使用者同步處理
此伺服器工作會同步處理來自 Active Directory、LDAP 參數等來源的使用者和使用者群組資訊。
若要建立新的伺服器工作,按一下 [工作] > [新增] > 
[伺服器工作] 或在左側選取需要的工作類型,然後按一下 [新增] > [伺服器工作]。
基本
在 [基本] 區段中,輸入有關工作的基本資訊,例如 [名稱] 及 [說明] (選用)。 按一下 [選取標籤] 以指派標籤。
在 [工作] 下拉式功能表中,選取您要建立和配置的工作類型。如果您先選取了特定工作類型,然後才建立新工作,則會依據您之前的選擇來預先選取 [工作]。[工作] (請參閱所有工作清單) 可定義工作的設定與行為。
您也可以從下列工作觸發設定中選取:
•完成後立即執行工作 - 選取此選項,以在您按一下 [完成] 之後自動執行工作。
•配置觸發 - 選取此選項,以啟用可在此配置觸發設定的 [觸發] 區段。
若要留待稍後再設定觸發,請將此核取方塊保留為取消選取。
設定
通用設定
使用者群組名稱 - 依預設,將使用已同步化使用者的根目錄 (預設為 [全部] 群組)。您也可以建立新的使用者群組。
[使用者建立衝突處理] - 可能出現的兩種衝突類型:
•同一個群組中有兩個相同名稱的使用者。
•有一位現有的使用者使用相同的 SID (系統中的任一處)。
您可以將衝突處理設定為:
•略過 - 使用者不會在與 Active Directory 同步化期間新增至 ESET PROTECT On-Prem。
•[覆寫] - Active Directory 中的使用者會覆寫 ESET PROTECT On-Prem 中的現有使用者,因此當 SID 發生衝突時,ESET PROTECT On-Prem 中的現有使用者會從其先前的位置移除 (即使該使用者位於不同的群組)。
使用者移除處理 - 如果使用者不再存在,您可以 [移除] 此使用者或將其 [略過]。
使用者群組移除處理 - 如果使用者群組不再存在,您可以 [移除] 此使用者群組或將其 [略過]。
|
如果您使用自訂屬性讓使用者將 [使用者建立衝突處理] 設定為 [略過]。否則,Active Directory 中的資料會覆寫使用者 (和所有詳細資訊),使其失去自訂屬性。如果您想要覆寫使用者,請將 [使用者移除處理] 變更為 [略過]。 |
伺服器連線設定
•伺服器 - 輸入伺服器名稱或網域控制站的 IP 位址。
•登入 - 以下列格式輸入網域控制站的使用者名稱:
oDOMAIN\username (在 Windows 上執行的 ESET PROTECT 伺服器)
ousername@FULL.DOMAIN.NAME 或 username (在 Linux 上執行的 ESET PROTECT 伺服器)。
|
請務必以大寫字母輸入網域;需要此格式,才能正確地驗證 Active Directory 伺服器的查詢。 |
•[密碼] - 輸入用來登入網域控制站的密碼。
|
ESET PROTECT 伺服器 (在 Windows 上) 依預設對所有 Active Directory (AD) 連線使用 LDAPS (用於 SSL 的 LDAP) 通訊協定。您還可以在 ESET PROTECT 虛擬設備上配置 LDAPS。 若要使 AD 成功連線到 LDAPS,請配置以下內容: 1.網域控制站必須已安裝機器憑證。若要為您的網域控制站頒發憑證,請遵循以下步驟: a)開啟 [伺服器管理員],按一下 [管理] > [新增角色和功能],然後安裝 [Active Directory 憑證服務] > [憑證授權單位]。將在受信任的根憑證授權單位中建立新的憑證授權單位。 b)瀏覽到 [開始] > 輸入 certlm.msc 並按 Enter 以執行 [憑證] Microsoft Management Console 嵌入式管理單元 > [憑證 - 本機電腦] > [個人] > 滑鼠右鍵按一下空窗格 > [所有工作] > [請求新的憑證] > [註冊網域控制站]角色。 c)驗證頒發的憑證是否包含 FQDN 網域控制站的憑證。 d)在您的 ESET PROTECT 伺服器上,將產生的 CA (使用 certlm.msc 工具) 匯入到憑證存放區受信任的 CA 資料夾。 2.向 AD 伺服器提供連線設定時,請在 [伺服器] 或 [主機] 欄位中輸入網域控制站的 FQDN (如網域控制站證書中所提供)。IP 位址不再足夠 LDAPS 使用。 |
若要啟用以 LDAP 通訊協定遞補,請選取 [使用 LDAP 而非 Active Directory] 核取方塊,然後輸入要和伺服器比對的特定屬性。或者您可以按一下 [選取] 來選取 [預設],系統會自動填入屬性:
•Active Directory
•macOS Server Open Directory (電腦主機名稱)
•含有 Samba 電腦記錄的 OpenLDAP - 設定 Active Directory 中的 DNS 名稱參數。
同步化設定
•識別名稱 - Active Directory 樹狀結構中節點的路徑 (識別名稱)。將這個選項保留空白將會同步化整個 AD 樹狀結構。按一下 [識別名稱] 旁的 [瀏覽]。接著會顯示 Active Directory 樹狀結構。選取最上方項目以將所有群組與 ESET PROTECT On-Prem 同步化,或僅選取您要新增的特定群組。只會同步化電腦和組織單位。當您完成時,按一下 [確定]。
|
確定辨別名稱 1.開啟 Active Directory 使用者與電腦應用程式。 2.按一下 [檢視],然後選取 [進階功能]。 3.以滑鼠右鍵按一下網域 > 按一下 [內容] > 選取 [屬性編輯器] 索引標籤。 4.找到distinguishedName該行其看起來像此範例:DC=ncop,DC=local。 |
•使用者群組和使用者屬性 - 使用者預設屬性特別提供使用者所屬目錄使用。如果您想要同步化 Active Directory 屬性,請從適當欄位的下拉式功能表中選取 AD 參數,或者輸入屬性的自訂名稱。每個已同步化的欄位旁邊為 ESET PROTECT On-Prem 預留位置 (例如:${display_name}),其會在特定的 ESET PROTECT On-Prem 原則設定中代表此屬性。
•進階使用者屬性 - 如果想要使用進階使用者屬性,請選取 [新增]。這些欄位將繼承使用者的資訊,在 iOS MDM 的原則編輯器中系統會將此欄位處理成預留位置。
|
如果發生錯誤:Server not found in Kerberos database 按一下 [瀏覽] 之後,使用伺服器的 AD FQDN 取代 IP 位址。 |
觸發
[觸發] 區段包含可能會執行工作之觸發的相關資訊。每個 [伺服器工作] 可以有最多一個觸發。每一個觸發都只能執行一項 [伺服器工作]。若未在 [基本] 區段內選取 [配置觸發],則不會建立觸發。工作可以不使用觸發來建立。這種工作可以手動執行,或在稍後新增觸發。
進階設定 - 節流
透過設定節流,您可以為已建立的觸發設定進階規則。設定節流為選用。
摘要
此處會顯示所有已配置的選項。檢視設定並按一下 。