用户同步
此服务器任务将同步诸如 Active Directory、LDAP 参数等源中的用户和用户组信息。
要创建新的服务器任务,请依次单击任务 > 新建 > 
服务器任务,或者在左侧选择所需的任务类型并依次单击新建 > 服务器任务。
基本
在基本部分中,输入有关该任务的基本信息,例如名称和说明(可选)。 单击选择标记以分配标记。
在任务下拉菜单中,选择要创建的任务类型,然后进行配置。如果在创建新任务之前已选择特定任务类型,则任务将基于您的先前选择内容进行预选择。任务(参阅所有任务列表)定义该任务的设置和行为。
还可以从以下任务触发器设置中进行选择:
•完成后立即执行任务 - 选中此选项,使任务在您单击“完成”后自动执行。
•配置触发器 - 选择此选项,启用触发器部分,在此可配置触发器设置。
要稍后设置触发器,请将该复选框保留为取消选中状态。
设置
常见设置
用户组名称 - 默认情况下,将使用同步用户(默认情况下为所有组)的根证书。此外,您可以创建新用户组。
用户创建冲突处理 - 可能会发生两种类型的冲突:
•同一个组中存在具有相同名称的两个用户。
•存在具有相同 SID 的现有用户(系统中的任意位置)。
您可以将冲突处理设置为:
•跳过 - 与 Active Directory 同步期间不会将用户添加到 ESET PROTECT。
•覆盖 - Active Directory 中的用户会覆盖 ESET PROTECT 中的现有用户,在 SID 冲突的情况下,ESET PROTECT 中的现有用户会从以前的位置中删除(即使用户位于不同的组中也是如此)。
用户删除处理 - 如果用户不再存在,则可以删除此用户或跳过它。
用户组删除处理 - 如果用户组不再存在,则可以删除此用户组或跳过它。
|
如果使用用户的自定义属性,请将用户创建冲突处理设置为跳过。否则,将放弃自定义属性而用户(和全部详细信息)将被 Active Directory 中的数据覆盖。如果想要覆盖该用户,请将用户删除处理更改为跳过。 |
服务器连接设置
•服务器 - 键入域控制器的服务器名称或 IP 地址。
•登录: 采用以下格式键入域控制器的用户名:
oDOMAIN\username(在 Windows 上运行的 ESET PROTECT 服务器)
ousername@FULL.DOMAIN.NAME 或 username(在 Linux 上运行的 ESET PROTECT 服务器)。
|
务必以大写字母键入域;需要采用该格式才能对 Active Directory 服务器的查询进行正确身份验证。 |
•密码 - 键入用于登录到域控制器的密码。
|
Windows 上的 ESET PROTECT 服务器将加密的 LDAPS(通过 SSL 的 LDAP)协议用于所有 Active Directory (AD) 连接。还可以在 ESET PROTECT 虚拟设备上配置 LDAPS。 若要通过 LDAPS 成功连接 AD,请配置以下内容: 1.域控制器必须已安装计算机证书。若要为您的域控制器颁发证书,请遵循以下步骤: a)打开服务器管理器,单击管理 > 添加角色和功能,然后安装 Active Directory 证书服务 > 证书颁发机构。将在受信任的根证书颁发机构中创建新的证书颁发机构。 b)导航到开始 > 键入 certmgr.msc 并按 Enter 键以运行证书 Microsoft 管理控制台控制单元 > 证书 - 本地计算机 > 个人 > 右键单击空窗格 > 所有任务 > 请求新证书 > 注册域控制器角色。 c)验证颁发的证书是否包含域控制器的 FQDN。 d)在 ESMC 服务器上,将生成到证书存储(使用 certmgr.msc 工具)的 CA 导入到受信任的 CA 文件夹。
2.向 AD 服务器提供连接设置时,请在服务器或主机字段中键入域控制器的 FQDN(在域控制器证书中提供)。对于 LDAPS,IP 地址不再足够。 |
若要启用 LDAP 协议的回退,请选中使用 LDAP 而不是 Active Directory 复选框,然后输入特定属性以匹配服务器。或者,您可以通过单击选择来选择预设,将自动填充属性:
•Active directory
•Mac OS X Server Open Directory (计算机主机名)
•包含 Samba 计算机记录的 OpenLDAP - 设置参数 Active Directory 中的 DNS 名称。
同步设置
•可分辨名称 - 指向 Active Directory 树中节点的路径(可分辨名称)。使此选项保留为空将同步整个 AD 树。单击可分辨名称旁边的浏览。将显示您的 Active Directory 树。选择顶部条目以与 ESET PROTECT 同步所有组,或仅选择想要添加的特定组。仅同步计算机和组织单位。在完成时单击确定。
|
确定可分辨名称 1.打开 Active Directory 用户和计算机应用程序。 2.单击查看,然后选择高级功能。 3.右键单击域 > 单击属性 > 选择属性编辑器选项卡。 4.查找distinguishedName行它应如以下示例所示:DC=ncop,DC=local。 |
•用户组和用户属性 - 用户默认属性特定于用户所属的目录。如果想要同步 Active Directory 属性,请从相应字段的下拉菜单中选择 AD 参数或输入属性的自定义名称。每个已同步字段旁边都有一个 ESET PROTECT 占位符(例如:${display_name}),该占位符用于在特定 ESET PROTECT 策略设置中表示此属性。
•高级用户属性 - 如果您想要使用高级自定义属性,请选择新增。这些字段将继承用户信息,它们在 iOS MDM 的策略编辑器中作为占位符进行处理。
|
如果您在单击浏览后收到错误消息:Server not found in Kerberos database,请使用服务器的 AD FQDN,而不是 IP 地址。 |
触发器
触发器部分包含有关将运行任务的触发器的信息。每个服务器任务最多具有一个触发器。每个触发器都只能运行一个服务器任务。如果在基础部分中没有选择配置触发器,将不会创建触发器。任务可在没有触发器的情况下创建。此类任务可在以后手动运行,或者可稍后添加触发器。
高级设置 - 限制
通过设置限制,可为创建的触发器设置高级规则。设置限制为可选项。
摘要
所有配置选项都显示在此处。查看设置,然后单击完成。