Pomoc online ESET

Wyszukaj Polski
Wybierz kategorię
Wybierz temat

Tryb synchronizacji — Active Directory/Open Directory/LDAP

Aby utworzyć nowe zadanie serwera, kliknij kolejno opcje Zadania > Nowe > add_new_defaultZadanie serwera lub wybierz żądany typ zadania w widoku drzewa i kliknij kolejno opcje Nowe > add_new_defaultZadanie serwera.

Podstawowe

W sekcji Podstawowe wprowadź podstawowe informacje dotyczące zadania, takie jak nazwa i opis (opcjonalnie). Kliknij opcję Wybierz tagi, aby przypisać tagi.
Z menu rozwijanego Zadanie wybierz typ zadania, które chcesz utworzyć i skonfigurować. Jeśli przed utworzeniem nowego zadania wybrano konkretny typ zadania, opcja w menu Zadanie zostaje wstępnie wybrana na podstawie wcześniejszego wyboru. W polu Zadanie (patrz lista wszystkich zadań) określane są ustawienia zadania i jego zachowanie.

Można też wybrać z poniższych ustawień elementów wyzwalających zadania:

Uruchom zadanie natychmiast po ukończeniu — zaznacz tę opcję, aby uruchomić zadanie automatycznie po kliknięciu przycisku Zakończ.

Skonfiguruj element wyzwalający — zaznacz tę opcję, aby uaktywnić sekcję Element wyzwalający umożliwiającą konfigurowanie ustawień elementu wyzwalającego.

Aby ustawić element wyzwalający później, pozostaw pola wyboru niezaznaczone.

Ustawienia

Typowe ustawienia

Kliknij opcję Wybierz w obszarze Nazwa grupy statycznej — domyślnie synchronizowane komputery zostaną umieszczone w grupie domowej wykonującego użytkownika. Można też utworzyć nową grupę statyczną.

Obiekty do synchronizacjikomputery i grupy lub tylko komputery.

Obsługa kolizji przy tworzeniu komputerów — gdy w ramach synchronizacji dodawane są komputery należące już do grupy statycznej, użytkownik ma do wyboru następujące metody rozwiązania konfliktu:

oPomiń (zsynchronizowane komputery nie będą dodawane)

oPrzenieś (nowe komputery będą przenoszone do podgrupy)

oZduplikuj (nowe komputery będą tworzone ze zmodyfikowaną nazwą)

Obsługa wygaśnięcia komputera — jeśli dany komputer już nie istnieje, można użyć w odniesieniu do niego opcji Usuń Pomiń.

Obsługa wygaśnięcia grupy — jeśli dana grupa już nie istnieje, można użyć w odniesieniu do niej opcji Usuń lub Pomiń.

 


important

Jeśli Obsługa wygaśnięcia grupy ma ustawienie Pomiń i usuniesz grupę (jednostkę organizacyjną) z usługi Active Directory, komputery należące do tej grupy nie zostaną usunięte w produkcie ESET PROTECT On-Prem, nawet jeśli ich Obsługa wygaśnięcia komputera ma ustawienie Usuń.

Tryb synchronizacjiActive Directory/Open Directory/LDAP

Zapoznaj się z treścią artykułu w bazie wiedzy dotyczącego zarządzania komputerami za pomocą usługi Active Directory w rozwiązaniu ESET PROTECT On-Prem.

Ustawienia połączenia z serwerem


note

Jeśli serwer ESET PROTECT działa na komputerze z systemem Windows i jest podpięty do domeny, wymagane jest tylko pole Serwer. Wszystkie inne kroki konfiguracji usługi Active Directory poniżej możesz pominąć. Synchronizacja między wieloma domenami jest możliwa, jeśli domeny nawiązały relacje zaufania.

SerwerWpisz nazwę serwera lub adres IP kontrolera domeny.

Zapisz w dziennikuWprowadź nazwę użytkownika kontrolera domeny w następującym formacie:

oDOMAIN\username (Serwer ESET PROTECT z systemem Windows)

ousername@FULL.DOMAIN.NAME lub username (Serwer ESET PROTECT z systemem Linux).


important

Pamiętaj, by wprowadzić domenę wielkimi literami. Takie formatowanie jest niezbędne do prawidłowego uwierzytelnienia zapytań do serwera Active Directory.

Hasło — wpisz hasło używane do logowania do kontrolera domeny.


important

Serwer ESET PROTECT w systemie Windows używa domyślnie szyfrowanego protokołu LDAPS (LDAP przez SSL) do wszystkich połączeń z usługą Active Directory (AD). Można również skonfigurować LDAPS na urządzeniu wirtualnym ESET PROTECT.

Aby zapewnić sprawne połączenie z usługą AD za pomocą protokołu LDAPS, należy dokonać następującej konfiguracji:

1.Kontroler domeny musi mieć zainstalowany certyfikat komputera. Aby wydać certyfikat dla kontrolera domeny, wykonaj poniższe czynności:

a)Otwórz Menedżer serwera, kliknij kolejno pozycje Zarządzaj > Dodaj role i funkcje, a następnie zainstaluj Usługi certyfikatów Active Directory > Urząd certyfikacji. Nowy urząd certyfikacji zostanie utworzony w zaufanych głównych urzędach certyfikacji.

b)Kliknij powiadomienie (żółty trójkąt) w Menedżerze serwera i wybierz polecenie Konfiguruj usługi certyfikatów w usłudze Active Directory na serwerze docelowym. W obszarze Usługi ról wybierz pozycję Urząd certyfikacji. Kliknij Dalej, aby zakończyć konfigurację.

c)Wybierz Start > wpisz certlm.msc i naciśnij Enter, aby uruchomić przystawkę Certyfikaty w programie Microsoft Management Console. Następnie wybierz pozycję Certyfikaty - komputer lokalny > Osobiste > kliknij puste okienko prawym przyciskiem myszy > Wszystkie zadania > Zażądaj nowego certyfikatu > rola Zarejestruj kontroler domeny.

d)Sprawdź, czy wystawiony certyfikat zawiera FQDN kontrolera domeny.

e)Na serwerze ESET PROTECT zaimportuj wygenerowany urząd certyfikacji do magazynu certyfikatów (za pomocą narzędzia certlm.msc) > Komputer > Lokalna maszyna, folder Zaufane główne urzędy certyfikacji użytkowników głównych.

f)Zrestartuj serwer ESET PROTECT.

2.Podczas podawania ustawień połączenia z serwerem usługi AD wpisz FQDN kontrolera domeny (podany w certyfikacie kontrolera domeny) w polu Serwer lub Host. Adres IP nie jest już wystarczający dla LDAPS.

Aby włączyć powrót do protokołu LDAP, zaznacz pole wyboru Użyj protokołu LDAP zamiast usługi Active Directory i wprowadź odpowiednie atrybuty pasujące do serwera. Możesz też wybrać ustawienia wstępne, klikając pozycję Wybierz — atrybuty zostaną wprowadzone automatycznie:

Usługa Active Directory

Usługa Open Directory serwer macOS (nazwy hostów komputerów)

Usługa Open Directory serwer macOS (adresy IP komputerów)

Oprogramowanie OpenLDAP z rekordami komputerowymi w systemie Samba — umożliwia konfigurowanie parametrów nazwy DNS w usłudze Active Directory.

Po wybraniu opcji Użyj protokołu LDAP zamiast usługi Active Directory i wstępnego ustawienia Active Directory można wypełnić szczegóły komputera atrybutami ze struktury usługi Active Directory. Możesz użyć tylko atrybutów typu DirectoryString. Możesz użyć narzędzia (na przykład ADExplorer) do inspekcji atrybutów w kontrolerze domeny. Sprawdź odpowiednie pola w poniższej tabeli:

Pola szczegółów komputera

Pola zadania synchronizacji

Nazwa

Atrybut nazwy hosta komputera

Opis

Atrybut opisu komputera

Ustawienia synchronizacji

Nazwa wyróżniająca — ścieżka (nazwa wyróżniająca) do węzła w ramach drzewa Active Directory. Pozostawienie tej opcji pustej spowoduje synchronizowanie całego drzewa usługi AD. Kliknij przycisk Przeglądaj obok pozycji Nazwa wyróżniająca. Spowoduje to wyświetlenie drzewa Active Directory. Wybierz najwyższy wpis, aby zsynchronizować wszystkie grupy z programem ESET PROTECT On-Prem, lub wybierz tylko określone grupy, które chcesz dodać. Zsynchronizowane zostaną jedynie komputery i jednostki organizacyjne. Po zakończeniu kliknij przycisk OK.


note

Określanie nazwy wyróżniającej

1.Otwórz aplikację Użytkownicy i komputery usługi Active Directory.

2.Kliknij opcję Widok i wybierz Funkcje zaawansowane.

3.Kliknij prawym przyciskiem myszy domenę > kliknij polecenie Właściwości > wybierz kartę Edytor atrybutów.

4.Znajdź distinguishedName wiersz. Powinno to wyglądać tak: DC=ncop,DC=local.

Wykluczone nazwy wyróżniające — można wykluczać (ignorować) określone węzły w ramach drzewa Active Directory.

Ignoruj wyłączone komputery (tylko w usłudze Active Directory) — można wybrać ignorowanie wyłączonych komputerów w ramach usługi Active Directory (co spowoduje pomijanie tych komputerów przy wykonywaniu zadania).


important

W przypadku wystąpienia błędu: Server not found in Kerberos database po kliknięciu opcji Przeglądaj, użyj nazwy FQDN z usługi AD serwera zamiast adresu IP.

arrow_down_business        Synchronizacja z serwera z systemem Linux

Element wyzwalający

Sekcja Element wyzwalający zawiera informacje dotyczące elementów wyzwalających, które służą do uruchamiania zadań. W przypadku każdego zadania serwera można skonfigurować jeden element wyzwalający. Każdy element wyzwalający może obsługiwać tylko jedno zadanie serwera. Jeśli w sekcji Podstawowe nie wybrano opcji Skonfiguruj element wyzwalający, element taki nie zostanie utworzony. Zadanie można utworzyć bez elementu wyzwalającego. Takie zadanie można uruchomić ręcznie lub dodać element wyzwalający później.

Ustawienia zaawansowane — Ograniczanie

Konfigurując ustawienia w sekcji Ograniczanie, można zdefiniować reguły zaawansowane utworzonego elementu wyzwalającego. Skonfigurowanie ograniczania jest opcjonalne.

Podsumowanie

Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i kliknij przycisk Zakończ.

W obszarze Zadania widoczny jest pasek postępu, ikona stanu i szczegóły każdego utworzonego zadania.


note

Można uruchomić zadanie wdrażania agenta na serwerze, aby wdrożyć agenta ESET Management na komputerach zsynchronizowanych z Active Directory.