Χρησιμοποιήστε τη Σάρωση του Active Directory της ESET για να συγχρονίσετε τους υπολογιστές και τους χρήστες του Active Directory με την Κονσόλα διαδικτύου ESET PROTECT.
|
|
Η ESET ενημερώνει τακτικά τη Σάρωση του Active Directory για να βελτιώνει τη λειτουργικότητά του. Μπορείτε να βρείτε περισσότερες λεπτομέρειες στο αρχείο καταγραφής αλλαγών.
|
Προαπαιτούμενα
•Εκτελέστε τη Σάρωση του Active Directory ως χρήστης του Active Directory σε έναν υπολογιστή που είναι συνδεδεμένος στο Active Directory.
•Υποστηριζόμενα λειτουργικά συστήματα (υποστήριξη για HTTP/2): Windows 10, Windows Server 2016 και νεότερες εκδόσεις.
•Πραγματοποιήστε λήψη και εγκατάσταση του .NET Core Runtime.
•Προετοιμάστε το αρχείο ρύθμισης παραμέτρων χρήστη (config.json) για Συγχρονισμό χρήστη Active Directory. Το config.json περιλαμβάνεται στο αρχείο zip Σάρωση Active Directory.
•Άδεια δικαιωμάτων πρόσβασης χρήστη για το Σύμβολο πρόσβασης σάρωσης AD: Εγγραφή
Χρήση της Σάρωσης του Active Directory
1.Στην κονσόλα διαδικτύου ESET PROTECT, δημιουργήστε τη δέσμη ενεργειών ανάπτυξης του GPO Φορέα.
2.Συνδεθείτε σε έναν υπολογιστή στο Active Directory με έναν λογαριασμό χρήστη του Active Directory. Βεβαιωθείτε ότι πληροί τα προαπαιτούμενα που αναφέρονται παραπάνω.
3.Πραγματοποιήστε λήψη της πιο πρόσφατης Σάρωσης του Active Directory στον υπολογιστή.
4.Αποσυμπιέστε το αρχείο λήψης.
5.Πραγματοποιήστε λήψη της δέσμης ενεργειών ανάπτυξης του GPO Φορέα (που δημιουργήθηκε στο βήμα 1) και αντιγράψτε την στο φάκελο ActiveDirectoryScanner (ένας φάκελος που περιέχει όλα τα αρχεία της Σάρωσης τουActive Directory).
1.Στην κονσόλα διαδικτύου ESET PROTECT, μεταβείτε στο στοιχείο Υπολογιστές και επιλέξτε τη στατική ομάδα στην οποία θέλετε να συγχρονίσετε τη δομή του Active Directory.
2.Κάντε κλικ στο εικονίδιο γραναζιού  που βρίσκεται δίπλα στην επιλεγμένη στατική ομάδα και επιλέξτε  Σάρωση του Active Directory.
3.Κάντε κλικ στο στοιχείο Δημιουργία για να λάβετε το σύμβολο πρόσβασης.
|
|
Κάθε στατική ομάδα έχει ένα σύμβολο. Το σύμβολο ταυτοποιεί τη στατική ομάδα στην οποία θα συγχρονιστεί το Active Directory.
Για να ακυρώσετε το τρέχον σύμβολο για λόγους ασφαλείας, κάντε κλικ στο στοιχείο Αναδημιουργία για να δημιουργήσετε ένα νέο σύμβολο. Εάν ο συγχρονισμός Active Directory με το ESET PROTECT εκτελείται ήδη, ο συγχρονισμός θα διακοπεί μετά την αλλαγή του συμβόλου ασφαλείας. Πρέπει να εκτελέσετε τη Σάρωση του Active Directory με το νέο σύμβολο για να ενεργοποιήσετε ξανά το συγχρονισμό του Active Directory.
Για να καταργήσετε το σύμβολο για λόγους ασφαλείας, κάντε κλικ στο στοιχείο Απενεργοποίηση συμβόλου. Για να επιβεβαιώσετε την απενεργοποίηση του συμβόλου, κάντε κλικ στο στοιχείο Απενεργοποίηση.
|
4.Εκτελέστε τη Σάρωση του Active Directory (αντικαταστήστε το token_string με το σύμβολο που αντιγράψατε στο προηγούμενο βήμα).
ActiveDirectoryScanner.exe --token token_string
|
|
Από προεπιλογή, η πιο πρόσφατη Σάρωση του Active Directory δεν συγχρονίζει απενεργοποιημένους υπολογιστές του Active Directory. Για να συγχρονίσετε απενεργοποιημένους υπολογιστές του Active Directory, χρησιμοποιήστε την παράμετρο --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Όταν σας ζητηθεί, πληκτρολογήστε τον κωδικό πρόσβασης χρήστη του Active Directory.
6.Αφού ολοκληρωθεί ο συγχρονισμός της σάρωσης του Active Directory, η δομή Active Directory (οργανωτικές μονάδες με υπολογιστές) θα εμφανίζεται στο στοιχείο Υπολογιστές της κονσόλας διαδικτύου ESET PROTECT ως στατικές ομάδες με υπολογιστές.
|
|
Η Σάρωση του Active Directory δημιουργεί μια εργασία που ονομάζεται Συγχρονισμός Active Directory στον Προγραμματισμό εργασιών των Windows με ένα χρονικό διάστημα επανάληψης ερεθίσματος που ορίζεται σε 1 ώρα. Μπορείτε να προσαρμόσετε το χρονικό διάστημα συγχρονισμού Active Directory στον Προγραμματισμό εργασιών με βάση τις προτιμήσεις σας. Οποιεσδήποτε μελλοντικές αλλαγές στη δομή Active Directory θα αντανακλάται στην κονσόλα διαδικτύου ESET PROTECT μετά τον επόμενο συγχρονισμό.
|
|
|
Περιορισμοί συγχρονισμού του Active Directory:
•Η Σάρωση του Active Directory συγχρονίζει μόνο τις οργανωτικές μονάδες του Active Directory που περιέχουν υπολογιστές με ονόματα DNS. Οι οργανωτικές μονάδες που δεν περιέχουν κανέναν υπολογιστή δεν συγχρονίζονται.
•Εάν το όνομα της οργανωτικής μονάδας αλλάξει στο Active Directory, θα δημιουργηθεί μια νέα στατική ομάδα με το νέο όνομα στην κονσόλα διαδικτύου ESET PROTECT μετά τον επόμενο συγχρονισμό. Η στατική ομάδα που αντιστοιχεί στο παλιό όνομα της οργανωτικής μονάδας θα παραμείνει στην κονσόλα διαδικτύου ESET PROTECT και θα είναι κενή - οι υπολογιστές που περιλαμβάνει θα μετακινηθούν στη στατική ομάδα με το νέο όνομα.
•Εάν καταργήσετε μια οργανική μονάδα στο Active Directory, όλοι οι υπολογιστές σε αυτή θα καταργηθούν από την αντίστοιχη στατική ομάδα στην Κονσόλα διαδικτύου ESET PROTECT.
•Εάν καταργήσετε έναν συγχρονισμένο υπολογιστή Active Directory από την κονσόλα διαδικτύου ESET PROTECT, αυτός δεν θα εμφανιστεί ξανά μετά τον επόμενο συγχρονισμό, παρόλο που θα παραμένει στο Active Directory. |
Για να δείτε τη βοήθεια της Σάρωσης Active Directory, χρησιμοποιήστε μία από τις παρακάτω παραμέτρους: -? -h --help.
Για τους σκοπούς της αντιμετώπισης προβλημάτων, δείτε τα αρχεία καταγραφής που βρίσκονται στη διαδρομή C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Εάν καταργήσετε έναν υπολογιστή από το Active Directory, ο υπολογιστής θα καταργηθεί και από την Κονσόλα διαδικτύου ESET PROTECT.
|
|
1.Στην Κονσόλα διαδικτύου ESET PROTECT, μεταβείτε στα στοιχεία Περισσότερα > Χρήστες υπολογιστή και επιλέξτε την ομάδα χρηστών στην οποία θέλετε να συγχρονίσετε τη δομή του Active Directory.
2.Κάντε κλικ στο εικονίδιο με το Γρανάζι που βρίσκεται δίπλα στην επιλεγμένη ομάδα χρηστών, επιλέξτε Σάρωση του Active Directory και αντιγράψτε το σύμβολο πρόσβασης που δημιουργήθηκε.
3.Κάντε κλικ στο στοιχείο Δημιουργία για να λάβετε το σύμβολο πρόσβασης.
|
|
Κάθε ομάδα χρηστών έχει ένα σύμβολο. Το σύμβολο ταυτοποιεί την Ομάδα χρηστών με την οποία θα συγχρονιστεί το Active Directory.
Για να ακυρώσετε το τρέχον σύμβολο για λόγους ασφαλείας, κάντε κλικ στο στοιχείο Αναδημιουργία για να δημιουργήσετε ένα νέο σύμβολο. Εάν ο συγχρονισμός Active Directory με το ESET PROTECT εκτελείται ήδη, ο συγχρονισμός θα διακοπεί μετά την αλλαγή του συμβόλου ασφαλείας. Πρέπει να εκτελέσετε τη Σάρωση του Active Directory με το νέο σύμβολο για να ενεργοποιήσετε ξανά το συγχρονισμό του Active Directory.
Για να καταργήσετε το σύμβολο για λόγους ασφαλείας, κάντε κλικ στο στοιχείο Απενεργοποίηση συμβόλου. Για να επιβεβαιώσετε την απενεργοποίηση του συμβόλου, κάντε κλικ στο στοιχείο Απενεργοποίηση.
|
4.Εκτελέστε τη Σάρωση του Active Directory (αντικαταστήστε το token_string με το σύμβολο που αντιγράψατε στο προηγούμενο βήμα).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
Τα --user-token και --token μπορούν να χρησιμοποιηθούν ταυτόχρονα. Στη συνέχεια, το εργαλείο θα συγχρονίσει τόσο τους υπολογιστές όσο και τους χρήστες.
|
|
|
Οι συστάσεις του αρχείου ρύθμισης παραμέτρων χρήστη (config.json)
Ακολουθήστε τις συστάσεις για να ρυθμίσετε τις παραμέτρους του αρχείου config.json (που βρίσκεται στον ίδιο φάκελο με το ActiveDirectoryScanner.exe):
•Χρησιμοποιήστε πεδία "Include" και "Exclude" για να συμπεριλάβετε ή να εξαιρέσετε οργανικές μονάδες. Προσδιορίστε τη διαδρομή προς μια συγκεκριμένη μονάδα, για παράδειγμα: "Users\\Bratislava\\TechDepartment". Η διαδρομή πρέπει να αποτελείται μόνο από ονόματα μονάδων οργανισμού.
•Χρησιμοποιήστε το "ExcludeByID" για να εξαιρέσετε συγκεκριμένους χρήστες. Καθορίστε τα objectSid.
•Ένα παράδειγμα της σύνταξης:
"Include": [
"path1", "path2", ...
],
"Exclude": [
"path1","path2", ...
],
"ExcludeByID": [
"objectSid1", "objectSid2"...
],
•Παράδειγμα: Το "Include": ["Users\\Bratislava\\TechDepartment"] TechDepartment έχει περισσότερες υπομονάδες, μπορείτε να εξαιρέσετε οποιαδήποτε υπομονάδα με "Exclude": ["Users\\Bratislava\\TechDepartment\\Test"] |
5.Όταν σας ζητηθεί, πληκτρολογήστε τον κωδικό πρόσβασης χρήστη του Active Directory.
6.Αφού ολοκληρωθεί ο συγχρονισμός της Σάρωσης του Active Directory, η δομή του Active Directory (οργανωτικές μονάδες με υπολογιστές/χρήστες) θα εμφανίζεται στο στοιχείο Υπολογιστές/Χρήστες υπολογιστή στην Κονσόλα διαδικτύου ESET PROTECT ως στατικές ομάδες με υπολογιστές ή/και Ομάδες χρηστών με χρήστες σε Χρήστες υπολογιστή.
|
|
Η Σάρωση του Active Directory δημιουργεί μια εργασία που ονομάζεται Συγχρονισμός Active Directory στον Προγραμματισμό εργασιών των Windows με ένα χρονικό διάστημα επανάληψης ερεθίσματος που ορίζεται σε 1 ώρα. Μπορείτε να προσαρμόσετε το χρονικό διάστημα συγχρονισμού Active Directory στον Προγραμματισμό εργασιών με βάση τις προτιμήσεις σας. Οποιεσδήποτε μελλοντικές αλλαγές στη δομή Active Directory θα αντανακλάται στην κονσόλα διαδικτύου ESET PROTECT μετά τον επόμενο συγχρονισμό.
|
|
|
Περιορισμοί συγχρονισμού του Active Directory:
•Η Σάρωση του Active Directory συγχρονίζει μόνο τις οργανωτικές μονάδες του Active Directory που περιέχουν χρήστες. Οι οργανωτικές μονάδες που δεν περιέχουν κανέναν χρήστη δεν θα συγχρονίζονται.
•Εάν καταργήσετε μια οργανική μονάδα στο Active Directory, όλοι οι χρήστες στη μονάδα θα καταργηθούν από την αντίστοιχη ομάδα χρηστών στην Κονσόλα διαδικτύου ESET PROTECT. Επίσης, καταργούνται οι κενές συγχρονισμένες ομάδες.
•Εάν καταργήσετε έναν συγχρονισμένο Χρήστη του Active Directory από την Κονσόλα διαδικτύου ESET PROTECT, αυτός δεν θα εμφανιστεί ξανά μετά τον επόμενο συγχρονισμό, παρόλο που θα παραμένει στο Active Directory, μέχρι να αλλάξουν κάποιες συγχρονισμένες ιδιότητες στην προέλευση του Active Directory. |
Για να δείτε τη βοήθεια της Σάρωσης Active Directory, χρησιμοποιήστε μία από τις παρακάτω παραμέτρους: -? -h --help.
Για τους σκοπούς της αντιμετώπισης προβλημάτων, δείτε τα αρχεία καταγραφής που βρίσκονται στη διαδρομή C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Εναλλακτικά, μπορείτε να χρησιμοποιήσετε μία από τις παρακάτω λύσεις:
•Εξαγωγή της λίστας υπολογιστών από το Active Directory και εισαγωγή της στο ESET PROTECT
•Ανάπτυξη του Φορέα ESET Management σε υπολογιστές του Active Directory χρησιμοποιώντας ένα αντικείμενο πολιτικής ομάδας
Εξαγωγή της λίστας υπολογιστών από το Active Directory και εισαγωγή της στο ESET PROTECT
|
|
Αυτή η λύση παρέχει μόνο έναν εφάπαξ συγχρονισμό του Active Directory και δεν συγχρονίζει οποιεσδήποτε μελλοντικές αλλαγές του Active Directory.
|
1.Εξαγάγετε τη λίστα υπολογιστών από το Active Directory. Μπορείτε να χρησιμοποιήσετε διάφορα εργαλεία, ανάλογα με τον τρόπο που διαχειρίζεστε το Active Directory. Για παράδειγμα, ανοίξτε το στοιχείο Χρήστες και υπολογιστές του Active Directory και κάτω από τον τομέα σας, κάντε δεξί κλικ στο στοιχείο Υπολογιστές και επιλέξτε Εξαγωγή λίστας.
2.Αποθηκεύστε τη λίστα των εξαχθέντων υπολογιστών του Active Directory ως αρχείο .txt.
3.Τροποποιήστε τη λίστα υπολογιστών ώστε να είναι αποδεκτή η μορφοποίησή της για εισαγωγή στο ESET PROTECT. Βεβαιωθείτε ότι κάθε γραμμή περιέχει έναν υπολογιστή και έχει την ακόλουθη μορφή:
\GROUP\SUBGROUP\Computer name
4.Αποθηκεύστε το ενημερωμένο αρχείο .txt με τη λίστα υπολογιστών.
5.Εισαγάγετε τη λίστα υπολογιστών του Active Directory στην Κονσόλα διαδικτύου ESET PROTECT. Κάντε κλικ στο στοιχείο Υπολογιστές > κάντε κλικ στο εικονίδιο γραναζιού που βρίσκεται δίπλα στο στοιχείο Όλες οι Στατικές ομάδες και επιλέξτε Εισαγωγή.
Ανάπτυξη του Φορέα ESET Management σε υπολογιστές του Active Directory χρησιμοποιώντας ένα αντικείμενο πολιτικής ομάδας
1.Δημιουργήστε τη δέσμη ενεργειών ανάπτυξης GPO Φορέα.
2.Ανάπτυξη του Φορέα ESET Management χρησιμοποιώντας ένα αντικείμενο πολιτικής ομάδας (GPO) – ξεκινήστε με το βήμα 3 στο άρθρο της Γνωσιακής βάσης.
3.Μετά την επιτυχή ανάπτυξη του Φορέα ESET Management μέσω GPO, ο Φορέας ESET Management θα εγκατασταθεί στους υπολογιστές του Active Directory και οι υπολογιστές θα εμφανίζονται στην Κονσόλα διαδικτύου ESET PROTECT στην οθόνη Υπολογιστές.
Κάθε φορά που θα προσθέτετε έναν νέο υπολογιστή στο Active Directory στο μέλλον, θα εμφανίζεται στην Κονσόλα διαδικτύου ESET PROTECT, στην οθόνη Υπολογιστές.
|
