Tryb synchronizacji — Active Directory/Open Directory/LDAP
Aby utworzyć nowe zadanie serwera, kliknij kolejno opcje Zadania > Nowe > Zadanie serwera lub wybierz żądany typ zadania w widoku drzewa i kliknij kolejno opcje Nowe > Zadanie serwera.
Podstawowe
W sekcji Podstawowe wprowadź podstawowe informacje dotyczące zadania, takie jak nazwa i opis (opcjonalnie). Kliknij opcję Wybierz tagi, aby przypisać tagi.
Z menu rozwijanego Zadanie wybierz typ zadania, które chcesz utworzyć i skonfigurować. Jeśli przed utworzeniem nowego zadania wybrano konkretny typ zadania, opcja w menu Zadanie zostaje wstępnie wybrana na podstawie wcześniejszego wyboru. W polu Zadanie (patrz lista wszystkich zadań) określane są ustawienia zadania i jego zachowanie.
Można też wybrać z poniższych ustawień elementów wyzwalających zadania:
•Uruchom zadanie natychmiast po ukończeniu — zaznacz tę opcję, aby uruchomić zadanie automatycznie po kliknięciu przycisku Zakończ.
•Skonfiguruj element wyzwalający — zaznacz tę opcję, aby uaktywnić sekcję Element wyzwalający umożliwiającą konfigurowanie ustawień elementu wyzwalającego.
Aby ustawić element wyzwalający później, pozostaw pola wyboru niezaznaczone.
Ustawienia
Typowe ustawienia
Kliknij opcję Wybierz w obszarze Nazwa grupy statycznej — domyślnie synchronizowane komputery zostaną umieszczone w grupie domowej wykonującego użytkownika. Można też utworzyć nową grupę statyczną.
•Obiekty do synchronizacji — komputery i grupy lub tylko komputery.
•Obsługa kolizji przy tworzeniu komputerów — gdy w ramach synchronizacji dodawane są komputery należące już do grupy statycznej, użytkownik ma do wyboru następujące metody rozwiązania konfliktu:
oPomiń (zsynchronizowane komputery nie będą dodawane)
oPrzenieś (nowe komputery będą przenoszone do podgrupy)
oZduplikuj (nowe komputery będą tworzone ze zmodyfikowaną nazwą)
•Obsługa wygaśnięcia komputera — jeśli dany komputer już nie istnieje, można użyć w odniesieniu do niego opcji Usuń Pomiń.
•Obsługa wygaśnięcia grupy — jeśli dana grupa już nie istnieje, można użyć w odniesieniu do niej opcji Usuń lub Pomiń.
Jeśli Obsługa wygaśnięcia grupy ma ustawienie Pomiń i usuniesz grupę (jednostkę organizacyjną) z usługi Active Directory, komputery należące do tej grupy nie zostaną usunięte w produkcie ESET PROTECT On-Prem, nawet jeśli ich Obsługa wygaśnięcia komputera ma ustawienie Usuń. |
•Tryb synchronizacji — Active Directory/Open Directory/LDAP
Zapoznaj się z treścią artykułu w bazie wiedzy dotyczącego zarządzania komputerami za pomocą usługi Active Directory w rozwiązaniu ESET PROTECT On-Prem.
Ustawienia połączenia z serwerem
Jeśli serwer ESET PROTECT działa na komputerze z systemem Windows i jest podpięty do domeny, wymagane jest tylko pole Serwer. Wszystkie inne kroki konfiguracji usługi Active Directory poniżej możesz pominąć. Synchronizacja między wieloma domenami jest możliwa, jeśli domeny nawiązały relacje zaufania. |
•Serwer — Wpisz nazwę serwera lub adres IP kontrolera domeny.
•Zapisz w dzienniku — Wprowadź nazwę użytkownika kontrolera domeny w następującym formacie:
oDOMAIN\username (Serwer ESET PROTECT z systemem Windows)
ousername@FULL.DOMAIN.NAME lub username (Serwer ESET PROTECT z systemem Linux).
Pamiętaj, by wprowadzić domenę wielkimi literami. Takie formatowanie jest niezbędne do prawidłowego uwierzytelnienia zapytań do serwera Active Directory. |
•Hasło — wpisz hasło używane do logowania do kontrolera domeny.
Serwer ESET PROTECT w systemie Windows używa domyślnie szyfrowanego protokołu LDAPS (LDAP przez SSL) do wszystkich połączeń z usługą Active Directory (AD). Można również skonfigurować LDAPS na urządzeniu wirtualnym ESET PROTECT. Aby zapewnić sprawne połączenie z usługą AD za pomocą protokołu LDAPS, należy dokonać następującej konfiguracji: 1.Kontroler domeny musi mieć zainstalowany certyfikat komputera. Aby wydać certyfikat dla kontrolera domeny, wykonaj poniższe czynności: a)Otwórz Menedżer serwera, kliknij kolejno pozycje Zarządzaj > Dodaj role i funkcje, a następnie zainstaluj Usługi certyfikatów Active Directory > Urząd certyfikacji. Nowy urząd certyfikacji zostanie utworzony w zaufanych głównych urzędach certyfikacji. b)Kliknij powiadomienie (żółty trójkąt) w Menedżerze serwera i wybierz polecenie Konfiguruj usługi certyfikatów w usłudze Active Directory na serwerze docelowym. W obszarze Usługi ról wybierz pozycję Urząd certyfikacji. Kliknij Dalej, aby zakończyć konfigurację. c)Wybierz Start > wpisz certlm.msc i naciśnij Enter, aby uruchomić przystawkę Certyfikaty w programie Microsoft Management Console. Następnie wybierz pozycję Certyfikaty - komputer lokalny > Osobiste > kliknij puste okienko prawym przyciskiem myszy > Wszystkie zadania > Zażądaj nowego certyfikatu > rola Zarejestruj kontroler domeny. d)Sprawdź, czy wystawiony certyfikat zawiera FQDN kontrolera domeny. e)Na serwerze ESET PROTECT zaimportuj wygenerowany urząd certyfikacji do magazynu certyfikatów (za pomocą narzędzia certlm.msc) > Komputer > Lokalna maszyna, folder Zaufane główne urzędy certyfikacji użytkowników głównych. f)Zrestartuj serwer ESET PROTECT. 2.Podczas podawania ustawień połączenia z serwerem usługi AD wpisz FQDN kontrolera domeny (podany w certyfikacie kontrolera domeny) w polu Serwer lub Host. Adres IP nie jest już wystarczający dla LDAPS. |
Aby włączyć powrót do protokołu LDAP, zaznacz pole wyboru Użyj protokołu LDAP zamiast usługi Active Directory i wprowadź odpowiednie atrybuty pasujące do serwera. Możesz też wybrać ustawienia wstępne, klikając pozycję Wybierz — atrybuty zostaną wprowadzone automatycznie:
•Usługa Active Directory
•Usługa Open Directory serwer macOS (nazwy hostów komputerów)
•Usługa Open Directory serwer macOS (adresy IP komputerów)
•Oprogramowanie OpenLDAP z rekordami komputerowymi w systemie Samba — umożliwia konfigurowanie parametrów nazwy DNS w usłudze Active Directory.
Po wybraniu opcji Użyj protokołu LDAP zamiast usługi Active Directory i wstępnego ustawienia Active Directory można wypełnić szczegóły komputera atrybutami ze struktury usługi Active Directory. Możesz użyć tylko atrybutów typu DirectoryString. Możesz użyć narzędzia (na przykład ADExplorer) do inspekcji atrybutów w kontrolerze domeny. Sprawdź odpowiednie pola w poniższej tabeli:
Pola szczegółów komputera |
Pola zadania synchronizacji |
---|---|
Nazwa |
Atrybut nazwy hosta komputera |
Opis |
Atrybut opisu komputera |
Ustawienia synchronizacji
•Nazwa wyróżniająca — ścieżka (nazwa wyróżniająca) do węzła w ramach drzewa Active Directory. Pozostawienie tej opcji pustej spowoduje synchronizowanie całego drzewa usługi AD. Kliknij przycisk Przeglądaj obok pozycji Nazwa wyróżniająca. Spowoduje to wyświetlenie drzewa Active Directory. Wybierz najwyższy wpis, aby zsynchronizować wszystkie grupy z programem ESET PROTECT On-Prem, lub wybierz tylko określone grupy, które chcesz dodać. Zsynchronizowane zostaną jedynie komputery i jednostki organizacyjne. Po zakończeniu kliknij przycisk OK.
Określanie nazwy wyróżniającej 1.Otwórz aplikację Użytkownicy i komputery usługi Active Directory. 2.Kliknij opcję Widok i wybierz Funkcje zaawansowane. 3.Kliknij prawym przyciskiem myszy domenę > kliknij polecenie Właściwości > wybierz kartę Edytor atrybutów. 4.Znajdź distinguishedName wiersz. Powinno to wyglądać tak: DC=ncop,DC=local. |
•Wykluczone nazwy wyróżniające — można wykluczać (ignorować) określone węzły w ramach drzewa Active Directory.
•Ignoruj wyłączone komputery (tylko w usłudze Active Directory) — można wybrać ignorowanie wyłączonych komputerów w ramach usługi Active Directory (co spowoduje pomijanie tych komputerów przy wykonywaniu zadania).
W przypadku wystąpienia błędu: Server not found in Kerberos database po kliknięciu opcji Przeglądaj, użyj nazwy FQDN z usługi AD serwera zamiast adresu IP. |
Synchronizacja z serwera z systemem Linux
Element wyzwalający
Sekcja Element wyzwalający zawiera informacje dotyczące elementów wyzwalających, które służą do uruchamiania zadań. W przypadku każdego zadania serwera można skonfigurować jeden element wyzwalający. Każdy element wyzwalający może obsługiwać tylko jedno zadanie serwera. Jeśli w sekcji Podstawowe nie wybrano opcji Skonfiguruj element wyzwalający, element taki nie zostanie utworzony. Zadanie można utworzyć bez elementu wyzwalającego. Takie zadanie można uruchomić ręcznie lub dodać element wyzwalający później.
Ustawienia zaawansowane — Ograniczanie
Konfigurując ustawienia w sekcji Ograniczanie, można zdefiniować reguły zaawansowane utworzonego elementu wyzwalającego. Skonfigurowanie ograniczania jest opcjonalne.
Podsumowanie
Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i kliknij przycisk Zakończ.
W obszarze Zadania widoczny jest pasek postępu, ikona stanu i szczegóły każdego utworzonego zadania.
Można uruchomić zadanie wdrażania agenta na serwerze, aby wdrożyć agenta ESET Management na komputerach zsynchronizowanych z Active Directory. |