Verwenden Sie den ESET Active Directory-Scanner, um Active Directory-Computer und -Benutzer mit der ESET PROTECT-Web-Konsole zu synchronisieren.
|
|
ESET aktualisiert den Active Directory Scanner regelmäßig, um seine Funktionalität zu verbessern. Weitere Details finden Sie im Änderungslog.
|
Voraussetzungen
•Führen Sie den Active Directory-Scanner als Active Directory-Benutzer auf einem Computer aus, der mit Active Directory verbunden ist.
•Unterstützte Betriebssysteme (Unterstützung für HTTP/2): Windows 10, Windows Server 2016 und höher.
•Laden Sie .NET (Version 8.0) herunter und installieren Sie es.
•Bereiten Sie die Benutzerkonfigurationsdatei (config.json) für die Synchronisierung der Active Directory-Benutzer vor. config.json ist in der zip-Datei für den Active Directory Scanner enthalten.
•Benutzerzugriffsrechte für das AD Scanner-Zugriffstoken: Schreiben
Verwenden Sie das Active Directory-Scanner.
1.Erstellen Sie das GPO-Bereitstellungsskript für Agenten in der ESET PROTECT-Web-Konsole.
2.Melden Sie sich mit einem Active Directory-Benutzerkonto bei einem Computer in Ihrem Active Directory an. Stellen Sie sicher, dass die oben aufgeführten Voraussetzungen erfüllt sind.
3.Laden Sie den neuesten Active Directory-Scanner auf den Computer herunter.
4.Extrahieren Sie die heruntergeladene Datei.
5.Laden Sie das in Schritt 1 erstellte GPO-Bereitstellungsskript für Agenten herunter und kopieren Sie es in den Ordner ActiveDirectoryScanner (ein Ordner, der alle Dateien für den Active Directory-Scanner enthält).
1.Gehen Sie in der ESET PROTECT-Web-Konsole zu Computer und wählen Sie die statische Gruppe aus, mit der Sie die Active Directory-Verzeichnisstruktur synchronisieren möchten.
2.Klicken Sie auf das Zahnradsymbol  neben der ausgewählten statischen Gruppe und wählen Sie  Active Directory-Scanner aus.
3.Klicken Sie auf Generieren, um das Zugriffstoken zu erhalten.
|
|
Jede statische Gruppe hat ein Token. Das Token identifiziert die statische Gruppe, mit der das Active Directory synchronisiert wird.
Falls Sie das aktuelle Token aus Sicherheitsgründen ungültig machen möchten, klicken Sie auf Erneut generieren, um ein neues Token zu generieren. Falls die Active Directory-Synchronisierung mit ESET PROTECT bereits läuft, wird der Vorgang nach der Änderung des Sicherheitstokens unterbrochen. Sie müssen den Active Directory-Scanner mit dem neuen Token ausführen, um die Active Directory-Synchronisierung erneut zu aktivieren.
Klicken Sie auf Token deaktivieren, um das Token aus Sicherheitsgründen zu löschen. Klicken Sie auf Deaktivieren, um die Token-Deaktivierung zu bestätigen.
|
4.Führen Sie den Active Directory-Scanner aus (ersetzen Sie token_string durch das Token aus dem vorherigen Schritt).
ActiveDirectoryScanner.exe --token token_string
|
|
Deaktivierte Active Directory-Computer werden von der neuesten Version des Active Directory-Scanners standardmäßig nicht synchronisiert. Verwenden Sie den Parameter --disabled-computers wie folgt, um deaktivierte Active Directory-Computer zu synchronisieren:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
|
|
Synchronisierung von einem bestimmten Domänencontroller
Spezifischer Domänencontroller
Der Parameter --domain-controller gibt den Hostnamen oder die IP-Adresse des Computers an, mit dem eine Verbindung hergestellt werden soll, um Daten aus Active Directory abzurufen.
Wenn der Parameter --domain-controller vorhanden ist, werden die angegebenen Informationen in der Datenbank gespeichert. Wenn der Client ADScanner ausführt, verwendet er anschließend den in der Datenbank gespeicherten Domänencontroller.
Legen Sie den Parameter --domain-controller auf eine leere Zeichenfolge fest, um die Domänencontrollerkonfiguration zurückzusetzen. Beispiel: --domain-controller ""
Spezifischer Active Directory-Benutzername für den Domänencontroller
Mit dem Parameter --domain-controller-user können Sie den Active Directory-Benutzernamen angeben. Dieser Benutzername ist mit dem Parameter --domain-controller verbunden und wird für die Authentifizierung verwendet. Beispiel: --domain-controller-user "username"
Spezifischer Active Directory-Passwort für den Domänencontroller
Mit dem Parameter --domain-controller-password können Sie das Active Directory-Passwort angeben. Dieses Passwort ist mit dem im Parameter --domain-controller-user angegebenen Benutzernamen verbunden und wird für die Authentifizierung verwendet. Beispiel: --domain-controller-password "your_password"
|
5.Geben Sie das Active Directory-Benutzerpasswort ein, wenn Sie dazu aufgefordert werden.
6.Nachdem der Active Directory-Scanner die Synchronisierung abgeschlossen hat, wird Ihre Active Directory-Struktur (Organisationseinheiten mit Computern) unter Computer in der ESET PROTECT-Web-Konsole als statische Gruppen mit Computern angezeigt.
|
|
Der Active Directory-Scanner erstellt eine Active Directory-Synchronisierung im Windows-Taskplaner mit einem Trigger und einem Wiederholungsintervall von einer Stunde. Sie können das Active Directory-Synchronisierungsintervall im Taskplaner nach Ihren Wünschen anpassen. Alle zukünftigen Änderungen an der Active Directory-Struktur werden nach der nächsten Synchronisierung in der ESET PROTECT-Web-Konsole abgebildet.
Mit dem optionalen Parameter --no-scheduled-task können Sie die Synchronisierung ohne den Windows-Taskplaner starten. Active Directory wird nur einmal synchronisiert und zukünftige Änderungen in Active Directory werden nicht automatisch mit ESET PROTECT synchronisiert. Wenn der Task bereits existiert, wird er mit dem Parameter --no-scheduled-task nicht erneut erstellt oder aktualisiert.
|
|
|
Einschränkungen für die Active Directory-Synchronisierung:
•Der Active Directory-Scanner synchronisiert nur Active Directory-Organisationseinheiten, die Computer mit DNS-Namen enthalten. Organisationseinheiten, die keine Computer enthalten, werden nicht synchronisiert.
•Wenn sich der Name der Organisationseinheit in Active Directory ändert, wird nach der nächsten Synchronisierung eine neue statische Gruppe mit dem neuen Namen in der ESET PROTECT-Web-Konsole erstellt. Die statische Gruppe mit dem Namen der alten Organisationseinheit bleibt als leere Gruppe in der ESET PROTECT-Web-Konsole erhalten, und die enthaltenen Computer werden in die statische Gruppen mit dem neuen Namen verschoben.
•Wenn Sie eine Organisationseinheit in Active Directory löschen, werden alle Computer in der Einheit aus der entsprechenden statischen Gruppe in der ESET PROTECT-Web-Konsole entfernt.
•Wenn Sie einen synchronisierten Active Directory-Computer aus der ESET PROTECT-Web-Konsole löschen, wird er nach der nächsten Synchronisierung nicht mehr angezeigt, auch wenn er weiterhin in Active Directory vorhanden ist. |
Verwenden Sie einen der folgenden Parameter, um die Hilfe zum Active Directory-Scanner anzuzeigen: -? -h --help.
Zur Fehlerbehebung können Sie die Logs unter C:\ProgramData\ESET\ActiveDirectoryScanner\Logs öffnen.
|
|
Wenn Sie einen Computer aus dem Active Directory löschen, wird er auch aus der ESET PROTECT-Web-Konsole gelöscht.
|
|
1.Wechseln Sie in der ESET PROTECT-Web-Konsole zu Mehr > Computerbenutzer und wählen Sie die Benutzergruppe aus, für die Sie die Active Directory-Struktur synchronisieren möchten.
2.Klicken Sie auf das Zahnradsymbol neben der ausgewählten Benutzergruppe, wählen Sie Active Directory-Scanner aus und kopieren Sie das generierte Zugriffstoken.
3.Klicken Sie auf Generieren, um das Zugriffstoken zu erhalten.
|
|
Jede Benutzergruppe hat ein Token. Das Token identifiziert die Benutzergruppe, mit der das Active Directory synchronisiert wird.
Falls Sie das aktuelle Token aus Sicherheitsgründen ungültig machen möchten, klicken Sie auf Erneut generieren, um ein neues Token zu generieren. Falls die Active Directory-Synchronisierung mit ESET PROTECT bereits läuft, wird der Vorgang nach der Änderung des Sicherheitstokens unterbrochen. Sie müssen den Active Directory-Scanner mit dem neuen Token ausführen, um die Active Directory-Synchronisierung erneut zu aktivieren.
Klicken Sie auf Token deaktivieren, um das Token aus Sicherheitsgründen zu löschen. Klicken Sie auf Deaktivieren, um die Token-Deaktivierung zu bestätigen.
|
4.Führen Sie den Active Directory-Scanner aus (ersetzen Sie token_string durch das Token aus dem vorherigen Schritt).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token und --token können parallel verwendet werden. Anschließend synchronisiert das Tool die Computer und Benutzer.
|
|
|
Empfehlungen für die Benutzerkonfigurationsdatei (config.json)
Befolgen Sie die Empfehlungen für die config.json-Datei (im gleichen Ordner wie ActiveDirectoryScanner.exe).
•Verwenden Sie die Felder "Include" und "Exclude", um Organisationseinheiten ein- oder auszuschließen. Geben Sie den Pfad zur jeweiligen Einheit an, z. B. "Users\\Bratislava\\TechDepartment". Der Pfad darf nur Namen von Organisationseinheiten enthalten.
•Verwenden Sie "ExcludeByID", um bestimmte Benutzer auszuschließen. Geben Sie dazu deren objectSid an.
•Ein Beispiel für die Syntax:
"Include": [
"path1", "path2", ...
],
"Exclude": [
"path1","path2", ...
],
"ExcludeByID": [
"objectSid1", "objectSid2"...
],
•Beispiel: "Include": ["Users\\Bratislava\\TechDepartment"] TechDepartment hat mehr Untereinheiten und Sie können beliebige Untereinheiten mit "Exclude": ["Users\\Bratislava\\TechDepartment\\Test"] ausschließen. |
|
|
Synchronisierung von einem bestimmten Domänencontroller
Spezifischer Domänencontroller
Der Parameter --domain-controller gibt den Hostnamen oder die IP-Adresse des Computers an, mit dem eine Verbindung hergestellt werden soll, um Daten aus Active Directory abzurufen.
Wenn der Parameter --domain-controller vorhanden ist, werden die angegebenen Informationen in der Datenbank gespeichert. Wenn der Client ADScanner ausführt, verwendet er anschließend den in der Datenbank gespeicherten Domänencontroller.
Legen Sie den Parameter --domain-controller auf eine leere Zeichenfolge fest, um die Domänencontrollerkonfiguration zurückzusetzen. Beispiel: --domain-controller ""
Spezifischer Active Directory-Benutzername für den Domänencontroller
Mit dem Parameter --domain-controller-user können Sie den Active Directory-Benutzernamen angeben. Dieser Benutzername ist mit dem Parameter --domain-controller verbunden und wird für die Authentifizierung verwendet. Beispiel: --domain-controller-user "username"
Spezifischer Active Directory-Passwort für den Domänencontroller
Mit dem Parameter --domain-controller-password können Sie das Active Directory-Passwort angeben. Dieses Passwort ist mit dem im Parameter --domain-controller-user angegebenen Benutzernamen verbunden und wird für die Authentifizierung verwendet. Beispiel: --domain-controller-password "your_password"
|
5.Geben Sie das Active Directory-Benutzerpasswort ein, wenn Sie dazu aufgefordert werden.
6.Nachdem der Active Directory-Scanner die Synchronisierung abgeschlossen hat, wird Ihre Active Directory-Struktur (Organisationseinheiten mit Computern/Benutzern) unter Computer/Computerbenutzer in der ESET PROTECT-Web-Konsole als statische Gruppen mit Computern und/oder Benutzergruppen mit Benutzern unter Computerbenutzer angezeigt.
|
|
Der Active Directory-Scanner erstellt eine Active Directory-Synchronisierung im Windows-Taskplaner mit einem Trigger und einem Wiederholungsintervall von einer Stunde. Sie können das Active Directory-Synchronisierungsintervall im Taskplaner nach Ihren Wünschen anpassen. Alle zukünftigen Änderungen an der Active Directory-Struktur werden nach der nächsten Synchronisierung in der ESET PROTECT-Web-Konsole abgebildet.
Mit dem optionalen Parameter --no-scheduled-task können Sie die Synchronisierung ohne den Windows-Taskplaner starten. Active Directory wird nur einmal synchronisiert und zukünftige Änderungen in Active Directory werden nicht automatisch mit ESET PROTECT synchronisiert. Wenn der Task bereits existiert, wird er mit dem Parameter --no-scheduled-task nicht erneut erstellt oder aktualisiert.
|
|
|
Einschränkungen für die Active Directory-Synchronisierung:
•Der Active Directory-Scanner synchronisiert nur Active Directory-Organisationseinheiten, die Benutzer enthalten. Organisationseinheiten, die keine Benutzer enthalten, werden nicht synchronisiert.
•Wenn Sie eine Organisationseinheit in Active Directory löschen, werden alle Benutzer in der Einheit aus der entsprechenden Benutzergruppe in der ESET PROTECT-Web-Konsole entfernt. Leere synchronisierte Gruppen werden ebenfalls entfernt.
•Wenn Sie einen synchronisierten Active Directory-Benutzer aus der ESET PROTECT-Web-Konsole löschen, wird er nach der nächsten Synchronisierung nicht mehr angezeigt, obwohl er so lange in Active Directory verbleibt, bis synchronisierte Eigenschaften im Active Directory-Quellverzeichnis geändert werden. |
Verwenden Sie einen der folgenden Parameter, um die Hilfe zum Active Directory-Scanner anzuzeigen: -? -h --help.
Zur Fehlerbehebung können Sie die Logs unter C:\ProgramData\ESET\ActiveDirectoryScanner\Logs öffnen.
|
Alternativ können Sie eine der folgenden Lösungen als Problemumgehung verwenden:
•Liste der Computer aus Active Directory exportieren und in ESET PROTECT importieren
•ESET Management Agent als Gruppenrichtlinienobjekt auf den Active Directory-Computern bereitstellen
Liste der Computer aus Active Directory exportieren und in ESET PROTECT importieren
|
|
Diese Lösung bietet nur eine einmalige Active Directory-Synchronisierung und synchronisiert keine zukünftigen Änderungen in Active Directory.
|
1.Exportieren Sie die Liste der Computer aus Active Directory. Sie können verschiedene Tools verwenden, je nachdem, wie Sie Active Directory verwalten. Öffnen Sie zum Beispiel Active Directory-Benutzer und -Computer, klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf Computer und wählen Sie Liste exportieren aus.
2.Speichern Sie die Liste der exportierten Active Directory-Computer als .txt-Datei.
3.Passen Sie die Formatierung der Liste der Computer für den Import in ESET PROTECT an. Vergewissern Sie sich, dass jede Zeile einen Computer enthält und folgendes Format hat:
\GROUP\SUBGROUP\Computer name
4.Speichern Sie die aktualisierte .txt-Datei mit der Liste der Computer.
5.Importieren Sie die Liste der Active Directory-Computer in die ESET PROTECT-Web-Konsole. Klicken Sie auf die Computer, klicken Sie auf das Zahnradsymbol neben der statischen Gruppe Alle und wählen Sie Importieren aus.
ESET Management Agent als Gruppenrichtlinienobjekt auf den Active Directory-Computern bereitstellen
1.Erstellen Sie das GPO-Bereitstellungsskript für Agenten.
2.Stellen Sie den ESET Management Agenten mit einem Gruppenrichtlinienobjekt (GPO) bereit. Fangen Sie dazu mit Schritt 3 in unserem Knowledgebase-Artikel an.
3.Nach der erfolgreichen Bereitstellung des ESET Management Agenten mit einem GPO wird der ESET Management Agent auf den Active Directory-Computern installiert, und die Computer werden in der ESET PROTECT-Web-Konsole unter Computer angezeigt.
Wenn Sie in Zukunft neue Computer in Active Directory hinzufügen, werden diese Computer in der ESET PROTECT-Web-Konsole unter Computer angezeigt.
|
