ESET 联机帮助

选择类别
选择主题

用户同步

此服务器任务将同步诸如 Active Directory、LDAP 参数等源中的用户和用户组信息。

要创建新的服务器任务,请依次单击任务 > 新建 > add_new_default服务器任务,或者在左侧选择所需的任务类型并依次单击新建 > add_new_default服务器任务

基本

基本部分中,输入有关该任务的基本信息,例如名称和说明(可选)。 单击选择标记分配标记
任务下拉菜单中,选择要创建的任务类型,然后进行配置。如果在创建新任务之前已选择特定任务类型,则任务将基于您的先前选择内容进行预选择。任务(参阅所有任务列表)定义该任务的设置和行为。

还可以从以下任务触发器设置中进行选择:

完成后立即执行任务 - 选中此选项,使任务在您单击“完成”后自动执行。

配置触发器 - 选择此选项,启用触发器部分,在此可配置触发器设置。

要稍后设置触发器,请将该复选框保留为取消选中状态。

设置

常见设置

用户组名称 - 默认情况下,将使用同步用户(默认情况下为所有组)的根证书。此外,您可以创建新用户组。

用户创建冲突处理 - 可能会发生两种类型的冲突:

同一个组中存在具有相同名称的两个用户。

存在具有相同 SID 的现有用户(系统中的任意位置)。

您可以将冲突处理设置为:

跳过 - 与 Active Directory 同步期间不会将用户添加到 ESET PROTECT。

覆盖 - Active Directory 中的用户会覆盖 ESET PROTECT 中的现有用户,在 SID 冲突的情况下,ESET PROTECT 中的现有用户会从以前的位置中删除(即使用户位于不同的组中也是如此)。

用户删除处理 - 如果用户不再存在,则可以删除此用户或跳过它。

用户组删除处理 - 如果用户组不再存在,则可以删除此用户组或跳过它。


note

如果使用用户的自定义属性,请将用户创建冲突处理设置为跳过。否则,将放弃自定义属性而用户(和全部详细信息)将被 Active Directory 中的数据覆盖。如果想要覆盖该用户,请将用户删除处理更改为跳过

服务器连接设置

服务器 - 键入域控制器的服务器名称或 IP 地址。

登录: 采用以下格式键入域控制器的用户名:

oDOMAIN\username(在 Windows 上运行的 ESET PROTECT 服务器)

ousername@FULL.DOMAIN.NAMEusername(在 Linux 上运行的 ESET PROTECT 服务器)。


important

务必以大写字母键入域;需要采用该格式才能对 Active Directory 服务器的查询进行正确身份验证。

密码 - 键入用于登录到域控制器的密码。


important

Windows 上的 ESET PROTECT 服务器将加密的 LDAPS(通过 SSL 的 LDAP)协议用于所有 Active Directory (AD) 连接。还可以在 ESET PROTECT 虚拟设备上配置 LDAPS

若要通过 LDAPS 成功连接 AD,请配置以下内容:

1.域控制器必须已安装计算机证书。若要为您的域控制器颁发证书,请遵循以下步骤:

a)打开服务器管理器,单击管理 > 添加角色和功能,然后安装 Active Directory 证书服务 > 证书颁发机构。将在受信任的根证书颁发机构中创建新的证书颁发机构。

b)导航到开始 > 键入 certmgr.msc 并按 Enter 键以运行证书 Microsoft 管理控制台控制单元 > 证书 - 本地计算机 > 个人 > 右键单击空窗格 > 所有任务 > 请求新证书 > 注册域控制器角色。

c)验证颁发的证书是否包含域控制器的 FQDN

d)在 ESMC 服务器上,将生成到证书存储(使用 certmgr.msc 工具)的 CA 导入到受信任的 CA 文件夹。

 

2.向 AD 服务器提供连接设置时,请在服务器主机字段中键入域控制器的 FQDN(在域控制器证书中提供)。对于 LDAPS,IP 地址不再足够。

若要启用 LDAP 协议的回退,请选中使用 LDAP 而不是 Active Directory 复选框,然后输入特定属性以匹配服务器。或者,您可以通过单击选择来选择预设,将自动填充属性:

Active directory

Mac OS X Server Open Directory (计算机主机名)

包含 Samba 计算机记录的 OpenLDAP - 设置参数 Active Directory 中的 DNS 名称

 

同步设置

可分辨名称 - 指向 Active Directory 树中节点的路径(可分辨名称)。使此选项保留为空将同步整个 AD 树。单击可分辨名称旁边的浏览。将显示您的 Active Directory 树。选择顶部条目以与 ESET PROTECT 同步所有组,或仅选择想要添加的特定组。仅同步计算机和组织单位。在完成时单击确定


note

确定可分辨名称

1.打开 Active Directory 用户和计算机应用程序。

2.单击查看,然后选择高级功能

3.右键单击域 > 单击属性 > 选择属性编辑器选项卡。

4.查找distinguishedName行它应如以下示例所示:DC=ncop,DC=local

用户组和用户属性 - 用户默认属性特定于用户所属的目录。如果想要同步 Active Directory 属性,请从相应字段的下拉菜单中选择 AD 参数或输入属性的自定义名称。每个已同步字段旁边都有一个 ESET PROTECT 占位符(例如:${display_name}),该占位符用于在特定 ESET PROTECT 策略设置中表示此属性。

高级用户属性 - 如果您想要使用高级自定义属性,请选择新增。这些字段将继承用户信息,它们在 iOS MDM 的策略编辑器中作为占位符进行处理。


important

如果您在单击浏览后收到错误消息:Server not found in Kerberos database,请使用服务器的 AD FQDN,而不是 IP 地址。

触发器

触发器部分包含有关将运行任务的触发器的信息。每个服务器任务最多具有一个触发器。每个触发器都只能运行一个服务器任务。如果在基础部分中没有选择配置触发器,将不会创建触发器。任务可在没有触发器的情况下创建。此类任务可在以后手动运行,或者可稍后添加触发器。

高级设置 - 限制

通过设置限制,可为创建的触发器设置高级规则。设置限制为可选项。

摘要

所有配置选项都显示在此处。查看设置,然后单击完成

任务中,可以看到进度指示器栏状态图标以及每个已创建任务的详细信息