ESET 線上說明

搜尋 English
選取類別
選取主題

使用者同步處理

此伺服器工作會同步處理來自 Active Directory、LDAP 參數等來源的使用者和使用者群組資訊。

若要建立新的伺服器工作,按一下 [工作] > [新增] > add_new_default[伺服器工作] 或從樹狀結構選取需要的工作類型,然後按一下 [新增] > add_new_default[伺服器工作]

基本

[基本] 區段中,輸入有關工作的基本資訊,例如 [名稱] 及 [說明] (選用)。 按一下 [選取標籤]指派標籤
[工作] 下拉式功能表中,選取您要建立和配置的工作類型。如果您先選取了特定工作類型,然後才建立新工作,則會依據您之前的選擇來預先選取 [工作][工作] (請參閱所有工作清單) 可定義工作的設定與行為。

您也可以從下列工作觸發設定中選取:

完成後立即執行工作 - 選取此選項,以在您按一下 [完成] 之後自動執行工作。

配置觸發 - 選取此選項,以啟用可在此配置觸發設定的 [觸發] 區段。

若要留待稍後再設定觸發,請將此核取方塊保留為取消選取。

設定

通用設定

使用者群組名稱 - 依預設,將使用已同步化使用者的根目錄 (預設為 [全部] 群組)。您也可以建立新的使用者群組。

[使用者建立衝突處理] - 可能出現的兩種衝突類型:

同一個群組中有兩個相同名稱的使用者。

有一位現有的使用者使用相同的 SID (系統中的任一處)。

您可以將衝突處理設定為:

略過 - 使用者不會在與 Active Directory 同步化期間新增至 ESET PROTECT On-Prem。

[覆寫] - Active Directory 中的使用者會覆寫 ESET PROTECT On-Prem 中的現有使用者,因此當 SID 發生衝突時,ESET PROTECT On-Prem 中的現有使用者會從其先前的位置移除 (即使該使用者位於不同的群組)。

使用者移除處理 - 如果使用者不再存在,您可以 [移除] 此使用者或將其 [略過]

使用者群組移除處理 - 如果使用者群組不再存在,您可以 [移除] 此使用者群組或將其 [略過]


note

如果您使用自訂屬性讓使用者將 [使用者建立衝突處理] 設定為 [略過]。否則,Active Directory 中的資料會覆寫使用者 (和所有詳細資訊),使其失去自訂屬性。如果您想要覆寫使用者,請將 [使用者移除處理] 變更為 [略過]

伺服器連線設定


note

如果 ESET PROTECT 伺服器在連線到網域的 Windows 機器上執行,則僅需要 [伺服器] 欄位。 您可以跳過下面的所有其他 Active Directory 配置步驟。如果網域是值得信任的,則可同步化多個網域。

伺服器 - 輸入伺服器名稱或網域控制站的 IP 位址。

登入 - 以下列格式輸入網域控制站的使用者名稱:

oDOMAIN\username (在 Windows 上執行的 ESET PROTECT 伺服器)

ousername@FULL.DOMAIN.NAMEusername (在 Linux 上執行的 ESET PROTECT 伺服器)。


important

請務必以大寫字母輸入網域;需要此格式,才能正確地驗證 Active Directory 伺服器的查詢。

[密碼] - 輸入用來登入網域控制站的密碼。


important

ESET PROTECT 伺服器 (在 Windows 上) 依預設對所有 Active Directory (AD) 連線使用 LDAPS (用於 SSL 的 LDAP) 通訊協定。您還可以在 ESET PROTECT 虛擬設備上配置 LDAPS

若要使 AD 成功連線到 LDAPS,請配置以下內容:

1.網域控制站必須已安裝機器憑證。若要為您的網域控制站頒發憑證,請遵循以下步驟:

a)開啟 [伺服器管理員],按一下 [管理] > [新增角色和功能],然後安裝 [Active Directory 憑證服務] > [憑證授權單位]。將在受信任的根憑證授權單位中建立新的憑證授權單位。

b)按一下 [伺服器管理員]中的通知 (黃色三角形) 並在目標伺服器上配置 Active Directory 憑證服務。在 [角色服務] 中,選取 [憑證授權單位]。按一下 [下一步] 以完成配置。

c)瀏覽到 [開始] > 輸入 certlm.msc 並按下 [Enter] 以執行 [憑證] Microsoft 管理主控台嵌入式管理單元 > [憑證 - 本機電腦] > [個人] > 滑鼠右鍵按一下空窗格 > [所有工作] > [請求新的憑證] > [註冊網域控制站]角色。

d)驗證發行的憑證是否包含網域控制站的 FQDN

e)在您的 ESET PROTECT 伺服器上,將您所產生的 CA 匯入至憑證存放區 (使用 certlm.msc 工具) > [本機機器] > [受信任的根憑證授權單位] 資料夾。

f)重新啟動 ESET PROTECT 伺服器電腦。

2.向 AD 伺服器提供連線設定時,請在 [伺服器][主機] 欄位中輸入網域控制站的 FQDN (如網域控制站證書中所提供)。IP 位址不再足夠 LDAPS 使用。

若要啟用以 LDAP 通訊協定遞補,請選取 [使用 LDAP 而非 Active Directory] 核取方塊,然後輸入要和伺服器比對的特定屬性。或者您可以按一下 [選取] 來選取 [預設],系統會自動填入屬性:

Active Directory

macOS Server Open Directory (電腦主機名稱)

含有 Samba 電腦記錄的 OpenLDAP - 設定 Active Directory 中的 DNS 名稱參數。

同步化設定

識別名稱 - Active Directory 樹狀結構中節點的路徑 (識別名稱)。將這個選項保留空白將會同步化整個 AD 樹狀結構。按一下 [識別名稱] 旁的 [瀏覽]。接著會顯示 Active Directory 樹狀結構。選取最上方項目以將所有群組與 ESET PROTECT On-Prem 同步化,或僅選取您要新增的特定群組。只會同步化電腦和組織單位。當您完成時,按一下 [確定]


note

確定辨別名稱

1.開啟 Active Directory 使用者與電腦應用程式。

2.按一下 [檢視],然後選取 [進階功能]

3.以滑鼠右鍵按一下網域 > 按一下 [內容] > 選取 [屬性編輯器] 索引標籤。

4.找到distinguishedName該行其看起來像此範例:DC=ncop,DC=local

使用者群組和使用者屬性 - 使用者預設屬性特別提供使用者所屬目錄使用。如果您想要同步化 Active Directory 屬性,請從適當欄位的下拉式功能表中選取 AD 參數,或者輸入屬性的自訂名稱。每個已同步化的欄位旁邊為 ESET PROTECT On-Prem 預留位置 (例如:${display_name}),其會在特定的 ESET PROTECT On-Prem 原則設定中代表此屬性。


important

如果發生錯誤:Server not found in Kerberos database 按一下 [瀏覽] 之後,使用伺服器的 AD FQDN 取代 IP 位址。

觸發

[觸發] 區段包含可能會執行工作之觸發的相關資訊。每個 [伺服器工作] 可以有最多一個觸發。每一個觸發都只能執行一項 [伺服器工作]。若未在 [基本] 區段內選取 [配置觸發],則不會建立觸發。工作可以不使用觸發來建立。這種工作可以手動執行,或在稍後新增觸發。

進階設定 - 節流

透過設定節流,您可以為已建立的觸發設定進階規則。設定節流為選用。

摘要

此處會顯示所有已配置的選項。檢視設定並按一下

工作中,您可以看到進度指示器欄狀態圖示以及每個已建立工作的詳細資訊