ESET 联机帮助

搜索 简体字
选择类别
选择主题

同步模式 - Active Directory/Open Directory/LDAP

要创建新的服务器任务,请依次单击任务 > 新建 > add_new_default服务器任务,或者在左侧选择所需的任务类型并依次单击新建 > add_new_default服务器任务

基本

基本部分中,输入有关该任务的基本信息,例如名称和说明(可选)。 单击选择标记分配标记
任务下拉菜单中,选择要创建的任务类型,然后进行配置。如果在创建新任务之前已选择特定任务类型,则任务将基于您的先前选择内容进行预选择。任务(参阅所有任务列表)定义该任务的设置和行为。

还可以从以下任务触发器设置中进行选择:

完成后立即执行任务 - 选中此选项,使任务在您单击“完成”后自动执行。

配置触发器 - 选择此选项,启用触发器部分,在此可配置触发器设置。

要稍后设置触发器,请将该复选框保留为取消选中状态。

设置

常见设置

单击静态组名称下的选择 - 默认情况下,执行用户的家庭组将用于同步计算机。此外,可创建新静态组

要同步的对象 - 计算机和组仅计算机

计算机创建冲突处理 - 如果同步添加了已成为静态组成员的计算机,则可以选择冲突解决方法:

o跳过(不会添加同步计算机)

o移动(新计算机将移至子组)

o复制(使用修改的名称创建新计算机)

计算机删除处理 - 如果某台计算机不再存在,则可以删除该计算机或跳过它。

组删除处理 - 如果某组不再存在,则可以删除该组或跳过它。

 


important

如果将组删除处理设置为跳过并从 Active Directory 中删除一个组(组织单位),将不会删除 ESET PROTECT 中属于该组的计算机,即使将其计算机删除处理设置为删除也是如此。

同步模式 - Active Directory/Open Directory/LDAP

参阅我们的知识库文章,以了解如何在 ESET PROTECT 9 中使用 Active Directory 同步来管理计算机。

服务器连接设置

服务器 - 键入域控制器的服务器名称或 IP 地址。

登录: 采用以下格式键入域控制器的用户名:

oDOMAIN\username(在 Windows 上运行的 ESET PROTECT 服务器)

ousername@FULL.DOMAIN.NAMEusername(在 Linux 上运行的 ESET PROTECT 服务器)。


important

务必以大写字母键入域;需要采用该格式才能对 Active Directory 服务器的查询进行正确身份验证。

密码 - 键入用于登录到域控制器的密码。


important

Windows 上的 ESET PROTECT 服务器 9.1 将加密的 LDAPS(通过 SSL 的 LDAP)协议用于所有 Active Directory (AD) 连接。还可以在 ESET PROTECT 虚拟设备上配置 LDAPS

若要通过 LDAPS 成功连接 AD,请配置以下内容:

1.域控制器必须已安装计算机证书。若要为您的域控制器颁发证书,请遵循以下步骤:

a)打开服务器管理器,单击管理 > 添加角色和功能,然后安装 Active Directory 证书服务 > 证书颁发机构。将在受信任的根证书颁发机构中创建新的证书颁发机构。

b)导航到开始 > 键入 certmgr.msc 并按 Enter 键以运行证书 Microsoft 管理控制台控制单元 > 证书 - 本地计算机 > 个人 > 右键单击空窗格 > 所有任务 > 请求新证书 > 注册域控制器角色。

c)验证颁发的证书是否包含域控制器的 FQDN

d)在 ESMC 服务器上,将生成到证书存储(使用 certmgr.msc 工具)的 CA 导入到受信任的 CA 文件夹。

 

2.向 AD 服务器提供连接设置时,请在服务器主机字段中键入域控制器的 FQDN(在域控制器证书中提供)。对于 LDAPS,IP 地址不再足够。

若要启用 LDAP 协议的回退,请选中使用 LDAP 而不是 Active Directory 复选框,然后输入特定属性以匹配服务器。或者,您可以通过单击选择来选择预设,将自动填充属性:

Active directory

Mac OS X Server Open Directory (计算机主机名)

Mac OS X Server Open Directory (计算机 IP 地址)

包含 Samba 计算机记录的 OpenLDAP - 用于设置参数 Active Directory 中的 DNS 名称

如果选择 使用 LDAP 而不是 Active DirectoryActive Directory 预设时,则可以使用 Active Directory 结构中的属性填充计算机详细信息。仅可以使用 DirectoryString 类型的属性。您可以使用工具(例如 ADExplorer)来检查您的域控制器上的属性。请参阅下表中的相应字段:

计算机详细信息字段

同步任务字段

名称

计算机主机名属性

说明

计算机说明属性

同步设置

可分辨名称 - 指向 Active Directory 树中节点的路径(可分辨名称)。使此选项保留为空将同步整个 AD 树。单击可分辨名称旁边的浏览。将显示您的 Active Directory 树。选择顶部条目以与 ESET PROTECT 同步所有组,或仅选择想要添加的特定组。仅同步计算机和组织单位。在完成时单击确定


note

确定可分辨名称

1.打开 Active Directory 用户和计算机应用程序。

2.单击查看,然后选择高级功能

3.右键单击域 > 单击属性 > 选择属性编辑器选项卡。

4.查找distinguishedName行它应如以下示例所示:DC=ncop,DC=local

排除的可分辨名称 - 您可以选择排除(忽略)Active Directory 树中的特定节点。

忽略已禁用的计算机(仅限 Active Directory) - 可选择忽略已在 Active Directory 中禁用的计算机(该任务将跳过这些计算机)。


important

如果您在单击浏览后收到错误消息:Server not found in Kerberos database,请使用服务器的 AD FQDN,而不是 IP 地址。

arrow_down_business        从 Linux 服务器同步

触发器

触发器部分包含有关将运行任务的触发器的信息。每个服务器任务最多具有一个触发器。每个触发器都只能运行一个服务器任务。如果在基础部分中没有选择配置触发器,将不会创建触发器。任务可在没有触发器的情况下创建。此类任务可在以后手动运行,或者可稍后添加触发器。

高级设置 - 限制

通过设置限制,可为创建的触发器设置高级规则。设置限制为可选项。

摘要

所有配置选项都显示在此处。查看设置,然后单击完成

任务中,可以看到进度指示器栏状态图标以及每个已创建任务的详细信息