ESET 線上說明

搜尋 繁體字
選取類別
選取主題

同步化模式 - Active Directory/Open Directory/LDAP

若要建立新的伺服器工作,按一下 [工作] > [新增] > add_new_default[伺服器工作] 或從樹狀結構選取需要的工作類型,然後按一下 [新增] > add_new_default[伺服器工作]

基本

[基本] 區段中,輸入有關工作的基本資訊,例如 [名稱] 及 [說明] (選用)。 按一下 [選取標籤]指派標籤
[工作] 下拉式功能表中,選取您要建立和配置的工作類型。如果您先選取了特定工作類型,然後才建立新工作,則會依據您之前的選擇來預先選取 [工作][工作] (請參閱所有工作清單) 可定義工作的設定與行為。

您也可以從下列工作觸發設定中選取:

完成後立即執行工作 - 選取此選項,以在您按一下 [完成] 之後自動執行工作。

配置觸發 - 選取此選項,以啟用可在此配置觸發設定的 [觸發] 區段。

若要留待稍後再設定觸發,請將此核取方塊保留為取消選取。

設定

通用設定

按一下 [靜態群組名稱] 下的 [選取] - 依預設,同步化的電腦會使用執行使用者的家用群組。您也可以建立 [新靜態群組]

要同步化的物件 - 可以是 [電腦和群組][只限電腦]

電腦建立衝突處理 - 如果同步化要新增已經是靜態群組成員的電腦,則您可以選取下列一種衝突解決方法:

o略過 (將不新增同步化的電腦)

o移動 (新電腦將移到子群組)

o複製 (新電腦將以不同名稱新增)

電腦移除處理 - 如果電腦不再存在,您可以移除此電腦或將其略過

群組移除處理 - 如果群組不再存在,您可以移除此群組或將其略過

 


important

如果將 [群組移除處理] 設為 [略過],且從 Active Directory 刪除群組 (組織部門),則不會偵測到 ESET PROTECT On-Prem 中屬於群組的電腦,即使您將其 [群組移除處理] 設為 [移除]

同步化模式 - Active Directory/Open Directory/LDAP

請閱讀知識庫文章,了解在 ESET PROTECT On-Prem 中使用 Active Directory 同步化管理電腦。

伺服器連線設定


note

如果 ESET PROTECT 伺服器在連線到網域的 Windows 機器上執行,則僅需要 [伺服器] 欄位。 您可以跳過下面的所有其他 Active Directory 配置步驟。如果網域是值得信任的,則可同步化多個網域。

伺服器 - 輸入伺服器名稱或網域控制站的 IP 位址。

登入 - 以下列格式輸入網域控制站的使用者名稱:

oDOMAIN\username (在 Windows 上執行的 ESET PROTECT 伺服器)

ousername@FULL.DOMAIN.NAMEusername (在 Linux 上執行的 ESET PROTECT 伺服器)。


important

請務必以大寫字母輸入網域;需要此格式,才能正確地驗證 Active Directory 伺服器的查詢。

[密碼] - 輸入用來登入網域控制站的密碼。


important

ESET PROTECT 伺服器 (在 Windows 上) 依預設對所有 Active Directory (AD) 連線使用 LDAPS (用於 SSL 的 LDAP) 通訊協定。您還可以在 ESET PROTECT 虛擬設備上配置 LDAPS

若要使 AD 成功連線到 LDAPS,請配置以下內容:

1.網域控制站必須已安裝機器憑證。若要為您的網域控制站頒發憑證,請遵循以下步驟:

a)開啟 [伺服器管理員],按一下 [管理] > [新增角色和功能],然後安裝 [Active Directory 憑證服務] > [憑證授權單位]。將在受信任的根憑證授權單位中建立新的憑證授權單位。

b)按一下 [伺服器管理員]中的通知 (黃色三角形) 並在目標伺服器上配置 Active Directory 憑證服務。在 [角色服務] 中,選取 [憑證授權單位]。按一下 [下一步] 以完成配置。

c)瀏覽到 [開始] > 輸入 certlm.msc 並按下 [Enter] 以執行 [憑證] Microsoft 管理主控台嵌入式管理單元 > [憑證 - 本機電腦] > [個人] > 滑鼠右鍵按一下空窗格 > [所有工作] > [請求新的憑證] > [註冊網域控制站]角色。

d)驗證發行的憑證是否包含網域控制站的 FQDN

e)在您的 ESET PROTECT 伺服器上,將您所產生的 CA 匯入至憑證存放區 (使用 certlm.msc 工具) > [本機機器] > [受信任的根憑證授權單位] 資料夾。

f)重新啟動 ESET PROTECT 伺服器電腦。

2.向 AD 伺服器提供連線設定時,請在 [伺服器][主機] 欄位中輸入網域控制站的 FQDN (如網域控制站證書中所提供)。IP 位址不再足夠 LDAPS 使用。

若要啟用以 LDAP 通訊協定遞補,請選取 [使用 LDAP 而非 Active Directory] 核取方塊,然後輸入要和伺服器比對的特定屬性。或者您可以按一下 [選取] 來選取 [預設],系統會自動填入屬性:

Active Directory

macOS Server Open Directory (電腦主機名稱)

macOS Server Open Directory (電腦 IP 位址)

含有 Samba 電腦記錄的 OpenLDAP - 設定 Active Directory 中的 DNS 名稱參數。

當您選取 [使用 LDAP 取代 Active Directory][Active Directory] 預設時,您可以從 Active Directory 結構填入電腦詳細資料與屬性。只能使用類型 DirectoryString 的屬性。您可以使用工具 (例如,ADExplorer) 檢查您網域控制站上的屬性。請參閱下表的對應欄位:

電腦詳細資訊欄位

同步化工作欄位

名稱

電腦主機名稱屬性

說明

電腦說明屬性

同步化設定

識別名稱 - Active Directory 樹狀結構中節點的路徑 (識別名稱)。將這個選項保留空白將會同步化整個 AD 樹狀結構。按一下 [識別名稱] 旁的 [瀏覽]。接著會顯示 Active Directory 樹狀結構。選取最上方項目以將所有群組與 ESET PROTECT On-Prem 同步化,或僅選取您要新增的特定群組。只會同步化電腦和組織單位。當您完成時,按一下 [確定]


note

確定辨別名稱

1.開啟 Active Directory 使用者與電腦應用程式。

2.按一下 [檢視],然後選取 [進階功能]

3.以滑鼠右鍵按一下網域 > 按一下 [內容] > 選取 [屬性編輯器] 索引標籤。

4.找到distinguishedName該行其看起來像此範例:DC=ncop,DC=local

已排除的識別名稱 - 您可以選擇排除 (略過) Active Directory 樹狀結構中的特定節點。

忽略停用的電腦 (僅限在 Active Directory) - 您可以選擇忽略 Active Directory 中的已停用電腦 (此工作將略過這些電腦)。


important

如果發生錯誤:Server not found in Kerberos database 按一下 [瀏覽] 之後,使用伺服器的 AD FQDN 取代 IP 位址。

arrow_down_business        從 Linux 伺服器進行同步化

觸發

[觸發] 區段包含可能會執行工作之觸發的相關資訊。每個 [伺服器工作] 可以有最多一個觸發。每一個觸發都只能執行一項 [伺服器工作]。若未在 [基本] 區段內選取 [配置觸發],則不會建立觸發。工作可以不使用觸發來建立。這種工作可以手動執行,或在稍後新增觸發。

進階設定 - 節流

透過設定節流,您可以為已建立的觸發設定進階規則。設定節流為選用。

摘要

此處會顯示所有已配置的選項。檢視設定並按一下

工作中,您可以看到進度指示器欄狀態圖示以及每個已建立工作的詳細資訊


note

您可以執行代理程式部署伺服器工作,以將 ESET Management 代理程式部署至從 Active Directory 同步的電腦。