Pro synchronizaci počítačů a uživatelů v Active Directory s ESET PROTECT Cloud Web Console můžete použít ESET Active Directory Scanner.
|
|
Společnost ESET kontinuálně vyvíjí Active Directory Scanner a rozšiřuje jeho možnosti. Další podrobnosti naleznete v seznamu změn.
|
Předpoklady
•ESET Active Directory Scanner spusťte pod Active Directory uživatelem na počítači připojeném do Active Directory.
•Podporované operační systémy (podpora HTTP/2): Windows 10, Windows Server 2016 a novější.
•Stažený a nainstalovaný .NET Core Runtime.
•Připravený uživatelský konfigurační soubor (config.json je vyžadován pouze pro synchronizaci uživatelů z Active Directory).
•Uživatelské oprávnění pro Přístupový token AD Scanner: Zápis
Použití nástroje Active Directory Scanner
1.V ESET PROTECT Cloud Web Console si vytvořte GPO skript pro nasazení agenta.
2.Přihlaste se na počítač, který je členem Active Directory, svým Active Directory účtem. Ujistěte se, že splňuje všechny výše uvedené předpoklady.
3.Stáhněte si nejnovější verzi nástroje Active Directory Scanner.
4.Rozbalte stažený archiv.
5.Stáhněte si GPO skript pro nasazení agenta (vytvořený v kroku 1) a umístěte jej do složky ActiveDirectoryScanner (složka, ve které se nacházejí všechny soubory nástroje ESET Active Directory Scanner).
1.V hlavním menu ESET PROTECT Cloud přejděte do sekce Počítače a vyberte statickou skupinu, do níž chcete synchronizovat strukturu Active Directory.
2.Na řádku se statickou skupinou klikněte na ozubené kolečko  a v kontextovém menu vyberte  Active Directory Scanner.
3.Pro získání přístupového tokenu klikněte na Generovat.
|
|
Každá statická skupina má svůj token. Token slouží jako jednoznačný identifikátor statické skupiny, do níž se synchronizuje obsah Active Directory.
Pro zneplatnění aktuálně používaného tokenu (z bezpečnostních důvodů) vyberte možnost Přegenerovat a vytvořte si nový token. Pokud již probíhá synchronizace Active Directory s ESET PROTECT Cloud, po změně tokenu dojde k jejímu přerušení. Pro opětovné aktivování synchronizace použijte v nástroji ESET Active Directory Scanner nový token.
Chcete-li z bezpečnostních důvodů token smazat, klikněte na Deaktivovat token. Deaktivaci potvrďte kliknutím na Deaktivovat.
|
4.Spusťte Active Directory Scanner (token_string nahraďte zkopírovaným tokenem z předchozího kroku).
ActiveDirectoryScanner.exe --token token_string
|
|
Nejnovější verze nástroje Active Directory Scanner standardně nesynchronizuje deaktivované počítače z Active Directory. Pro synchronizaci deaktivovaných počítačů z Active Directory použijte parametr --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Po vyzvání zadejte heslo k Active Directory účtu.
6.Po dokončení synchronizace se vaše struktura AD (organizační jednotky včetně počítačů) zobrazí v ESET PROTECT Cloud Web Console v sekci Počítače jako nové statické skupiny.
|
|
Active Directory Scanner automaticky vytvoří v Plánovači Windows úlohu s názvem Active Directory Synchronization a naplánuje její spuštění na každou hodinu. V případě potřeby si můžete interval synchronizace s Active Directory kdykoli v Plánovači úloh upravit. Při provedení změn ve struktuře Active Directory se změny v ESET PROTECT Cloud Web Console projeví při příštím spuštění synchronizace.
|
|
|
Omezení synchronizace s Active Directory
•Active Directory Scanner synchronizuje pouze organizační jednotky Active Directory, ve kterých se nacházejí počítače s DNS názvy. Nesynchronizují se organizační jednotky, které neobsahují žádné počítače.
•Pokud se v Active Directory změní název organizační jednotky, při příští synchronizaci se v ESET PROTECT Cloud Web Console vytvoří nová statická skupina. Statická skupina odpovídající staré organizační jednotce bude v ESET PROTECT Cloud Web Console přejmenována a zůstane prázdná – počítače se přesunou do nové statické skupiny s novým názvem.
•Pokud v Active Directory odstraníte organizační jednotku, v ESET PROTECT Cloud Web Console dojde k odstranění všech počítačů nacházejících se v odpovídající statické skupině.
•Pokud z ESET PROTECT Cloud Web Console odstraníte synchronizovaný Active Directory počítač, při opětovné synchronizaci se již v konzoli znovu nezobrazí – ačkoli stále zůstává Active Directory. |
Pro zobrazení nápovědy k nástroji Active Directory Scanner použijte jeden z těchto parametrů: -? -h --help.
V případě potíží vám mohou být vodítkem pro řešení problému protokoly umístěné ve složce C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Pokud z Active Directory odstraníte počítač, odstraníte jej zároveň z webové konzole ESET PROTECT Cloud.
|
|
1.V hlavním menu ESET PROTECT Cloud přejděte do sekce Další > Uživatelé zařízení a vyberte statickou skupinu, do níž chcete synchronizovat strukturu Active Directory.
2.Na řádku vybrané skupiny uživatelů klikněte na ozubené kolečko , v kontextovém menu vyberte možnost Active Directory Scanner a zkopírujte si vygenerovaný přístupový token.
3.Pro získání přístupového tokenu klikněte na Generovat.
|
|
Každá statická skupina má svůj unikátní přístupový token. Token slouží jako jednoznačný identifikátor statické skupiny, do níž se synchronizuje obsah Active Directory.
Pro zneplatnění aktuálně používaného tokenu (z bezpečnostních důvodů) vyberte možnost Přegenerovat a vytvořte si nový token. Pokud již probíhá synchronizace Active Directory s ESET PROTECT Cloud, synchronizace se po změně tokenu přeruší. Pro opětovné aktivování synchronizace použijte v nástroji ESET Active Directory Scanner nový token.
Chcete-li z bezpečnostních důvodů token smazat, klikněte na Deaktivovat token. Deaktivaci potvrďte kliknutím na Deaktivovat.
|
3.Spusťte Active Directory Scanner (token_string nahraďte zkopírovaným tokenem z předchozího kroku).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
Parametr --user-token použijte současně s parametrem --token. Nástroj bude následně synchronizovat počítače i uživatele.
|
4.Po vyzvání zadejte heslo k Active Directory účtu.
5.Po dokončení synchronizace se vaše struktura AD (organizační jednotky včetně počítačů/uživatelů) zobrazí v ESET PROTECT Cloud Web Console v sekci Počítače/Uživatelé zařízení jako nové statické skupiny.
|
|
Active Directory Scanner automaticky vytvoří v Plánovači Windows úlohu s názvem Active Directory Synchronization a naplánuje její spuštění na každou hodinu. V případě potřeby si můžete interval synchronizace s Active Directory kdykoli v Plánovači úloh upravit. Při provedení změn ve struktuře Active Directory se změny v ESET PROTECT Cloud Web Console projeví při příštím spuštění synchronizace.
|
|
|
Omezení synchronizace s Active Directory
•Active Directory Scanner synchronizuje pouze AD organizační jednotky, ve kterých se nacházejí uživatelé. Nesynchronizují se organizační jednotky, které neobsahují žádné uživatele.
•Pokud v Active Directory odstraníte organizační jednotku, v ESET PROTECT Cloud Web Console dojde k odstranění všech uživatelů nacházejících se v odpovídající skupině uživatelů. Dojde k odstranění též prázdných skupin.
•Pokud z ESET PROTECT Cloud Web Console odstraníte synchronizovaného uživatele, při opětovné synchronizaci se již v konzoli znovu nezobrazí – ačkoli stále zůstává v Active Directory až do chvíle, než dojde ke změně synchronizovaných atributů v Active Directory. |
Pro zobrazení nápovědy k nástroji Active Directory Scanner použijte jeden z těchto parametrů: -? -h --help.
Při řešení problémů se podívejte do protokolů, které naleznete ve složce: C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Alternativně můžete využít jedno z níže uvedených řešení:
•Export seznam počítačů z Active Directory a jejich import do ESET PROTECT Cloud
•Nasazení ESET Management Agenta na počítače v Active Directory prostřednictvím GPO
Export seznam počítačů z Active Directory a jejich import do ESET PROTECT Cloud
|
|
Toto řešení zajistí jednorázovou synchronizaci s Active Directory. Následně se již nepromítnou žádné další změny, které v budoucnu v Active Directory provedete.
|
1.Exportujte seznam počítačů z Active Directory. Využít můžete mnoho nástrojů, záleží na tom, jak s pracujete Active Directory. Například si otevřete Active Directory Users and Computers, najděte svou doménu, pravým tlačítkem klikněte na Computers a z kontextového menu vyberte možnost Export List.
2.Seznam exportovaných počítačů z Active Directory si uložte jako .txt soubor.
3.Upravte seznam počítačů tak, aby odpovídal podporovanému formátu ESET PROTECT Cloud. Ujistěte se, že se na každém řádku nachází jeden počítač a záznamy jsou ve formátu:
\GROUP\SUBGROUP\Computer name
4.Uložte si aktualizovaný .txt soubor seznamem počítačů.
5.Naimportujte seznam počítačů z Active Directory do ESET PROTECT Cloud Web Console. V hlavním menu přejděte do sekce Počítače, vyberte nejnadřazenější statickou skupinu Všechna zařízení, klikněte na ikonu ozubeného kolečka a vyberte možnost Importovat.
Nasazení ESET Management Agenta na počítače v Active Directory prostřednictvím GPO
1.Vytvořte si GPO skript pro nasazení agenta.
2.Nasaďte ESET Management Agenta prostřednictvím Group Policy Object (GPO) – začněte krokem č.3 v tomto článku v Databázi znalostí.
3.Po úspěšném nasazení ESET Management Agenta prostřednictvím GPO se počítač, který je členem Active Directory zobrazí v ESET Management Web Console na záložce Počítače.
Kdykoli v budoucnu přidáte do Active Directory Active Directory nový počítač, nasadí se na něj agent a automaticky se zobrazí ve ESET PROTECT Cloud Web Console.
|
