Use el Explorador de ESET Active Directory para sincronizar los usuarios y equipos Active Directory con la consola web de ESET PROTECT.
|
|
ESET actualiza el explorador de Active Directory en forma periódica para mejorar su funcionalidad. Puede ver más detalles en el registro de cambios.
|
Requisitos previos
•Ejecute el Explorador de Active Directory como usuario de Active Directory en un equipo conectado a Active Directory.
•Sistemas operativos compatibles (soporte para HTTP/2): Windows 10, Windows Server 2016 y posteriores.
•Descargue e instale .NET Core Runtime.
•Prepare el archivo de configuración del usuario (config.json) para la sincronización del usuario de Active Directory. config.json está incluido en el archivo comprimido del explorador de Active Directory.
•Permiso de derechos de acceso de usuario para Token de acceso al explorador AD: Escribir
Uso del Explorador Active Directory
1.En la consola web de ESET PROTECT, cree el script de instalación del agente GPO.
2.Inicie sesión en un equipo en su Active Directory con una cuenta de usuario de Active Directory. Asegúrese de que se ajusta a los requisitos previos mencionados.
3.Descargue el Explorador de Active Directory más reciente en su equipo.
4.Descomprima el archivo descargado.
5.Descargue el script de instalación del agente GPO (creado en el paso 1) y cópielo en la carpeta ActiveDirectoryScanner (una carpeta que contiene todos los archivos del Explorador de Active Directory).
1.En la consola web de ESET PROTECT, vaya a Equipos y seleccione el grupo estático en el que quiere sincronizar la estructura de Active Directory.
2.Haga clic en el ícono del engranaje  junto al grupo estático seleccionado y seleccione  Explorador de Active Directory.
3.Haga clic en Generar para obtener el token de acceso.
|
|
Cada grupo estático tiene un token. El token identifica el grupo estático en el que se sincronizará Active Directory.
Para invalidar el token actual por cuestiones de seguridad, haga clic en Regenerar para crear un nuevo token. Si la sincronización de Active Directory con ESET PROTECT todavía está en ejecución, la sincronización se detendrá luego del cambio del token de seguridad. Debe ejecutar el Explorador de Active Directory con el nuevo token para volver a habilitar la sincronización de Active Directory.
Para eliminar el token por motivos de seguridad, haga clic en Desactivar token. Para confirmar la desactivación del token, haga clic en Desactivar.
|
4.Ejecute el Explorador de Active Directory (reeemplace token_string con el token que copió en el paso anterior).
ActiveDirectoryScanner.exe --token token_string
|
|
De forma predeterminada, la versión más reciente del Explorador de Active Directory no sincroniza equipos de Active Directory deshabilitados. Para sincronizar equipos de Active Directory deshabilitados, use el parámetro --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Cuando se lo soliciten, escriba la contraseña de usuario de Active Directory.
6.Una vez que el Explorador de Active Directory completa la sincronización, su estructura de Active Directory (unidades organizacionales con equipos) se mostrará en Equipos en la consola web de ESET PROTECT como grupos estáticos con equipos.
|
|
Incluir o excluir la estructura de la unidad organizativa
Para incluir o excluir la estructura de la unidad organizativa, determine la ruta (por ejemplo: "Users/Bratislava/TechDepartment"). "ExcludeByID" funciona con sid de forma predeterminada.
Un ejemplo de la sintaxis:
"Include": [
"path"
],
"Exclude": [
"path"
],
"ExcludeByID": [
"sid1", "sid2"...
],
Ejemplo: "Include" "path" "Users/Bratislava/TechDepartment" tiene más subunidades, puede excluir cualquier subunidad con "exclude" "path" "Users/Bratislava/TechDepartment/Test"
|
|
|
El Explorador de Active Directory crea una tarea de Sincronización de Active Directory en las Tareas Programadas de Windows, con un intervalo de repetición de la ejecución establecido en 1 hora. Puede ajustar el intervalo de sincronización de Active Directory en el Programador de Tareas en función de sus preferencias. Los cambios futuros que tengan lugar en su estructura de Active Directory se reflejarán en la consola web de ESET PROTECT con posterioridad a la siguiente sincronización.
|
|
|
Limitaciones de la sincronización con Active Directory:
•El Explorador de Active Directory sincroniza únicamente las unidades organizacionales de Active Directory que contienen equipos con nombres DNS. Las unidades organizacionales que no contienen equipos no se sincronizarán.
•Si el nombre de la unidad organizacional se modifica en Active Directory, se creará un nuevo grupo estático con el nuevo nombre en la consola web de ESET PROTECT luego de la siguiente sincronización. El grupo estático que corresponde al nombre de la antigua unidad organizacional permanecerá en la consola web de ESET PROTECT y quedará vacío. Los equipos incluidos se moverán al grupo estático con el nuevo nombre.
•Si elimina una unidad organizacional en Active Directory, todos los equipos incluidos en ella se quitarán del grupo estático correspondiente en la consola web de ESET PROTECT.
•Si quita un equipo de Active Directory sincronizado desde la consola web de ESET PROTECT, no volverá a aparecer luego de la próxima sincronización, incluso aunque permanezca en Active Directory. |
Para ver la ayuda del Explorador de Active Directory, use uno de estos parámetros: -? -h --help.
Para resolver problemas, consulte los registros ubicados en C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Si elimina un equipo de Active Directory, también se eliminará de la consola web ESET PROTECT.
|
|
1.En la consola web de ESET PROTECT, vaya a Más > Usuarios del equipo y seleccione el Grupo de usuarios en el que quiere sincronizar la estructura de Active Directory.
2.Haga clic en el ícono del engranaje junto al Grupo de usuarios y seleccione Explorador de Active Directory y copie el token de acceso generado.
3.Haga clic en Generar para obtener el token de acceso.
|
|
Cada grupo estático tiene su token. El token identifica el grupo estático en el que se sincronizará Active Directory.
Para invalidar el token actual por cuestiones de seguridad, haga clic en Regenerar para crear un nuevo token. Si la sincronización de Active Directory con ESET PROTECT todavía está en ejecución, la sincronización se detendrá luego del cambio del token de seguridad. Debe ejecutar el Explorador de Active Directory con el nuevo token para volver a habilitar la sincronización de Active Directory.
Para eliminar el token por motivos de seguridad, haga clic en Desactivar token. Para confirmar la desactivación del token, haga clic en Desactivar.
|
3.Ejecute el Explorador de Active Directory (reeemplace token_string con el token que copió en el paso anterior).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token y --token se pueden usar al mismo tiempo. A continuación, la herramienta sincronizará tanto los equipos como los usuarios.
|
|
|
Las recomendaciones del archivo de configuración de usuario (config.json)
Siga las recomendaciones de formato para configurar el archivo config.json (ubicado en la misma carpeta que ActiveDirectoryScanner.exe). Haga una copia de seguridad del archivo antes de editarlo (puede volver a descargar una copia nueva si es necesario).
•Elimine los comentarios; solo sirven como instrucciones.
•Utilice los campos "Exclude" y "Include" para especificar los grupos incluidos o excluidos para la sincronización.
•De acuerdo con las instrucciones del archivo config.json, se recomienda identificar los grupos con el archivo objectGUID en vez de Distinguished Name.
•Escriba los valores objectGUID en el siguiente formato:
"Include": [ "{objectGUID1}", "{objectGUID2}", ... ],
"Exclude": [ "{objectGUID3}", "{objectGUID4}", ... ],
•Reemplace {objectGUID} con los valores reales de objectGUID de los grupos que desea incluir o excluir. Cada objectGUID debe tener el formato de una cadena hexadecimal rodeada de llaves. Por ejemplo, si tiene dos grupos con valores de objectGUID de "12345678-1234-5678-1234-1234567890AB" y "98765432-4321-8765-4321-0987654321AB", la sección Include se vería así:
"Include": [ "{12345678-1234-5678-1234-1234567890AB}", "{98765432-4321-8765-4321-0987654321AB}" ],
•Para excluir un grupo con objectGUID "55555555-5555-5555-5555-555555555555", la sección Exclude se vería así:
"Exclude": [ "{55555555-5555-5555-5555-555555555555}" ],
|
4.Cuando se lo soliciten, escriba la contraseña de usuario de Active Directory.
5.Una vez que el Explorador de Active Directory completa la sincronización, su estructura de Active Directory (unidades organizativas con equipos/usuarios) se mostrará en Equipos/equipos en la consola web de ESET PROTECT como grupos estáticos con equipos o Grupos de usuarios con Usuarios en Usuarios del equipo.
|
|
El Explorador de Active Directory crea una tarea de Sincronización de Active Directory en las Tareas Programadas de Windows, con un intervalo de repetición de la ejecución establecido en 1 hora. Puede ajustar el intervalo de sincronización de Active Directory en el Programador de Tareas en función de sus preferencias. Los cambios futuros que tengan lugar en su estructura de Active Directory se reflejarán en la consola web de ESET PROTECT con posterioridad a la siguiente sincronización.
|
|
|
Limitaciones de la sincronización con Active Directory:
•El explorador Active Directory solo sincroniza unidades organizativas de Active Directory que contengan usuarios. No se sincronizarán las unidades organizativas que no contengan ningún usuario.
•Si elimina una unidad organizativa en Active Directory, todos los usuarios incluidos en ella se quitarán del Grupo de usuarios correspondiente en la consola web de ESET PROTECT. También se quitarán los grupos sincronizados vacíos.
•Si elimina un usuario de Active Directory sincronizado de la consola web de ESET PROTECT, no volverá a aparecer después de la siguiente sincronización, aunque permanezca en Active Directory hasta que algunas de las propiedades sincronizadas se cambien en el origen de Active Directory. |
Para ver la ayuda del Explorador de Active Directory, use uno de estos parámetros: -? -h --help.
A los efectos de la resolución de problemas, puede ver los registros ubicados en C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
De manera alternativa, puede usar una de las siguientes soluciones:
•Exportar la lista de equipos de Active Directory e importarla en ESET PROTECT.
•Implemente el agente ESET Management en equipos de Active Directory mediante el uso de un objeto de políticas de grupos
Exportar la lista de equipos de Active Directory e importarla en ESET PROTECT.
|
|
Esta solución aporta una sincronización por única vez de Active Directory solamente y no sincroniza cambios futuros de Active Directory.
|
1.Exporte la lista de equipos de Active Directory. Puede usar varias herramientas, según la manera en que administre Active Directory. Por ejemplo, abra Usuarios y equipos de Active Directory y, debajo de su dominio, haga clic con el botón secundario en Equipos y seleccione Exportar lista.
2.Guarde la lista de equipos exportados de Active Directory como archivo .txt.
3.Modifique la lista de equipos para que su formato sea el correcto para importar en ESET PROTECT. Asegúrese de que cada línea contenga un equipo y que posea el siguiente formato:
\GROUP\SUBGROUP\Computer name
4.Guarde el archivo .txt actualizado con la lista de equipos.
5.Importe la lista de equipos de Active Directory en la consola web de ESET PROTECT. Haga clic en Equipos > y, luego, en el ícono del engranaje junto a Todos los grupos estáticos y seleccione Importar.
Implemente el agente ESET Management en equipos de Active Directory mediante el uso de un objeto de políticas de grupos
1.Cree el script de instalación del agente GPO.
2.Implemente el agente ESET Management mediante el uso de un objeto de políticas de grupos (GPO): comience con el paso 3 de nuestro Artículo de base de conocimiento.
3.Tras la implementación correcta del agente ESET Management a través de GPO, el agente ESET Management se instalará en equipos de Active Directory y los equipos se mostrarán en la pantalla de los equipos de la consola web de ESET PROTECT.
Cada vez que, de allí en más, agregue un nuevo equipo a Active Directory, se mostrará en la pantalla de Equipos de la Consola web de ESET PROTECT.
|
