Utilice el ESET Active Directory Scanner para sincronizar los ordenadores y usuarios de Active Directory con ESET PROTECT Web Console.
|
|
ESET actualiza Active Directory Scanner de forma periódica para mejorar su funcionalidad. Puede ver más detalles en el registro de cambios.
|
Requisitos previos
•Ejecute Active Directory Scanner como usuario de Active Directory en un ordenador conectado a Active Directory.
•Sistemas operativos compatibles (compatibilidad con HTTP/2): Windows 10, Windows Server 2016 y versiones posteriores.
•Descargue e instale .NET Core Runtime.
•Prepare el archivo de configuración de usuarios (config.json) para la sincronización de usuarios de Active Directory. config.json está incluido en el archivo .zip Active Directory Scanner.
•Permiso de derechos de acceso del usuario para el token de acceso del análisis de AD: Escritura
Uso de Active Directory Scanner
1.En ESET PROTECT Web Console, cree el script de implementación de GPO del agente.
2.Inicie sesión en un ordenador en su Active Directory con una cuenta de usuario de Active Directory. Asegúrese de que se ajusta a los requisitos previos mencionados.
3.Descargue el Active Directory Scanner más reciente en el ordenador.
4.Descomprima el archivo descargado.
5.Descargue el script de implementación de GPO del agente (creado en el paso 1) y cópielo en la carpeta ActiveDirectoryScanner (una carpeta que contiene todos los archivos de Active Directory Scanner).
1.En ESET PROTECT Web Console, vaya a Ordenadores y seleccione el grupo estático en el que desea sincronizar la estructura de Active Directory.
2.Haga clic en el icono del engranaje  situado junto al grupo estático seleccionado y seleccione  Active Directory Scanner.
3.Haga clic en Generar para obtener el token de acceso.
|
|
Cada grupo estático tiene un token. El token identifica el grupo estático en el que se sincronizará Active Directory.
Para invalidar el token actual por motivos de seguridad, haga clic en Volver a generar para crear un nuevo token. Si la sincronización de Active Directory con ESET PROTECT ya se está ejecutando, la sincronización se detendrá tras el cambio de token de seguridad. Debe ejecutar Active Directory Scanner con el nuevo token para volver a activar la sincronización de Active Directory.
Para eliminar el token por motivos de seguridad, haga clic en Desactivar token. Para confirmar la desactivación del token, haga clic en Desactivar.
|
4.Ejecute Active Directory Scanner (sustituya token_string por el token que ha copiado en el paso anterior).
ActiveDirectoryScanner.exe --token token_string
|
|
De forma predeterminada, el Active Directory Scanner más reciente no sincroniza los ordenadores Active Directory desactivados. Para sincronizar ordenadores Active Directory desactivados, utilice el parámetro --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Cuando se le solicite, escriba la contraseña de usuario de Active Directory.
6.Cuando Active Directory Scanner finalice la sincronización, la estructura de Active Directory (unidades organizativas con ordenadores) aparecerá en Ordenadores en ESET PROTECT Web Console como grupos estáticos con los ordenadores.
|
|
Incluir o excluir la estructura de la unidad organizativa
Para incluir o excluir la estructura de la unidad organizativa, determine la ruta (por ejemplo: "Users/Bratislava/TechDepartment"). "ExcludeByID" funciona con sid de forma predeterminada.
Un ejemplo de la sintaxis:
"Include": [
"path"
],
"Exclude": [
"path"
],
"ExcludeByID": [
"sid1", "sid2"...
],
Ejemplo: "Include" "path" "Users/Bratislava/TechDepartment" tiene más subunidades, puede excluir cualquier subunidad con "exclude" "path" "Users/Bratislava/TechDepartment/Test"
|
|
|
Active Directory Scanner crea una tarea de Sincronización de Active Directory en el Programador de tareas de Windows con un intervalo de repetición del desencadenador de 1 hora. Puede ajustar el intervalo de sincronización de Active Directory en el Programador de tareas en función de sus preferencias. Los futuros cambios realizados en la estructura de Active Directory se reflejarán en ESET PROTECT Web Console tras la siguiente sincronización.
|
|
|
Limitaciones de sincronización con Active Directory:
•Active Directory Scanner solo sincroniza unidades organizativas de Active Directory que contengan ordenadores con nombres DNS. Las unidades organizativas que no contengan ordenadores no se sincronizarán.
•Si el nombre de la unidad organizativa cambia en Active Directory, se creará un nuevo grupo estático con el nuevo nombre en ESET PROTECT Web Console tras la siguiente sincronización. El grupo estático correspondiente al nombre de la unidad organizativa anterior continuará siendo ESET PROTECT Web Console y estará en blanco. los ordenadores incluidos se moverán al grupo estático con el nuevo nombre.
•Si elimina una unidad organizativa en Active Directory, todos los ordenadores de la unidad se quitarán del grupo estático correspondiente en ESET PROTECT Web Console.
•Si elimina un ordenador de Active Directory sincronizado de ESET PROTECT Web Console, este no volverá a aparecer tras la próxima sincronización, aunque permanezca en Active Directory. |
Para ver la ayuda de Active Directory Scanner, utilice uno de estos parámetros: -? -h --help.
Para resolver problemas, consulte los registros que se encuentran en C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Si elimina un ordenador de Active Directory, el ordenador también se eliminará de ESET PROTECT Web Console.
|
|
1.En ESET PROTECT Web Console, vaya a Más > Usuarios del ordenador y seleccione el grupo de usuarios en el que desea sincronizar la estructura de Active Directory.
2.Haga clic en el icono del engranaje situado junto al grupo estático seleccionado, seleccione Active Directory Scanner y copie el token de acceso generado.
3.Haga clic en Generar para obtener el token de acceso.
|
|
Cada grupo estático tiene su token. El token identifica el grupo estático en el que se sincronizará Active Directory.
Para invalidar el token actual por motivos de seguridad, haga clic en Volver a generar para crear un nuevo token. Si la sincronización de Active Directory con ESET PROTECT ya se está ejecutando, la sincronización se detendrá tras el cambio de token de seguridad. Debe ejecutar Active Directory Scanner con el nuevo token para volver a activar la sincronización de Active Directory.
Para eliminar el token por motivos de seguridad, haga clic en Desactivar token. Para confirmar la desactivación del token, haga clic en Desactivar.
|
3.Ejecute Active Directory Scanner (sustituya token_string por el token que ha copiado en el paso anterior).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token y --token se pueden usar al mismo tiempo. A continuación, la herramienta sincronizará tanto los ordenadores como los usuarios.
|
|
|
Las recomendaciones del archivo de configuración de usuarios (config.json)
Siga las recomendaciones de formato para configurar el archivo config.json (ubicado en la misma carpeta que ActiveDirectoryScanner.exe). Haga una copia de seguridad del archivo antes de editarlo (puede volver a descargar una copia nueva si es necesario).
•Elimine los comentarios; solo son instrucciones.
•Utilice los campos "Include" y "Exclude" para especificar los grupos incluidos en la sincronización o excluidos de ella.
•De acuerdo con las instrucciones del archivo config.json, recomendamos identificar los grupos utilizando objectGUID, no Distinguished Name.
•Escriba los valores de objectGUID en el siguiente formato:
"Include": [ "{objectGUID1}", "{objectGUID2}", ... ],
"Exclude": [ "{objectGUID3}", "{objectGUID4}", ... ],
•Sustituya {objectGUID} por los valores de objectGUID reales de los grupos que desea incluir o excluir. Cada objectGUID debe tener el formato de una cadena hexadecimal entre llaves. Por ejemplo, si tiene dos grupos con valores de objectGUID de "12345678-1234-5678-1234-1234567890AB" y "98765432-4321-8765-4321-0987654321AB", la sección Include sería como se indica a continuación:
"Include": [ "{12345678-1234-5678-1234-1234567890AB}", "{98765432-4321-8765-4321-0987654321AB}" ],
•Para excluir un grupo con objectGUID "55555555-5555-5555-5555-555555555555", la sección Exclude sería como se indica a continuación:
"Exclude": [ "{55555555-5555-5555-5555-555555555555}" ],
|
4.Cuando se le solicite, escriba la contraseña de usuario de Active Directory.
5.Cuando Active Directory Scanner finalice la sincronización, la estructura de Active Directory (unidades organizativas con ordenadores/usuarios) aparecerá en Ordenadores/Usuarios del ordenador en ESET PROTECT Web Console como grupos estáticos con los ordenadores o Grupos de usuarios con los usuarios de Usuarios del ordenador.
|
|
Active Directory Scanner crea una tarea de Sincronización de Active Directory en el Programador de tareas de Windows con un intervalo de repetición del desencadenador de 1 hora. Puede ajustar el intervalo de sincronización de Active Directory en el Programador de tareas en función de sus preferencias. Los futuros cambios realizados en la estructura de Active Directory se reflejarán en ESET PROTECT Web Console tras la siguiente sincronización.
|
|
|
Limitaciones de sincronización con Active Directory:
•Active Directory Scanner solo sincroniza las unidades organizativas de Active Directory que contienen usuarios. Las unidades organizativas que no contengan usuarios no se sincronizarán.
•Si elimina una unidad organizativa en Active Directory, todos los usuarios de la unidad se quitarán del grupo de usuarios correspondiente en ESET PROTECT Web Console. Los grupos sincronizados vacíos también se quitan.
•Si elimina un usuario de Active Directory sincronizado desde ESET PROTECT Web Console, este no volverá a aparecer tras la siguiente sincronización, aunque permanezca en Active Directory hasta que alguna de las propiedades sincronizadas se cambie en el origen Active Directory. |
Para ver la ayuda de Active Directory Scanner, utilice uno de estos parámetros: -? -h --help.
Para resolver problemas, consulte los registros que están en C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
También puede utilizar una de las soluciones alternativas que se indican a continuación:
•Exportar la lista de ordenadores de Active Directory e importarla en ESET PROTECT
•Implementar ESET Management Agent en los ordenadores de Active Directory mediante un objeto de política de grupo
Exportar la lista de ordenadores de Active Directory e importarla en ESET PROTECT
|
|
Esta solución solo proporciona una sincronización de Active Directory, y no sincroniza cambios futuros de Active Directory.
|
1.Exporte la lista de ordenadores desde Active Directory. Puede utilizar varias herramientas, en función del modo de administración de Active Directory. Por ejemplo, abra Usuarios y ordenadores de Active Directory y, en su dominio, haga clic con el botón derecho del ratón en Ordenadores y seleccione Exportar lista.
2.Guarde la lista de ordenadores de Active Directory exportados como archivo .txt.
3.Modifique la lista de ordenadores para que su formato sea aceptable para la importación en ESET PROTECT. Asegúrese de que cada línea contenga un equipo y que posea el siguiente formato:
\GROUP\SUBGROUP\Computer name
4.Guarde el archivo .txt actualizado con la lista de ordenadores.
5.Importe la lista de ordenadores de Active Directory en ESET PROTECT Web Console. Haga clic en Ordenadores > haga clic en el icono del engranaje situado junto al grupo estático Todos y seleccione Importar.
Implementar ESET Management Agent en los ordenadores de Active Directory mediante un objeto de política de grupo
1.Cree el script de implementación GPO del agente.
2.Implemente ESET Management Agente mediante un objeto de política de grupo (GPO): comience por el paso 3 del artículo de la base de conocimiento. .
3.Una vez implementado ESET Management Agent correctamente mediante GPO, ESET Management Agent se instalará en los ordenadores de Active Directory y los ordenadores aparecerán en la pantalla Ordenadores de ESET PROTECT Web Console.
Cuando agregue un nuevo ordenador a Active Directory en el futuro, aparecerá en la pantalla Ordenadores de ESET PROTECT Web Console.
|
