Verwenden Sie den ESET Active Directory-Scanner, um Active Directory-Computer und -Benutzer mit der ESET PROTECT-Web-Konsole zu synchronisieren.
|
|
ESET aktualisiert den Active Directory Scanner regelmäßig, um seine Funktionalität zu verbessern. Weitere Details finden Sie im Änderungslog.
|
Voraussetzungen
•Führen Sie den Active Directory-Scanner als Active Directory-Benutzer auf einem Computer aus, der mit Active Directory verbunden ist.
•Unterstützte Betriebssysteme (Unterstützung für HTTP/2): Windows 10, Windows Server 2016 und höher.
•Laden Sie die .NET Core Runtime herunter und installieren Sie sie.
•Bereiten Sie die Benutzerkonfigurationsdatei (config.json) für die Synchronisierung der Active Directory-Benutzer vor. config.json ist in der zip-Datei für den Active Directory Scanner enthalten.
•Benutzerzugriffsrechte für das AD Scanner-Zugriffstoken: Schreiben
Verwenden Sie das Active Directory-Scanner.
1.Erstellen Sie das GPO-Bereitstellungsskript für Agenten in der ESET PROTECT-Web-Konsole.
2.Melden Sie sich mit einem Active Directory-Benutzerkonto bei einem Computer in Ihrem Active Directory an. Stellen Sie sicher, dass die oben aufgeführten Voraussetzungen erfüllt sind.
3.Laden Sie den neuesten Active Directory-Scanner auf den Computer herunter.
4.Extrahieren Sie die heruntergeladene Datei.
5.Laden Sie das in Schritt 1 erstellte GPO-Bereitstellungsskript für Agenten herunter und kopieren Sie es in den Ordner ActiveDirectoryScanner (ein Ordner, der alle Dateien für den Active Directory-Scanner enthält).
1.Gehen Sie in der ESET PROTECT-Web-Konsole zu Computer und wählen Sie die statische Gruppe aus, mit der Sie die Active Directory-Verzeichnisstruktur synchronisieren möchten.
2.Klicken Sie auf das Zahnradsymbol  neben der ausgewählten statischen Gruppe und wählen Sie  Active Directory-Scanner aus.
3.Klicken Sie auf Generieren, um das Zugriffstoken zu erhalten.
|
|
Jede statische Gruppe hat ein Token. Das Token identifiziert die statische Gruppe, mit der das Active Directory synchronisiert wird.
Falls Sie das aktuelle Token aus Sicherheitsgründen ungültig machen möchten, klicken Sie auf Erneut generieren, um ein neues Token zu generieren. Falls die Active Directory-Synchronisierung mit ESET PROTECT bereits läuft, wird der Vorgang nach der Änderung des Sicherheitstokens unterbrochen. Sie müssen den Active Directory-Scanner mit dem neuen Token ausführen, um die Active Directory-Synchronisierung erneut zu aktivieren.
Klicken Sie auf Token deaktivieren, um das Token aus Sicherheitsgründen zu löschen. Klicken Sie auf Deaktivieren, um die Token-Deaktivierung zu bestätigen.
|
4.Führen Sie den Active Directory-Scanner aus (ersetzen Sie token_string durch das Token aus dem vorherigen Schritt).
ActiveDirectoryScanner.exe --token token_string
|
|
Deaktivierte Active Directory-Computer werden von der neuesten Version des Active Directory-Scanners standardmäßig nicht synchronisiert. Verwenden Sie den Parameter --disabled-computers wie folgt, um deaktivierte Active Directory-Computer zu synchronisieren:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Geben Sie das Active Directory-Benutzerpasswort ein, wenn Sie dazu aufgefordert werden.
6.Nachdem der Active Directory-Scanner die Synchronisierung abgeschlossen hat, wird Ihre Active Directory-Struktur (Organisationseinheiten mit Computern) unter Computer in der ESET PROTECT-Web-Konsole als statische Gruppen mit Computern angezeigt.
|
|
Struktur der Organisationseinheit ein- oder ausschließen
Um die Struktur der Organisationseinheit ein- oder auszuschließen, legen Sie den Pfad fest (z. B. "Users/Bratislava/TechDepartment"). "ExcludeByID" funktioniert standardmäßig mit sid.
Ein Beispiel für die Syntax:
"Include": [
"path"
],
"Exclude": [
"path"
],
"ExcludeByID": [
"sid1", "sid2"...
],
Beispiel: "Include" "path" "Users/Bratislava/TechDepartment" hat mehr Untereinheiten und Sie können beliebige Untereinheiten mit "exclude" "path" "Users/Bratislava/TechDepartment/Test" ausschließen.
|
|
|
Der Active Directory-Scanner erstellt eine Active Directory-Synchronisierung im Windows-Taskplaner mit einem Trigger und einem Wiederholungsintervall von einer Stunde. Sie können das Active Directory-Synchronisierungsintervall im Taskplaner nach Ihren Wünschen anpassen. Alle zukünftigen Änderungen an der Active Directory-Struktur werden nach der nächsten Synchronisierung in der ESET PROTECT-Web-Konsole abgebildet.
|
|
|
Einschränkungen für die Active Directory-Synchronisierung:
•Der Active Directory-Scanner synchronisiert nur Active Directory-Organisationseinheiten, die Computer mit DNS-Namen enthalten. Organisationseinheiten, die keine Computer enthalten, werden nicht synchronisiert.
•Wenn sich der Name der Organisationseinheit in Active Directory ändert, wird nach der nächsten Synchronisierung eine neue statische Gruppe mit dem neuen Namen in der ESET PROTECT-Web-Konsole erstellt. Die statische Gruppe mit dem Namen der alten Organisationseinheit bleibt als leere Gruppe in der ESET PROTECT-Web-Konsole erhalten, und die enthaltenen Computer werden in die statische Gruppen mit dem neuen Namen verschoben.
•Wenn Sie eine Organisationseinheit in Active Directory löschen, werden alle Computer in der Einheit aus der entsprechenden statischen Gruppe in der ESET PROTECT-Web-Konsole entfernt.
•Wenn Sie einen synchronisierten Active Directory-Computer aus der ESET PROTECT-Web-Konsole löschen, wird er nach der nächsten Synchronisierung nicht mehr angezeigt, auch wenn er weiterhin in Active Directory vorhanden ist. |
Verwenden Sie einen der folgenden Parameter, um die Hilfe zum Active Directory-Scanner anzuzeigen: -? -h --help.
Zur Problembehebung sehen Sie sich die Protokolle unter C:\ProgramData\ESET\ActiveDirectoryScanner\Logs an.
|
|
Wenn Sie einen Computer aus dem Active Directory löschen, wird er auch aus der ESET PROTECT-Web-Konsole gelöscht.
|
|
1.Wechseln Sie in der ESET PROTECT-Web-Konsole zu Mehr > Computerbenutzer und wählen Sie die Benutzergruppe aus, für die Sie die Active Directory-Struktur synchronisieren möchten.
2.Klicken Sie auf das Zahnradsymbol neben der ausgewählten Benutzergruppe, wählen Sie Active Directory-Scanner aus und kopieren Sie das generierte Zugriffstoken.
3.Klicken Sie auf Generieren, um das Zugriffstoken zu erhalten.
|
|
Jede statische Gruppe hat ein eigenes Token. Das Token identifiziert die statische Gruppe, mit der das Active Directory synchronisiert wird.
Falls Sie das aktuelle Token aus Sicherheitsgründen ungültig machen möchten, klicken Sie auf Erneut generieren, um ein neues Token zu generieren. Falls die Active Directory-Synchronisierung mit ESET PROTECT bereits läuft, wird der Vorgang nach der Änderung des Sicherheitstokens unterbrochen. Sie müssen den Active Directory-Scanner mit dem neuen Token ausführen, um die Active Directory-Synchronisierung erneut zu aktivieren.
Klicken Sie auf Token deaktivieren, um das Token aus Sicherheitsgründen zu löschen. Klicken Sie auf Deaktivieren, um die Token-Deaktivierung zu bestätigen.
|
3.Führen Sie den Active Directory-Scanner aus (ersetzen Sie token_string durch das Token aus dem vorherigen Schritt).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token und --token können parallel verwendet werden. Anschließend synchronisiert das Tool die Computer und Benutzer.
|
|
|
Empfehlungen für die Benutzerkonfigurationsdatei (config.json)
Befolgen Sie die Formatierungsempfehlungen für die config.json-Datei (im gleichen Ordner wie ActiveDirectoryScanner.exe). Sichern Sie die Datei vor dem Bearbeiten (Sie können bei Bedarf eine neue Kopie herunterladen).
•Die Kommentare dienen nur als Anleitung und können entfernt werden.
•Verwenden Sie die Felder "Include" und "Exclude", um die Gruppen anzugeben, die bei der Synchronisierung ein- oder ausgeschlossen werden sollen.
•Gemäß den Anweisungen in der config.json-Datei empfehlen wir, Gruppen anhand ihrer objectGUID zu identifizieren anstatt mit ihrem Distinguished Name.
•Geben Sie die objectGUID-Werte im folgenden Format ein:
"Include": [ "{objectGUID1}", "{objectGUID2}", ... ],
"Exclude": [ "{objectGUID3}", "{objectGUID4}", ... ],
•Ersetzen Sie {objectGUID} durch die tatsächlichen objectGUID-Werte der Gruppen, die Sie ein- oder ausschließen möchten. Jede objectGUID muss als hexadezimale Zeichenfolge in geschweiften Klammern angegeben werden. Wenn Sie z. B. zwei Gruppen mit den objectGUID-Werten "12345678-1234-5678-1234-1234567890AB" und "98765432-4321-8765-4321-0987654321AB" haben, muss der Include-Abschnitt wie folgt aussehen:
"Include": [ "{12345678-1234-5678-1234-1234567890AB}", "{98765432-4321-8765-4321-0987654321AB}" ],
•Um eine Gruppe mit der objectGUID "55555555-5555-5555-5555-555555555555" auszuschließen, muss der Exclude-Abschnitt wie folgt aussehen:
"Exclude": [ "{55555555-5555-5555-5555-555555555555}" ],
|
4.Geben Sie das Active Directory-Benutzerpasswort ein, wenn Sie dazu aufgefordert werden.
5.Nachdem der Active Directory-Scanner die Synchronisierung abgeschlossen hat, wird Ihre Active Directory-Struktur (Organisationseinheiten mit Computern/Benutzern) unter Computer/Computerbenutzer in der ESET PROTECT-Web-Konsole als statische Gruppen mit Computern und/oder Benutzergruppen mit Benutzern unter Computerbenutzer angezeigt.
|
|
Der Active Directory-Scanner erstellt eine Active Directory-Synchronisierung im Windows-Taskplaner mit einem Trigger und einem Wiederholungsintervall von einer Stunde. Sie können das Active Directory-Synchronisierungsintervall im Taskplaner nach Ihren Wünschen anpassen. Alle zukünftigen Änderungen an der Active Directory-Struktur werden nach der nächsten Synchronisierung in der ESET PROTECT-Web-Konsole abgebildet.
|
|
|
Einschränkungen für die Active Directory-Synchronisierung:
•Der Active Directory-Scanner synchronisiert nur Active Directory-Organisationseinheiten, die Benutzer enthalten. Organisationseinheiten, die keine Benutzer enthalten, werden nicht synchronisiert.
•Wenn Sie eine Organisationseinheit in Active Directory löschen, werden alle Benutzer in der Einheit aus der entsprechenden Benutzergruppe in der ESET PROTECT-Web-Konsole entfernt. Leere synchronisierte Gruppen werden ebenfalls entfernt.
•Wenn Sie einen synchronisierten Active Directory-Benutzer aus der ESET PROTECT-Web-Konsole löschen, wird er nach der nächsten Synchronisierung nicht mehr angezeigt, obwohl er so lange in Active Directory verbleibt, bis synchronisierte Eigenschaften im Active Directory-Quellverzeichnis geändert werden. |
Verwenden Sie einen der folgenden Parameter, um die Hilfe zum Active Directory-Scanner anzuzeigen: -? -h --help.
Zur Fehlerbehebung können Sie die Logs unter C:\ProgramData\ESET\ActiveDirectoryScanner\Logs öffnen.
|
Alternativ können Sie eine der folgenden Lösungen als Problemumgehung verwenden:
•Liste der Computer aus Active Directory exportieren und in ESET PROTECT importieren
•ESET Management Agent als Gruppenrichtlinienobjekt auf den Active Directory-Computern bereitstellen
Liste der Computer aus Active Directory exportieren und in ESET PROTECT importieren
|
|
Diese Lösung bietet nur eine einmalige Active Directory-Synchronisierung und synchronisiert keine zukünftigen Änderungen in Active Directory.
|
1.Exportieren Sie die Liste der Computer aus Active Directory. Sie können verschiedene Tools verwenden, je nachdem, wie Sie Active Directory verwalten. Öffnen Sie zum Beispiel Active Directory-Benutzer und -Computer, klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf Computer und wählen Sie Liste exportieren aus.
2.Speichern Sie die Liste der exportierten Active Directory-Computer als .txt-Datei.
3.Passen Sie die Formatierung der Liste der Computer für den Import in ESET PROTECT an. Vergewissern Sie sich, dass jede Zeile einen Computer enthält und folgendes Format hat:
\GROUP\SUBGROUP\Computer name
4.Speichern Sie die aktualisierte .txt-Datei mit der Liste der Computer.
5.Importieren Sie die Liste der Active Directory-Computer in die ESET PROTECT-Web-Konsole. Klicken Sie auf die Computer, klicken Sie auf das Zahnradsymbol neben der statischen Gruppe Alle und wählen Sie Importieren aus.
ESET Management Agent als Gruppenrichtlinienobjekt auf den Active Directory-Computern bereitstellen
1.Erstellen Sie das GPO-Bereitstellungsskript für Agenten.
2.Stellen Sie den ESET Management Agenten mit einem Gruppenrichtlinienobjekt (GPO) bereit. Fangen Sie dazu mit Schritt 3 in unserem Knowledgebase-Artikel an.
3.Nach der erfolgreichen Bereitstellung des ESET Management Agenten mit einem GPO wird der ESET Management Agent auf den Active Directory-Computern installiert, und die Computer werden in der ESET PROTECT-Web-Konsole unter Computer angezeigt.
Wenn Sie in Zukunft neue Computer in Active Directory hinzufügen, werden diese Computer in der ESET PROTECT-Web-Konsole unter Computer angezeigt.
|
