定用户组、指定设备),即可查看。
查看執行結果
將滑鼠移至上方在执行结果列,可以快速預覽任務在所有裝置上的執行統計,包括全部、执行中、执行成功、执行失败的裝置數量。
查看任務詳情
單擊目標任務操作列下的詳情,進入任務詳情頁。
概覽:查看任務的总设备数、执行完成设备數、执行中设备数、执行失败设备數的統計。
裝置明細:在下方的裝置列表中,可以查看每個具體裝置的执行结果。
查看與下載日誌:在任務詳情的裝置列表中,找到需要排查的裝置,單擊其操作列下的:
查看日志:線上查看該裝置上詳細的指令碼執行日誌。
下載:將該裝置的執行日誌下載到本地,用於離線分析或審計。
模板庫
本功能通過模板來定義具體操作。使用前請務必瞭解各模板的功能、要求的權限及參數。
檔案管理:
文件採集:支援批量提取目標裝置上的指定檔案。
檔案刪除:支援大量刪除目標裝置上的指定檔案。
文件分發:支援批量分發檔案到指定裝置的目錄。
說明對於macOS裝置,執行檔案管理類指令碼需要開啟“完全磁碟存取權限”。
系統管理:
遠程註銷:支援管理員對目標使用者裝置進行定時登出。
遠程重啟:支援管理員對目標使用者裝置進行定時重啟。
遠程關機:支援管理員對目標使用者裝置進行定時關機。
重要執行系統管理類指令碼時,操作過程中無法對未儲存的檔案進行儲存。
個人化:
桌面壁紙替換:支援為指定裝置設定案頭壁紙。
重要對於macOS裝置,需要開啟“自動化”許可權及“完全磁碟存取權限”。
安全與合規
最小許可權原則:
在配置生效范围時,應遵循最小許可權原則,僅選擇必要的裝置或使用者組,避免因誤操作導致影響範圍擴大。
高危操作審查:
對於檔案刪除、遠程註銷、遠程重啟、遠程關機等高風險操作,建議在組織內部建立審批和複核流程,確認操作的必要性和準確性後再執行。
常見問題
任務執行失敗,如何排查?
請按以下步驟進行排查:
在任務管理頁面,單擊失敗任務操作列的詳情。
在裝置列表中,找到执行结果為执行失败的裝置。
單擊該裝置操作列的查看日志。日誌中通常會包含具體的錯誤資訊。
根據錯誤資訊判斷原因,常見原因包括:
許可權不足:檢查終端裝置是否已對SASE完成授權。
網路問題:裝置無法訪問指令碼參數中提供的 URL(如檔案源地址、壁紙 URL)。
路徑或參數錯誤:指令碼參數中提供的檔案路徑不存在,或格式不正確。
指令碼執行逾時:指令碼執行時間超過了策略中設定的超时时间(秒)。可以嘗試適當延長逾時時間。
裝置離線:裝置在任務執行期間處於離線狀態。
策略已建立並啟用,但未產生任務或任務一直處於“待调度”狀態?
可能的原因如下:
時間未到:目前時間不在原則設定的执行时间視窗內。
策略已到期:當前日期已超過策略的有效日期截止時間。
生效範圍內無裝置:策略指定的生效范围內當前沒有任何合格線上裝置。
對於週期性任務:上一個周期的任務尚未結束,或系統正在計算下一個調度周期。