同步化模式 - Active Directory/Open Directory/LDAP
若要建立新的伺服器工作,按一下 [工作] > [新增] > [伺服器工作] 或從樹狀結構選取需要的工作類型,然後按一下 [新增] > [伺服器工作]。
基本
在 [基本] 區段中,輸入有關工作的基本資訊,例如 [名稱] 及 [說明] (選用)。 按一下 [選取標籤] 以指派標籤。
在 [工作] 下拉式功能表中,選取您要建立和配置的工作類型。如果您先選取了特定工作類型,然後才建立新工作,則會依據您之前的選擇來預先選取 [工作]。[工作] (請參閱所有工作清單) 可定義工作的設定與行為。
您也可以從下列工作觸發設定中選取:
•完成後立即執行工作 - 選取此選項,以在您按一下 [完成] 之後自動執行工作。
•配置觸發 - 選取此選項,以啟用可在此配置觸發設定的 [觸發] 區段。
若要留待稍後再設定觸發,請將此核取方塊保留為取消選取。
設定
通用設定
按一下 [靜態群組名稱] 下的 [選取] - 依預設,同步化的電腦會使用執行使用者的家用群組。您也可以建立 [新靜態群組]。
•要同步化的物件 - 可以是 [電腦和群組] 或 [只限電腦]。
•電腦建立衝突處理 - 如果同步化要新增已經是靜態群組成員的電腦,則您可以選取下列一種衝突解決方法:
o略過 (將不新增同步化的電腦)
o移動 (新電腦將移到子群組)
o複製 (新電腦將以不同名稱新增)
•電腦移除處理 - 如果電腦不再存在,您可以移除此電腦或將其略過。
•群組移除處理 - 如果群組不再存在,您可以移除此群組或將其略過。
如果將 [群組移除處理] 設為 [略過],且從 Active Directory 刪除群組 (組織部門),則不會偵測到 ESET PROTECT On-Prem 中屬於群組的電腦,即使您將其 [群組移除處理] 設為 [移除]。 |
•同步化模式 - Active Directory/Open Directory/LDAP
請閱讀知識庫文章,了解在 ESET PROTECT On-Prem 中使用 Active Directory 同步化管理電腦。
伺服器連線設定
如果 ESET PROTECT 伺服器在連線到網域的 Windows 機器上執行,則僅需要 [伺服器] 欄位。 您可以跳過下面的所有其他 Active Directory 配置步驟。如果網域是值得信任的,則可同步化多個網域。 |
•伺服器 - 輸入伺服器名稱或網域控制站的 IP 位址。
•登入 - 以下列格式輸入網域控制站的使用者名稱:
oDOMAIN\username (在 Windows 上執行的 ESET PROTECT 伺服器)
ousername@FULL.DOMAIN.NAME 或 username (在 Linux 上執行的 ESET PROTECT 伺服器)。
請務必以大寫字母輸入網域;需要此格式,才能正確地驗證 Active Directory 伺服器的查詢。 |
•[密碼] - 輸入用來登入網域控制站的密碼。
ESET PROTECT 伺服器 (在 Windows 上) 依預設對所有 Active Directory (AD) 連線使用 LDAPS (用於 SSL 的 LDAP) 通訊協定。您還可以在 ESET PROTECT 虛擬設備上配置 LDAPS。 若要使 AD 成功連線到 LDAPS,請配置以下內容: 1.網域控制站必須已安裝機器憑證。若要為您的網域控制站頒發憑證,請遵循以下步驟: a)開啟 [伺服器管理員],按一下 [管理] > [新增角色和功能],然後安裝 [Active Directory 憑證服務] > [憑證授權單位]。將在受信任的根憑證授權單位中建立新的憑證授權單位。 b)按一下 [伺服器管理員]中的通知 (黃色三角形) 並在目標伺服器上配置 Active Directory 憑證服務。在 [角色服務] 中,選取 [憑證授權單位]。按一下 [下一步] 以完成配置。 c)瀏覽到 [開始] > 輸入 certlm.msc 並按下 [Enter] 以執行 [憑證] Microsoft 管理主控台嵌入式管理單元 > [憑證 - 本機電腦] > [個人] > 滑鼠右鍵按一下空窗格 > [所有工作] > [請求新的憑證] > [註冊網域控制站]角色。 d)驗證發行的憑證是否包含網域控制站的 FQDN。 e)在您的 ESET PROTECT 伺服器上,將您所產生的 CA 匯入至憑證存放區 (使用 certlm.msc 工具) > [本機機器] > [受信任的根憑證授權單位] 資料夾。 f)重新啟動 ESET PROTECT 伺服器電腦。 2.向 AD 伺服器提供連線設定時,請在 [伺服器] 或 [主機] 欄位中輸入網域控制站的 FQDN (如網域控制站證書中所提供)。IP 位址不再足夠 LDAPS 使用。 |
若要啟用以 LDAP 通訊協定遞補,請選取 [使用 LDAP 而非 Active Directory] 核取方塊,然後輸入要和伺服器比對的特定屬性。或者您可以按一下 [選取] 來選取 [預設],系統會自動填入屬性:
•Active Directory
•macOS Server Open Directory (電腦主機名稱)
•macOS Server Open Directory (電腦 IP 位址)
•含有 Samba 電腦記錄的 OpenLDAP - 設定 Active Directory 中的 DNS 名稱參數。
當您選取 [使用 LDAP 取代 Active Directory] 及 [Active Directory] 預設時,您可以從 Active Directory 結構填入電腦詳細資料與屬性。只能使用類型 DirectoryString 的屬性。您可以使用工具 (例如,ADExplorer) 檢查您網域控制站上的屬性。請參閱下表的對應欄位:
電腦詳細資訊欄位 |
同步化工作欄位 |
---|---|
名稱 |
電腦主機名稱屬性 |
說明 |
電腦說明屬性 |
同步化設定
•識別名稱 - Active Directory 樹狀結構中節點的路徑 (識別名稱)。將這個選項保留空白將會同步化整個 AD 樹狀結構。按一下 [識別名稱] 旁的 [瀏覽]。接著會顯示 Active Directory 樹狀結構。選取最上方項目以將所有群組與 ESET PROTECT On-Prem 同步化,或僅選取您要新增的特定群組。只會同步化電腦和組織單位。當您完成時,按一下 [確定]。
確定辨別名稱 1.開啟 Active Directory 使用者與電腦應用程式。 2.按一下 [檢視],然後選取 [進階功能]。 3.以滑鼠右鍵按一下網域 > 按一下 [內容] > 選取 [屬性編輯器] 索引標籤。 4.找到distinguishedName該行其看起來像此範例:DC=ncop,DC=local。 |
•已排除的識別名稱 - 您可以選擇排除 (略過) Active Directory 樹狀結構中的特定節點。
•忽略停用的電腦 (僅限在 Active Directory) - 您可以選擇忽略 Active Directory 中的已停用電腦 (此工作將略過這些電腦)。
如果發生錯誤:Server not found in Kerberos database 按一下 [瀏覽] 之後,使用伺服器的 AD FQDN 取代 IP 位址。 |
從 Linux 伺服器進行同步化
觸發
[觸發] 區段包含可能會執行工作之觸發的相關資訊。每個 [伺服器工作] 可以有最多一個觸發。每一個觸發都只能執行一項 [伺服器工作]。若未在 [基本] 區段內選取 [配置觸發],則不會建立觸發。工作可以不使用觸發來建立。這種工作可以手動執行,或在稍後新增觸發。
進階設定 - 節流
透過設定節流,您可以為已建立的觸發設定進階規則。設定節流為選用。
摘要
此處會顯示所有已配置的選項。檢視設定並按一下 。
在工作中,您可以看到進度指示器欄、狀態圖示以及每個已建立工作的詳細資訊。
您可以執行代理程式部署伺服器工作,以將 ESET Management 代理程式部署至從 Active Directory 同步的電腦。 |