同步模式 - Active Directory/Open Directory/LDAP
要创建新的服务器任务,请依次单击任务 > 新建 > 
服务器任务,或者在左侧选择所需的任务类型并依次单击新建 > 服务器任务。
基本
在基本部分中,输入有关该任务的基本信息,例如名称和说明(可选)。 单击选择标记以分配标记。
在任务下拉菜单中,选择要创建的任务类型,然后进行配置。如果在创建新任务之前已选择特定任务类型,则任务将基于您的先前选择内容进行预选择。任务(参阅所有任务列表)定义该任务的设置和行为。
还可以从以下任务触发器设置中进行选择:
•完成后立即执行任务 - 选中此选项,使任务在您单击“完成”后自动执行。
•配置触发器 - 选择此选项,启用触发器部分,在此可配置触发器设置。
要稍后设置触发器,请将该复选框保留为取消选中状态。
设置
常见设置
单击静态组名称下的选择 - 默认情况下,执行用户的家庭组将用于同步计算机。此外,可创建新静态组。
•要同步的对象 - 计算机和组或仅计算机。
•计算机创建冲突处理 - 如果同步添加了已成为静态组成员的计算机,则可以选择冲突解决方法:
o跳过(不会添加同步计算机)
o移动(新计算机将移至子组)
o复制(使用修改的名称创建新计算机)
•计算机删除处理 - 如果某台计算机不再存在,则可以删除该计算机或跳过它。
•组删除处理 - 如果某组不再存在,则可以删除该组或跳过它。
|
如果将组删除处理设置为跳过并从 Active Directory 中删除一个组(组织单位),将不会删除 ESET PROTECT 中属于该组的计算机,即使将其计算机删除处理设置为删除也是如此。 |
•同步模式 - Active Directory/Open Directory/LDAP
参阅我们的知识库文章,以了解如何在 ESET PROTECT 9 中使用 Active Directory 同步来管理计算机。
服务器连接设置
•服务器 - 键入域控制器的服务器名称或 IP 地址。
•登录: 采用以下格式键入域控制器的用户名:
oDOMAIN\username(在 Windows 上运行的 ESET PROTECT 服务器)
ousername@FULL.DOMAIN.NAME 或 username(在 Linux 上运行的 ESET PROTECT 服务器)。
|
务必以大写字母键入域;需要采用该格式才能对 Active Directory 服务器的查询进行正确身份验证。 |
•密码 - 键入用于登录到域控制器的密码。
|
Windows 上的 ESET PROTECT 服务器 9.1 将加密的 LDAPS(通过 SSL 的 LDAP)协议用于所有 Active Directory (AD) 连接。还可以在 ESET PROTECT 虚拟设备上配置 LDAPS。 若要通过 LDAPS 成功连接 AD,请配置以下内容: 1.域控制器必须已安装计算机证书。若要为您的域控制器颁发证书,请遵循以下步骤: a)打开服务器管理器,单击管理 > 添加角色和功能,然后安装 Active Directory 证书服务 > 证书颁发机构。将在受信任的根证书颁发机构中创建新的证书颁发机构。 b)导航到开始 > 键入 certmgr.msc 并按 Enter 键以运行证书 Microsoft 管理控制台控制单元 > 证书 - 本地计算机 > 个人 > 右键单击空窗格 > 所有任务 > 请求新证书 > 注册域控制器角色。 c)验证颁发的证书是否包含域控制器的 FQDN。 d)在 ESMC 服务器上,将生成到证书存储(使用 certmgr.msc 工具)的 CA 导入到受信任的 CA 文件夹。
2.向 AD 服务器提供连接设置时,请在服务器或主机字段中键入域控制器的 FQDN(在域控制器证书中提供)。对于 LDAPS,IP 地址不再足够。 |
若要启用 LDAP 协议的回退,请选中使用 LDAP 而不是 Active Directory 复选框,然后输入特定属性以匹配服务器。或者,您可以通过单击选择来选择预设,将自动填充属性:
•Active directory
•Mac OS X Server Open Directory (计算机主机名)
•Mac OS X Server Open Directory (计算机 IP 地址)
•包含 Samba 计算机记录的 OpenLDAP - 用于设置参数 Active Directory 中的 DNS 名称。
如果选择 使用 LDAP 而不是 Active Directory 和 Active Directory 预设时,则可以使用 Active Directory 结构中的属性填充计算机详细信息。仅可以使用 DirectoryString 类型的属性。您可以使用工具(例如 ADExplorer)来检查您的域控制器上的属性。请参阅下表中的相应字段:
计算机详细信息字段 |
同步任务字段 |
|---|---|
名称 |
计算机主机名属性 |
说明 |
计算机说明属性 |
同步设置
•可分辨名称 - 指向 Active Directory 树中节点的路径(可分辨名称)。使此选项保留为空将同步整个 AD 树。单击可分辨名称旁边的浏览。将显示您的 Active Directory 树。选择顶部条目以与 ESET PROTECT 同步所有组,或仅选择想要添加的特定组。仅同步计算机和组织单位。在完成时单击确定。
|
确定可分辨名称 1.打开 Active Directory 用户和计算机应用程序。 2.单击查看,然后选择高级功能。 3.右键单击域 > 单击属性 > 选择属性编辑器选项卡。 4.查找distinguishedName行它应如以下示例所示:DC=ncop,DC=local。 |
•排除的可分辨名称 - 您可以选择排除(忽略)Active Directory 树中的特定节点。
•忽略已禁用的计算机(仅限 Active Directory) - 可选择忽略已在 Active Directory 中禁用的计算机(该任务将跳过这些计算机)。
|
如果您在单击浏览后收到错误消息:Server not found in Kerberos database,请使用服务器的 AD FQDN,而不是 IP 地址。 |
从 Linux 服务器同步
触发器
触发器部分包含有关将运行任务的触发器的信息。每个服务器任务最多具有一个触发器。每个触发器都只能运行一个服务器任务。如果在基础部分中没有选择配置触发器,将不会创建触发器。任务可在没有触发器的情况下创建。此类任务可在以后手动运行,或者可稍后添加触发器。
高级设置 - 限制
通过设置限制,可为创建的触发器设置高级规则。设置限制为可选项。
摘要
所有配置选项都显示在此处。查看设置,然后单击完成。