Pro synchronizaci počítačů a uživatelů v Active Directory s ESET PROTECT Web Console můžete použít ESET Active Directory Scanner.
|
|
Společnost ESET kontinuálně vyvíjí Active Directory Scanner a rozšiřuje jeho možnosti. Další podrobnosti naleznete v seznamu změn.
|
Požadavky
•ESET Active Directory Scanner spusťte pod Active Directory uživatelem na počítači připojeném do Active Directory.
•Podporované operační systémy (podpora HTTP/2): Windows 10, Windows Server 2016 a novější.
•Stažený a nainstalovaný .NET Core Runtime.
•Připravte si konfigurační soubor (config.json) pro synchronizaci uživatelů z Active Directory. Soubor config.json je součástí archivního souboru Active Directory Scanner.
•Uživatelské oprávnění pro Přístupový token AD Scanner: Zápis
Použití nástroje Active Directory Scanner
1.V ESET PROTECT Web Console si vytvořte GPO skript pro nasazení agenta.
2.Přihlaste se na počítač, který je členem Active Directory, svým Active Directory účtem. Ujistěte se, že splňuje veškeré výše uvedené požadavky.
3.Stáhněte si nejnovější verzi nástroje Active Directory Scanner.
4.Rozbalte stažený archiv.
5.Stáhněte si GPO skript pro nasazení agenta (vytvořený v kroku 1) a umístěte jej do složky ActiveDirectoryScanner (složka, ve které se nacházejí všechny soubory nástroje ESET Active Directory Scanner).
1.V hlavním menu ESET PROTECT přejděte do sekce Počítače a vyberte statickou skupinu, do níž chcete synchronizovat strukturu Active Directory.
2.Na řádku se statickou skupinou klikněte na ozubené kolečko a v kontextovém menu vyberte Active Directory Scanner.
3.Pro získání přístupového tokenu klikněte na Generovat.
|
|
Každá statická skupina má svůj token. Token slouží jako jednoznačný identifikátor statické skupiny, do níž se synchronizuje obsah Active Directory.
Pro zneplatnění aktuálně používaného tokenu (z bezpečnostních důvodů) vyberte možnost Přegenerovat a vytvořte si nový token. Pokud již probíhá synchronizace Active Directory s ESET PROTECT, po změně tokenu dojde k jejímu přerušení. Pro opětovné aktivování synchronizace použijte v nástroji ESET Active Directory Scanner nový token.
Chcete-li z bezpečnostních důvodů token smazat, klikněte na Deaktivovat token. Deaktivaci potvrďte kliknutím na Deaktivovat.
|
4.Spusťte Active Directory Scanner (token_string nahraďte zkopírovaným tokenem z předchozího kroku).
ActiveDirectoryScanner.exe --token token_string
|
|
Nejnovější verze nástroje Active Directory Scanner standardně nesynchronizuje deaktivované počítače z Active Directory. Pro synchronizaci deaktivovaných počítačů z Active Directory použijte parametr --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Po vyzvání zadejte heslo k Active Directory účtu.
6.Jakmile Active Directory Scanner dokončí synchronizaci, struktura Active Directory (organizační jednotky včetně počítačů) se zobrazí ve webové konzoli ESET PROTECT v sekci Počítače jako nové statické skupiny.
|
|
Zahrnutí nebo vyloučení organizačních jednotek
Chcete-li zahrnout nebo vyloučit organizačních jednotku, určete cestu (např.: "Users/Bratislava/TechDepartment"). Ve výchozím nastavení "ExcludeByID" pracuje s sid.
Příklad syntaxe:
"Include": [
"path"
],
"Exclude": [
"path"
],
"ExcludeByID": [
"sid1", "sid2"...
],
Příklad: "Include" "path" "Users/Bratislava/TechDepartment" má více podjednotek; jakoukoli podjednotku můžete vyloučit pomocí "exclude" "path" "Users/Bratislava/TechDepartment/Test"
|
|
|
Active Directory Scanner automaticky vytvoří v Plánovači Windows úlohu s názvem Active Directory Synchronization a naplánuje její spuštění na každou hodinu. V případě potřeby si můžete interval synchronizace s Active Directory kdykoli v Plánovači úloh upravit. Při provedení změn ve struktuře Active Directory se změny v ESET PROTECT Web Console projeví během příštího spuštění synchronizace.
|
|
|
Omezení synchronizace s Active Directory
•Active Directory Scanner synchronizuje pouze organizační jednotky Active Directory, ve kterých se nacházejí počítače s DNS názvy. Nesynchronizují se organizační jednotky, které neobsahují žádné počítače.
•Pokud se v Active Directory změní název organizační jednotky, při příští synchronizaci se v ESET PROTECT Web Console vytvoří nová statická skupina. Statická skupina odpovídající staré organizační jednotce bude v ESET PROTECT Web Console přejmenována a zůstane prázdná – počítače se přesunou do nové statické skupiny s novým názvem.
•Pokud v Active Directory odstraníte organizační jednotku, v ESET PROTECT Web Console dojde k odstranění všech počítačů nacházejících se v odpovídající statické skupině.
•Pokud z ESET PROTECT Web Console odstraníte synchronizovaný Active Directory počítač, při opětovné synchronizaci se již v konzoli znovu nezobrazí – ačkoli stále zůstává Active Directory. |
Pro zobrazení nápovědy k Active Directory Scanner použijte jeden z těchto parametrů: -? -h --help.
V případě potíží vám mohou být vodítkem pro řešení problému protokoly umístěné ve složce C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Pokud z Active Directory odstraníte počítač, odstraníte jej zároveň z webové konzole ESET PROTECT.
|
|
1.V hlavním menu ESET PROTECT přejděte do sekce Další > Uživatelé zařízení a vyberte skupinu uživatelů, do níž chcete synchronizovat strukturu Active Directory.
2.Na řádku vybrané skupiny uživatelů klikněte na ozubené kolečko , v kontextovém menu vyberte možnost Active Directory Scanner a zkopírujte si vygenerovaný přístupový token.
3.Pro získání přístupového tokenu klikněte na Generovat.
|
|
Každá statická skupina má svůj unikátní přístupový token. Token slouží jako jednoznačný identifikátor statické skupiny, do níž se synchronizuje obsah Active Directory.
Pro zneplatnění aktuálně používaného tokenu (z bezpečnostních důvodů) vyberte možnost Přegenerovat a vytvořte si nový token. Pokud již probíhá synchronizace Active Directory s ESET PROTECT, synchronizace se po změně tokenu přeruší. Pro opětovné aktivování synchronizace použijte v nástroji ESET Active Directory Scanner nový token.
Chcete-li z bezpečnostních důvodů token smazat, klikněte na Deaktivovat token. Deaktivaci potvrďte kliknutím na Deaktivovat.
|
3.Spusťte Active Directory Scanner (token_string nahraďte zkopírovaným tokenem z předchozího kroku).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
Parametr --user-token použijte současně s parametrem --token. Nástroj bude následně synchronizovat počítače i uživatele.
|
|
|
Doporučení pro konfigurační soubor pro synchronizaci uživatelů (config.json)
Při konfiguraci souboru config.json postupujte podle doporučení pro formátování (umístěných ve stejné složce jako soubor ActiveDirectoryScanner.exe). Před úpravami si soubor zálohujte (v případě potřeby si kopii můžete znovu stáhnout).
•Odstraňte komentáře, slouží pouze jako návod.
•Pomocí polí "Include" a "Exclude" určete skupiny zahrnuté nebo vyloučené ze synchronizace.
•V souladu s pokyny v souboru config.json doporučujeme identifikovat skupiny pomocí objectGUID a nikoliv Distinguished Name.
•Hodnoty objectGUID zadejte v následujícím formátu:
"Include": [ "{objectGUID1}", "{objectGUID2}", ... ],
"Exclude": [ "{objectGUID3}", "{objectGUID4}", ... ],
•Vyměňte {objectGUID} za vlastní hodnoty objectGUID skupin, které chcete zahrnout nebo vyloučit. Každý objectGUID by měl mít formát hexadecimálního řetězce ve složených závorkách. Pokud máte například dvě skupiny s objectGUID hodnotami "12345678-1234-5678-1234-1234567890AB" a "98765432-4321-8765-4321-0987654321AB", pak se Include by sekce vypadala takto:
"Include": [ "{12345678-1234-5678-1234-1234567890AB}", "{98765432-4321-8765-4321-0987654321AB}" ],
•Chcete-li vyloučit skupiny pomocí objectGUID "55555555-5555-5555-5555-555555555555" Exclude by sekce vypadala takto:
"Exclude": [ "{55555555-5555-5555-5555-555555555555}" ],
|
4.Po vyzvání zadejte heslo k Active Directory účtu.
5.Jakmile Active Directory Scanner dokončí synchronizaci, struktura Active Directory (organizační jednotky včetně počítačů/uživatel) se zobrazí v ESET PROTECT Web Console v sekci Počítače/Uživatelé zařízení jako nové statické skupiny nebo jako Skupiny uživatelů v sekci Uživatelé zařízení.
|
|
Active Directory Scanner automaticky vytvoří v Plánovači Windows úlohu s názvem Active Directory Synchronization a naplánuje její spuštění na každou hodinu. V případě potřeby si můžete interval synchronizace s Active Directory kdykoli v Plánovači úloh upravit. Při provedení změn ve struktuře Active Directory se změny v ESET PROTECT Web Console projeví během příštího spuštění synchronizace.
|
|
|
Omezení synchronizace s Active Directory
•Active Directory Scanner synchronizuje pouze AD organizační jednotky, ve kterých se nacházejí uživatelé. Nesynchronizují se organizační jednotky, které neobsahují žádné uživatele.
•Pokud v Active Directory odstraníte organizační jednotku, v ESET PROTECT Web Console dojde k odstranění všech uživatelů nacházejících se v odpovídající skupině uživatelů. Dojde k odstranění též prázdných skupin.
•Pokud z ESET PROTECT Web Console odstraníte synchronizovaného uživatele, při opětovné synchronizaci se již v konzoli znovu nezobrazí – ačkoli stále zůstává v Active Directory až do chvíle, než dojde ke změně synchronizovaných atributů v Active Directory. |
Pro zobrazení nápovědy k Active Directory Scanner použijte jeden z těchto parametrů: -? -h --help.
Při řešení problémů se podívejte do protokolů, které naleznete ve složce: C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Alternativně můžete využít jedno z níže uvedených řešení:
•Export seznam počítačů z Active Directory a jejich import do ESET PROTECT
•Nasazení ESET Management Agenta na počítače v Active Directory prostřednictvím GPO
Export seznam počítačů z Active Directory a jejich import do ESET PROTECT
|
|
Toto řešení zajistí jednorázovou synchronizaci s Active Directory. Následně se již nepromítnou žádné další změny, které v budoucnu v Active Directory provedete.
|
1.Exportujte seznam počítačů z Active Directory. Využít můžete mnoho nástrojů, záleží na tom, jak s pracujete Active Directory. Například si otevřete Active Directory Users and Computers, najděte svou doménu, pravým tlačítkem klikněte na Computers a z kontextového menu vyberte možnost Export List.
2.Seznam exportovaných počítačů z Active Directory si uložte jako .txt soubor.
3.Upravte seznam počítačů tak, aby odpovídal podporovanému formátu ESET PROTECT. Ujistěte se, že je na každém řádku pouze jeden počítač a záznamy jsou ve formátu:
\GROUP\SUBGROUP\Computer name
4.Uložte si aktualizovaný .txt soubor seznamem počítačů.
5.Naimportujte seznam počítačů z Active Directory do ESET PROTECT Web Console. V hlavním menu přejděte do sekce Počítače, vyberte nejnadřazenější statickou skupinu Všechna zařízení, klikněte na ikonu ozubeného kolečka a vyberte možnost Importovat.
Nasazení ESET Management Agenta na počítače v Active Directory prostřednictvím GPO
1.Vytvořte si GPO skript pro nasazení agenta.
2.Nasaďte ESET Management Agenta pomocí Group Policy Object (GPO) – začněte krokem č.3 v tomto článku v Databázi znalostí.
3.Po úspěšném nasazení ESET Management Agenta prostřednictvím GPO se počítač, který je členem Active Directory zobrazí v ESET Management Web Console na záložce Počítače.
Kdykoli v budoucnu přidáte do Active Directory nový počítač, nasadí se na něj agent a automaticky se zobrazí v ESET PROTECT Web Console.
|