ユーザー同期
このサーバータスクは、Active Directory、LDAPパラメーターなどのソースのユーザーおよびユーザーグループ情報を同期します。
新しいサーバータスクを作成するには、タスク > 新規作成 > サーバータスクをクリックするか、左側で任意のタスクタイプを選択して、新規作成 > サーバータスクをクリックします。
基本
基本セクションで、名前や説明(任意)などのタスクに関する基本情報を入力します。 タグを選択をクリックして、タグを割り当てます。
タスクドロップダウンメニューで、作成および設定するタスクタイプを選択します。新しいタスクを作成する前に、特定のタスクタイプを選択した場合、前回の選択に基づいて、タスクがあらかじめ選択されます。タスク(すべてのタスクの一覧を参照)は、タスクの設定と動作を定義します。
次のタスクトリガー設定から選択できます。
•完了後ただちにタスクを実行 - このオプションをオンにし、[完了]をクリックした後にタスクを自動的に実行します。
•トリガーの設定 - チェックボックスをオンにし、トリガーセクションを有効にして、トリガー設定を構成できます。
後でトリガーを設定するには、このチェックボックスをオフにします。
設定
共通設定
ユーザーグループ名 - 既定では、同期されたユーザーのルートが使用されます(既定ではこれはすべてグループ)。あるいは、新しいユーザーグループを作成できます。
ユーザー作成の競合処理 - 2つのタイプの競合が発生する可能性があります。
•同じグループに同じ名前のユーザーが2人いる。
•同じSIDの既存のユーザーがいる(システムの任意の場所)。
次の方法で競合処理を設定できます。
•スキップ - ユーザーは、Active Directoryとの同期中にESET PROTECT に追加されません。
•上書きESET PROTECT の既存のユーザーはActive Directoryのユーザーによって上書きされます。SID競合の場合、ESET PROTECT の既存のユーザーは前の場所から削除されます(ユーザーが別のグループにいた場合でも)。
ユーザー消去処理 - ユーザーが存在しない場合は、このユーザーを削除するか、スキップします。
ユーザーグループ消去処理 - ユーザーが存在しない場合は、このユーザーグループを削除するか、スキップします。
ユーザーのカスタム属性を使用する場合は、[ユーザー作成の競合処理]を[スキップ]に設定します。そうでない場合、ユーザー(とすべての詳細)は、Active Directoryのデータで上書きされ、カスタム属性が失われます。ユーザーを上書きする場合は、ユーザー消去処理をスキップに変更します。 |
サーバー接続設定
•サーバー: ドメインコントローラのサーバー名またはIPアドレスを入力します。
•ログイン: 次の形式でドメインコントローラーのユーザー名を入力します。
oDOMAIN\username (Windowsで実行中のESET PROTECT Server)
ousername@FULL.DOMAIN.NAMEまたはusername (Linuxで実行中のESET PROTECT Server)
ドメイン名は必ず大文字で入力してください。クエリを正常にActive Directoryサーバーで認証するには、この形式が必要です。 |
•パスワード - ドメインコントローラにログインするためのパスワードを入力します。
既定では、WindowsのESET PROTECTサーバー9.1は、すべてのActive Directory (AD)接続で、暗号化されたLDAPS (SSLを使用したLDAP)プロトコルを使用します。 ESET PROTECT仮想アプライアンスでLDAPSを設定することもできます。 LDAPSでAD接続を正常に実行するために、次の項目を設定します。 1.ドメインコントローラーには、コンピューター証明書をインストールしている必要があります。ドメインコントローラーの証明書を発行するには、次の手順を実行します。 a)サーバーマネージャーを開き、管理 > 役割と機能の追加をクリックして、Active Directory証明書サービス > 認証局をインストールします。新しい認証局が信頼できるルート認証局に作成されます。 b)スタートからcertmgr.mscと入力し、Enterを押して、証明書Microsoft管理コンソールスナップインを実行 > 証明書 - ローカルコンピューター > 個人に移動して、空のウィンドウを右クリックし、すべてのタスク > 新しい証明書の要求 > ドメインコントローラーの登録ロールをクリックします。 c)FQDNのドメインコントローラーが発行された証明書に含まれていることを確認します。 d)ESMCサーバーで、生成したCAを証明書ストアにインポート(certmgr.mscツールを使用)し、信頼できるCAフォルダーにインポートします。
2.ADサーバーに接続設定を入力するときには、サーバーまたはホストフィールドに、ドメインコントローラーのFQDNを(ドメインコントローラー証明書の記載のとおりに)入力します。LDAPSでは、IPアドレスは十分な情報ではありません。 |
LDAPプロトコルへのフォールバックを有効にする場合は、Active Directoryの代わりにLDAPを使用するの横のチェックボックスを選択し、サーバーと一致する固有の属性を入力します。あるいは、選択をクリックしてプリセットを選択すると、属性が自動的に入力されます。
•Active Directory
•Mac OS X Server Open Directory (コンピューターホスト名)
•SambaのOpenLDAPコンピューターレコード- パラメーターActive DirectoryのDNS名を設定します。
同期設定
•識別名 - Active Directoryツリーのノードへのパス(識別名)。このオプションを空欄にすると、ADツリー全体を同期します。識別名の横の参照をクリックします。Active Directoryツリーが表示されます。最上位のエントリを選択してすべてのグループをESET PROTECTと同期するか、追加する特定のグループのみを選択します。コンピューターと組織単位のみが同期されます。完了したら、[OK]をクリックします。
識別名を決定 1.Active Directoryユーザーとコンピューターアプリケーションを開きます。 2.表示をクリックして、詳細機能を選択します。 3.ドメインを右クリックして、プロパティをクリックし、属性エディタータブを選択します。 4.次のdistinguishedName行を見つけ、この例のようになります。DC=ncop,DC=local |
•ユーザーグループとユーザー属性 - ユーザーの既定の属性は、ユーザーが属するディレクトリ固有です。Active Directory属性を同期する場合は、該当するフィールドのドロップダウンメニューからADパラメーターを選択するか、属性のカスタム名を入力します。同期された各フィールドの横には、ESET PROTECTプレースホルダー(例:${display_name})があり、特定のESET PROTECTポリシー設定のこの属性を表します。
•詳細ユーザー属性 - 詳細カスタム属性を使用する場合は、[新規追加]を選択します。このフィールドはユーザー情報を継承し、iOS MDM用のポリシーエディターでプレースホルダとして処理できます。
エラーの場合: Server not found in Kerberos database 参照をクリックした後、IPアドレスではなく、サーバーのAD FQDNを使用します。 |
トリガー
トリガーセクションには、タスクを実行するトリガーの情報があります。各サーバータスクは、トリガーのみを設定できます。各トリガーは1つのサーバータスクのみを実行できます。トリガーの設定が基本セクションで選択されていない場合、トリガーは作成されません。タスクはトリガーがなくても作成できます。このようなタスクは後から手動で実行するか、トリガーを後から追加できます。
詳細設定 - 調整
調整を設定すると、作成されたトリガーの詳細ルールを設定できます。調整の設定は任意です。
概要
すべての構成されたオプションはここに表示されます。設定を確認し、完了をクリックします。
タスクには、作成した各タスクの進行状況インジケータバー、ステータスアイコン、および詳細が表示されます。