Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 1 reply
  • Subscribers 0 subscribers
  • Views 713 views
  • Users 0 members are here
Options
Suggested

[2.050][DOCUMENTATION] moving device from org -> don't set definition as local

BuBU
Hi

I have the default global organization for which I have global definition and deployed to an asg (called ie asg1)... those definitions are used ie by IPS...

then I create a new organization, for which I want to move asg1 on it... you will have a warning telling that the used global definition on the other organization will be set as local for the moved device... which is fine... BUT after applying I go onto my asg and into network definitions... my previously global definition seems to be still global definition and not local definition ! (the view only button is still there !!!)

hope I was enough clear about that one.. else let me know.. [:)]

thx
Parents
  • 0
    Hi BuBU,

    I think I got the gist of it and you explained it rather well [:)]

    The OU and Global Definition features are tightly intertwined and not all functionality is readily apparent. The manual and online-help is not yet fully clear on the subject matter.

    So here comes the light:

    Generally your expectation that a former global object is localized during the process of moving a device from one OU to another is correct

    What you encountered is a special use-case. Global objects contained within the Global OU have a special property of being shareable over devices belonging to different OUs. The idea is that you might have global definitions which you would like your different customers (different OUs) to use, but you do not want them to modify these shareable definitions as it is part of a pre-defined service you offer.

    Hence, when moving a device from one OU to another, the same shareable object should still be centrally managed by the ACC - because it is part of a higher level/hierarchy service.

    Opposed to that, you have the standard use-case where you encapsulated global definitions per OU (not the Global OU). You can think of the additional OUs you create in being hierarchically lower than the Global OU, but all additional OUs are on the same level for now. Moving a device within this OU level strongly requires that the global objects of a previous OU are removed from the device, as they are not part of the new OU. If the global objects in question cannot be removed because they are in use in a local configuration, the global objects are transformed into local equivalents to avoid breaking possibly vital configurations and prevent lock-outs. Of course, the ACC loses central control of these objects in this process.

    Gee, I hope that helps.

    I grant you the following things:

    [LIST=1]
    • Documentation needs to be extended on this matter
    • The warning message should contain an additional explanation that only objects not originating from the global OU will be localized
    [/LIST]
    Although, it is not a bug but defined behavior, I'd like to award a point for making us aware that clarification is needed.

    Thanks and Regards,
    Henning
Reply
  • 0
    Hi BuBU,

    I think I got the gist of it and you explained it rather well [:)]

    The OU and Global Definition features are tightly intertwined and not all functionality is readily apparent. The manual and online-help is not yet fully clear on the subject matter.

    So here comes the light:

    Generally your expectation that a former global object is localized during the process of moving a device from one OU to another is correct

    What you encountered is a special use-case. Global objects contained within the Global OU have a special property of being shareable over devices belonging to different OUs. The idea is that you might have global definitions which you would like your different customers (different OUs) to use, but you do not want them to modify these shareable definitions as it is part of a pre-defined service you offer.

    Hence, when moving a device from one OU to another, the same shareable object should still be centrally managed by the ACC - because it is part of a higher level/hierarchy service.

    Opposed to that, you have the standard use-case where you encapsulated global definitions per OU (not the Global OU). You can think of the additional OUs you create in being hierarchically lower than the Global OU, but all additional OUs are on the same level for now. Moving a device within this OU level strongly requires that the global objects of a previous OU are removed from the device, as they are not part of the new OU. If the global objects in question cannot be removed because they are in use in a local configuration, the global objects are transformed into local equivalents to avoid breaking possibly vital configurations and prevent lock-outs. Of course, the ACC loses central control of these objects in this process.

    Gee, I hope that helps.

    I grant you the following things:

    [LIST=1]
    • Documentation needs to be extended on this matter
    • The warning message should contain an additional explanation that only objects not originating from the global OU will be localized
    [/LIST]
    Although, it is not a bug but defined behavior, I'd like to award a point for making us aware that clarification is needed.

    Thanks and Regards,
    Henning
Children
No Data
Unfiltered HTML