办公安全平台提供脚本策略管理功能,帮助 IT 管理员通过预设的脚本模板,对企业内的终端设备执行批量自动化操作。此功能旨在简化常规的 IT 管理任务,例如文件分发、系统管理和个性化设置,并提供完整的任务调度、监控与审计能力。本功能基于平台提供的脚本模板创建策略,不支持上传和执行自定义脚本。
核心概念
脚本策略
定义“在什么时间、对哪些设备、做什么事”的调度蓝图。策略是长期存在的配置规则,决定了任务的生成和执行逻辑。例如:可以创建一个“每周五下午六点对“设计部”所有设备执行关机”的策略。
任务
策略的一次具体执行实例。任务是策略在特定时间点生成的、可执行的单元。一个策略可以根据其调度设置(如一次性、每周、间隔)生成一个或多个任务。
快速入门:创建一条桌面壁纸替换策略
本示例将快速创建一个策略,为一台指定设备更换桌面壁纸,帮助您快速了解核心流程。
准备壁纸文件:
将需要设置的壁纸图片上传至公网可访问的对象存储(OSS)或其他位置,并获取其 URL 地址。例如:
https://aliyundoc.com/wallpaper.png。新建策略:
进入脚本执行页面,单击新建脚本策略。
在新建策略配置面板,完成以下核心配置:
策略名称:测试壁纸替换。
脚本模版:桌面壁纸替换。
开启状态:开启。
执行方式:一次执行。
壁纸下载地址:设置指定的壁纸 URL。
生效范围:选择指定设备,随后在列表中选择目标测试设备。
单击确定。
验证结果:
策略创建后,可在脚本执行页面看到该策略的状态为待调度或执行中。
切换到任务管理页签,可以找到同名任务。
待任务执行成功后,登录您的测试设备,确认桌面壁纸已被更换。
新建脚本策略
进入脚本执行页面,单击新建脚本策略。
在新建策略配置面板,根据如下参数说明设置策略信息,然后单击确定。
配置项
说明
策略名称
设置策略的名称。
脚本模版
选择需要执行的脚本模板。详情可参考模板库。
远程注销:支持管理员对目标用户设备进行定时注销。
远程重启:支持管理员对目标用户设备进行定时重启。
远程关机:支持管理员对目标用户设备进行定时关机。
文件采集:支持批量提取目标设备上的指定文件。
文件删除:支持批量删除目标设备上的指定文件。
文件分发:支持批量分发文件到指定设备的目录。
桌面壁纸替换:支持为指定设备设置桌面壁纸。
任务描述
输入对该任务的简要描述。
开启状态
指定脚本策略创建后是否默认启用。
执行方式
一次执行:任务仅在指定的时间段内执行一次。
每周执行:任务在每周指定的日期和时间段内执行。
间隔执行:任务按指定的间隔时间周期性执行。
执行时间
设置脚本开始和结束执行的时间段。
间隔执行时间
执行方式为间隔执行时,需配置此参数,用于指定周期性执行的时间间隔。
策略有效期
设置策略的生效截止日期。支持永久有效或有效日期截止。
脚本参数
不同脚本模版对应的脚本参数如下:
远程注销、远程重启、远程关机:
强制执行:是否强制执行。强制执行可能导致未保存数据丢失,请谨慎使用。
文件采集:
源文件路径:指定需要采集的文件路径,支持添加多个。
上传链接:指定将采集文件上传的地址。
上传速率限制:上传速率限制,单位KB/s,默认2048 KB/s,0表示无限制。
文件大小限制:仅采集文件大小在指定限制内的文件,单位MB,默认1024MB。
文件删除:
待删除文件路径:指定需删除的文件路径,支持添加多个。
文件分发:
下载地址:在客户端可访问的文件下载地址。支持 HTTP/HTTPS,且可添加多个。
下载速率限制:下载速率限制,单位kb/s,默认2048 kb/s,选择0则为不限速。
保存路径:文件下载至客户端后的存储目录。支持Windows和macOS平台,且必须至少配置其中一个平台的路径。
桌面壁纸替换:
壁纸下载地址:在客户端可访问的壁纸下载地址。支持 HTTP/HTTPS 协议的图片地址。
超时时间(秒)
设置脚本执行的超时时间,默认为300秒。
生效范围
选择脚本生效的范围,支持指定用户组、指定设备标签、指定设备或全部用户。
对于离线的设备,它们将在上线后检查自身是否在策略生效范围内。若满足条件且在执行时间窗口内,任务将被执行。
新建脚本策略后,在脚本策略列表中,其状态如下:
待调度:等待下一次在指定时间进行调度。在任务管理页签中会生成一条同名的任务,其状态为待调度。
执行中:当前正在执行中,在任务管理页签中会生成一条同名的任务,其状态为执行中。
已停止:当前策略已停止,在任务管理页签中最新的同名任务,其状态为已停止。
说明在创建脚本策略时将生成首次执行的任务,根据设置情况,其状态为待调度或执行中。
若根据已有设置,脚本策略需要执行多次,每次任务执行完成后,将自动生成下一次待执行的任务,其状态为待调度。
管理脚本策略
进入脚本执行页面,可执行如下操作:
查看脚本策略详情
定位目标脚本策略,单击操作列下的详情。
删除脚本策略
定位目标脚本策略,单击操作列下的删除,并按提示操作即可。
停止脚本策略
单个停止:定位目标脚本策略,单击操作列下的停止。
批量停止:批量选择多个脚本策略后,单击列表下方的批量停止。
启用脚本策略
单个启用:定位目标脚本策略,单击操作列下的启用。
说明执行方式为一次执行的脚本策略,若状态为已停用,则不允许启用。可选择重新创建新的脚本策略。
批量启用:批量选择多个脚本策略后,单击列表下方的批量启用。
说明当选择的脚本策略中存在执行方式为一次执行的记录,则不允许执行批量启用操作。
监控与管理任务
进入任务管理页面,定位目标任务,可执行如下操作:
查看任务状态
在状态列,可查看当前任务状态(待调度、执行中、已停止)。
查看生效范围
单击生效范围列下的链接(如:指定用户组、指定设备),即可查看。
查看执行结果
将鼠标悬停在执行结果列,可以快速预览任务在所有设备上的执行统计,包括全部、执行中、执行成功、执行失败的设备数量。
查看任务详情
单击目标任务操作列下的详情,进入任务详情页。
概览:查看任务的总设备数、执行完成设备数、执行中设备数、执行失败设备数的统计。
设备明细:在下方的设备列表中,可以查看每个具体设备的执行结果。
查看与下载日志:在任务详情的设备列表中,找到需要排查的设备,单击其操作列下的:
查看日志:在线查看该设备上详细的脚本执行日志。
下载:将该设备的执行日志下载到本地,用于离线分析或审计。
模板库
本功能通过模板来定义具体操作。使用前请务必了解各模板的功能、所需权限及参数。
文件管理:
文件采集:支持批量提取目标设备上的指定文件。
文件删除:支持批量删除目标设备上的指定文件。
文件分发:支持批量分发文件到指定设备的目录。
说明对于macOS设备,执行文件管理类脚本需要开启“完全磁盘访问权限”。
系统管理:
远程注销:支持管理员对目标用户设备进行定时注销。
远程重启:支持管理员对目标用户设备进行定时重启。
远程关机:支持管理员对目标用户设备进行定时关机。
重要执行系统管理类脚本时,操作过程中无法对未保存的文件进行保存。
个性化设置:
桌面壁纸替换:支持为指定设备设置桌面壁纸。
重要对于macOS设备,需要开启“自动化”权限及“完全磁盘访问权限”。
安全与合规
最小权限原则:
在配置生效范围时,应遵循最小权限原则,仅选择必要的设备或用户组,避免因误操作导致影响范围扩大。
高危操作审查:
对于文件删除、远程注销、远程重启、远程关机等高风险操作,建议在组织内部建立审批和复核流程,确认操作的必要性和准确性后再执行。
常见问题
任务执行失败,如何排查?
请按以下步骤进行排查:
在任务管理页面,单击失败任务操作列的详情。
在设备列表中,找到执行结果为执行失败的设备。
单击该设备操作列的查看日志。日志中通常会包含具体的错误信息。
根据错误信息判断原因,常见原因包括:
权限不足:检查终端设备是否已对SASE完成授权。
网络问题:设备无法访问脚本参数中提供的 URL(如文件源地址、壁纸 URL)。
路径或参数错误:脚本参数中提供的文件路径不存在,或格式不正确。
脚本执行超时:脚本执行时间超过了策略中设置的超时时间(秒)。可以尝试适当延长超时时间。
设备离线:设备在任务执行期间处于离线状态。
策略已创建并启用,但未生成任务或任务一直处于“待调度”状态?
可能的原因如下:
时间未到:当前时间不在策略设置的执行时间窗口内。
策略已过期:当前日期已超过策略的有效日期截止时间。
生效范围内无设备:策略指定的生效范围内当前没有任何符合条件的在线设备。
对于周期性任务:上一个周期的任务尚未结束,或系统正在计算下一个调度周期。