Pro synchronizaci počítačů a uživatelů v Active Directory s webovou konzolí ESET PROTECT můžete použít ESETActive Directory Scanner.
|
|
Společnost ESET kontinuálně vyvíjí Active Directory Scanner a rozšiřuje jeho možnosti. Další podrobnosti naleznete v seznamu změn.
|
Požadavky
•ESET Active Directory Scanner spuštěný pod Active Directory uživatelem na zařízení připojeném k Active Directory.
•Podporované operační systémy (podpora HTTP/2): Windows 10, Windows Server 2016 a novější.
•Stažená a nainstalovaná platforma . NET (verze 8.0).
•Připravený konfigurační soubor (config.json) pro synchronizaci uživatelů z Active Directory. Soubor config.json je součástí archivního souboru Active Directory Scanner.
•Uživatelské oprávnění pro Přístupový token AD Scanner: Zápis
Použití nástroje Active Directory Scanner
1.Ve webové konzoli ESET PROTECT vytvořte GPO skript pro nasazení agenta.
2.Přihlaste se na počítač, který je členem Active Directory, svým Active Directory účtem. Ujistěte se, že splňuje veškeré výše uvedené požadavky.
3.Stáhněte si nejnovější verzi nástroje Active Directory Scanner.
4.Rozbalte stažený archiv.
5.Stáhněte si GPO skript pro nasazení agenta (vytvořený v kroku 1) a umístěte jej do složky ActiveDirectoryScanner (složka, ve které se nacházejí všechny soubory nástroje ESET Active Directory Scanner).
1.V hlavním menu ESET PROTECT přejděte do sekce Počítače a vyberte statickou skupinu, do níž chcete synchronizovat strukturu Active Directory.
2.Na řádku se statickou skupinou klikněte na ozubené kolečko  a v kontextovém menu vyberte  Active Directory Scanner.
3.Pro získání přístupového tokenu klikněte na Generovat.
|
|
Každá statická skupina má svůj token. Token slouží jako jednoznačný identifikátor statické skupiny, do níž se synchronizuje obsah Active Directory.
Pro zneplatnění aktuálně používaného tokenu (z bezpečnostních důvodů) vyberte možnost Přegenerovat a vytvořte si nový token. Pokud již probíhá synchronizace Active Directory s ESET PROTECT, po změně tokenu dojde k jejímu přerušení. Pro opětovné aktivování synchronizace použijte v nástroji ESET Active Directory Scanner nový token.
Chcete-li z bezpečnostních důvodů token smazat, klikněte na Deaktivovat token. Deaktivaci potvrďte kliknutím na Deaktivovat.
|
4.Spusťte Active Directory Scanner (token_string nahraďte zkopírovaným tokenem z předchozího kroku).
ActiveDirectoryScanner.exe --token token_string
|
|
Nejnovější verze nástroje Active Directory Scanner standardně nesynchronizuje deaktivované počítače z Active Directory. Pro synchronizaci deaktivovaných počítačů z Active Directory použijte parametr --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
|
|
Synchronizace z konkrétního doménového řadiče
Konkrétní doménový řadič
Parametr --domain-controller určuje název hostitele nebo IP adresu zařízení, ze kterého se mají načíst data z Active Directory.
Pokud je nastaven parametr --domain-controller, budou zadané informace uloženy do databáze. Kdykoli pak klient spustí ADScanner, použije se doménový řadič uložený v databázi.
Chcete-li obnovit konfiguraci doménového řadiče, nastavte parametr --domain-controller jako prázdný řetězec. Příklad: --domain-controller ""
Uživatelské jméno konkrétního doménového řadiče Active Directory
Parametr --domain-controller-user určuje uživatelské jméno Active Directory. Toto uživatelské jméno je spojeno s parametrem --domain-controller a slouží k ověřování. Příklad: --domain-controller-user "username"
Heslo konkrétního doménového řadiče Active Directory
Parametr --domain-controller-password určuje heslo pro Active Directory. Toto heslo je spojeno s uživatelským jménem zadaným v parametru --domain-controller-user a slouží k ověřování. Příklad: --domain-controller-password "your_password"
|
5.Po vyzvání zadejte heslo k Active Directory účtu.
6.Jakmile Active Directory Scanner dokončí synchronizaci, struktura Active Directory (organizační jednotky včetně počítačů) se zobrazí ve webové konzoli ESET PROTECT v sekci Počítače jako nové statické skupiny.
|
|
Active Directory Scanner automaticky vytvoří v Plánovači Windows úlohu s názvem Active Directory Synchronization a naplánuje její spuštění na každou hodinu. V případě potřeby si můžete interval synchronizace s Active Directory kdykoli v Plánovači úloh upravit. Při provedení změn ve struktuře Active Directory se změny ve webové konzoli ESET PROTECT projeví během příštího spuštění synchronizace.
Případně můžete použít parametr --no-scheduled-task pro spuštění synchronizace bez Plánovače úloh ve Windows. Active Directory bude synchronizována pouze jednou a budoucí změny v Active Directory už nebudou automaticky synchronizovány s ESET PROTECT. Pokud úloha již existuje, parametr --no-scheduled-task ji znovu nevytvoří ani neaktualizuje.
|
|
|
Omezení synchronizace s Active Directory
•Active Directory Scanner synchronizuje pouze organizační jednotky Active Directory, ve kterých se nacházejí počítače s DNS názvy. Nesynchronizují se organizační jednotky, které neobsahují žádné počítače.
•Pokud se v Active Directory změní název organizační jednotky, při příští synchronizaci se ve webové konzoli ESET PROTECT vytvoří nová statická skupina. Statická skupina odpovídající starému názvu organizační jednotky zůstane ve webové konzoli ESET PROTECT prázdná (počítače se přesunou do nové statické skupiny s novým názvem).
•Pokud v Active Directory odstraníte organizační jednotku, ve webové konzoli ESET PROTECT dojde k odstranění všech počítačů nacházejících se v odpovídající statické skupině.
•Pokud z webové konzole ESET PROTECT odstraníte synchronizovaný Active Directory počítač, při opětovné synchronizaci se již v konzoli znovu nezobrazí – ačkoli stále zůstává Active Directory. |
Pro zobrazení nápovědy k Active Directory Scanner použijte jeden z těchto parametrů: -? -h --help.
Při řešení problémů se podívejte do protokolů, které naleznete ve složce: C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Pokud z Active Directory odstraníte počítač, odstraníte jej zároveň z webové konzole ESET PROTECT.
|
|
1.V hlavním menu ESET PROTECT přejděte do sekce Další > Uživatelé zařízení a vyberte skupinu uživatelů, do níž chcete synchronizovat strukturu Active Directory.
2.Na řádku vybrané skupiny uživatelů klikněte na ozubené kolečko , v kontextovém menu vyberte možnost Active Directory Scanner a zkopírujte si vygenerovaný přístupový token.
3.Pro získání přístupového tokenu klikněte na Generovat.
|
|
Každá skupina uživatelů má svůj token. Token slouží jako jednoznačný identifikátor uživatelské skupiny, s níž se synchronizuje Active Directory.
Pro zneplatnění aktuálně používaného tokenu (z bezpečnostních důvodů) vyberte možnost Přegenerovat a vytvořte si nový token. Pokud již probíhá synchronizace Active Directory s ESET PROTECT, synchronizace se po změně tokenu přeruší. Pro opětovné aktivování synchronizace použijte v nástroji ESET Active Directory Scanner nový token.
Chcete-li z bezpečnostních důvodů token smazat, klikněte na Deaktivovat token. Deaktivaci potvrďte kliknutím na Deaktivovat.
|
4.Spusťte Active Directory Scanner (token_string nahraďte zkopírovaným tokenem z předchozího kroku).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
Parametr --user-token použijte současně s parametrem --token. Nástroj bude následně synchronizovat počítače i uživatele.
|
|
|
Doporučení pro konfigurační soubor pro synchronizaci uživatelů (config.json)
Při konfiguraci souboru config.json postupujte podle doporučení (umístěných ve stejné složce jako soubor ActiveDirectoryScanner.exe):
•Pro zahrnutí nebo vyloučení organizačních jednotek použijte pole "Include" a "Exclude". Určete cestu ke konkrétní jednotce, například: "Users\\Bratislava\\TechDepartment". Cesta se musí skládat pouze z názvů organizačních jednotek.
•K vyloučení konkrétních uživatelů použijte "ExcludeByID". Zadejte jejich objectSid.
•Příklad syntaxe:
"Include": [
"path1", "path2", ...
],
"Exclude": [
"path1","path2", ...
],
"ExcludeByID": [
"objectSid1", "objectSid2"...
],
•Příklad: "Include": ["Users\\Bratislava\\TechDepartment"] TechDepartment má více podjednotek. Jakoukoli podjednotku můžete vyloučit pomocí "Exclude": ["Users\\Bratislava\\TechDepartment\\Test"] |
|
|
Synchronizace z konkrétního doménového řadiče
Konkrétní doménový řadič
Parametr --domain-controller určuje název hostitele nebo IP adresu zařízení, ze kterého se mají načíst data z Active Directory.
Pokud je nastaven parametr --domain-controller, budou zadané informace uloženy do databáze. Kdykoli pak klient spustí ADScanner, použije se doménový řadič uložený v databázi.
Chcete-li obnovit konfiguraci doménového řadiče, nastavte parametr --domain-controller jako prázdný řetězec. Příklad: --domain-controller ""
Uživatelské jméno konkrétního doménového řadiče Active Directory
Parametr --domain-controller-user určuje uživatelské jméno Active Directory. Toto uživatelské jméno je spojeno s parametrem --domain-controller a slouží k ověřování. Příklad: --domain-controller-user "username"
Heslo konkrétního doménového řadiče Active Directory
Parametr --domain-controller-password určuje heslo pro Active Directory. Toto heslo je spojeno s uživatelským jménem zadaným v parametru --domain-controller-user a slouží k ověřování. Příklad: --domain-controller-password "your_password"
|
5.Po vyzvání zadejte heslo k Active Directory účtu.
6.Jakmile Active Directory Scanner dokončí synchronizaci, struktura Active Directory (organizační jednotky včetně počítačů/uživatel) se zobrazí ve webové konzoli ESET PROTECT v sekci Počítače/Uživatelé zařízení jako nové statické skupiny nebo jako Skupiny uživatelů v sekci Uživatelé zařízení.
|
|
Active Directory Scanner automaticky vytvoří v Plánovači Windows úlohu s názvem Active Directory Synchronization a naplánuje její spuštění na každou hodinu. V případě potřeby si můžete interval synchronizace s Active Directory kdykoli v Plánovači úloh upravit. Při provedení změn ve struktuře Active Directory se změny ve webové konzoli ESET PROTECT projeví během příštího spuštění synchronizace.
Případně můžete použít parametr --no-scheduled-task pro spuštění synchronizace bez Plánovače úloh ve Windows. Active Directory bude synchronizována pouze jednou a budoucí změny v Active Directory už nebudou automaticky synchronizovány s ESET PROTECT. Pokud úloha již existuje, parametr --no-scheduled-task ji znovu nevytvoří ani neaktualizuje.
|
|
|
Omezení synchronizace s Active Directory
•Active Directory Scanner synchronizuje pouze AD organizační jednotky, ve kterých se nacházejí uživatelé. Nesynchronizují se organizační jednotky, které neobsahují žádné uživatele.
•Pokud v Active Directory odstraníte organizační jednotku, ve webové konzoli ESET PROTECT dojde k odstranění všech uživatelů nacházejících se v odpovídající skupině uživatelů. Dojde k odstranění též prázdných skupin.
•Pokud z webové konzole ESET PROTECT odstraníte synchronizovaného uživatele, při opětovné synchronizaci se již v konzoli znovu nezobrazí – ačkoli stále zůstává v Active Directory až do chvíle, než dojde ke změně synchronizovaných atributů v Active Directory. |
Pro zobrazení nápovědy k Active Directory Scanner použijte jeden z těchto parametrů: -? -h --help.
Při řešení problémů se podívejte do protokolů, které naleznete ve složce: C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Alternativně můžete využít jedno z níže uvedených řešení:
•Export seznam počítačů z Active Directory a jejich import do ESET PROTECT
•Nasazení ESET Management Agenta na počítače v Active Directory prostřednictvím GPO
Export seznam počítačů z Active Directory a jejich import do ESET PROTECT
|
|
Toto řešení zajistí jednorázovou synchronizaci s Active Directory. Následně se již nepromítnou žádné další změny, které v budoucnu v Active Directory provedete.
|
1.Exportujte seznam počítačů z Active Directory. Využít můžete mnoho nástrojů, záleží na tom, jak s pracujete Active Directory. Například si otevřete Active Directory Users and Computers, najděte svou doménu, pravým tlačítkem klikněte na Computers a z kontextového menu vyberte možnost Export List.
2.Seznam exportovaných počítačů z Active Directory si uložte jako .txt soubor.
3.Upravte seznam počítačů tak, aby odpovídal podporovanému formátu ESET PROTECT. Ujistěte se, že je na každém řádku pouze jeden počítač a záznamy jsou ve formátu:
\GROUP\SUBGROUP\Computer name
4.Uložte si aktualizovaný .txt soubor seznamem počítačů.
5.Naimportujte seznam počítačů z Active Directory do webové konzole ESET PROTECT. V hlavním menu přejděte do sekce Počítače, vyberte nejnadřazenější statickou skupinu Všechna zařízení, klikněte na ikonu ozubeného kolečka a vyberte možnost Importovat.
Nasazení ESET Management Agenta na počítače v Active Directory prostřednictvím GPO
1.Vytvořte si GPO skript pro nasazení agenta.
2.Nasaďte ESET Management Agenta pomocí Group Policy Object (GPO) – začněte krokem č.3 v tomto článku v Databázi znalostí.
3.Po úspěšném nasazení ESET Management Agenta prostřednictvím GPO se počítač, který je členem Active Directory zobrazí ve webové konzoli ESET PROTECT v sekci Počítače.
Kdykoli v budoucnu přidáte do Active Directory nový počítač, nasadí se na něj agent a automaticky se zobrazí ve webové konzoli ESET PROTECT.
|
