Utilisez ESET Active Directory Scanner pour synchroniser les ordinateurs Active Directory et les utilisateurs avec ESET PROTECT Web Console.
|
|
ESET met régulièrement à jour l’analyseur d’Active Directory afin d’améliorer ses fonctionnalités. Vous trouverez plus de détails dans le journal des modifications.
|
Configuration requise
•Exécutez Scanner Active Directory en tant qu’utilisateur Active Directory sur un ordinateur connecté à Active Directory.
•Systèmes d'exploitation pris en charge (prise en charge de HTTP/2) : Windows 10, Windows Server 2016 et versions ultérieures.
•Téléchargez et installez .NET Core Runtime.
•Préparez le fichier de configuration utilisateur (config.json) pour la synchronisation des utilisateurs Active Directory. Le fichier config.json est inclus dans le fichier compressé de l' analyseur Active Directory.
•Autorisation de droits d’accès utilisateur pour le jeton d’accès à l'analyseur AD : Écrire
À l'aide de Active Directory analyseur.
1.Dans ESET PROTECT Web Console, créez le script de déploiement de l'agent GPO.
2.Connectez-vous à un ordinateur de votre Active Directory avec un compte d’utilisateur Active Directory. Assurez-vous qu'il satisfait aux conditions préalables indiqués ci-dessus.
3.Téléchargez Active Directory Scanner le plus récent sur l'ordinateur.
4.Décompressez le fichier téléchargé.
5.Téléchargez le script de déploiement de l'agent GPO (créé à l'étape 1) et copiez-le dans le dossier ActiveDirectoryScanner (un dossier contenant tous les fichiers d'Active Directory Scanner).
1.Dans ESET PROTECT Web Console, accédez à Ordinateurs, puis sélectionnez le groupe statique dans lequel vous souhaitez synchroniser la structure d'Active Directory.
2.Cliquez sur l'icône de l'engrenage  à côté du groupe statique sélectionné et sélectionnez  Active Directory Scanner.
3.Cliquez sur Générer pour obtenir le jeton d’accès.
|
|
Chaque groupe statique possède un jeton. Le jeton indique le groupe statique dans lequel Active Directory sera synchronisé.
Pour invalider le jeton actuel pour des raisons de sécurité, cliquez sur Regénérer pour créer un nouveau jeton. Si la synchronisation Active Directory avec ESET PROTECT est déjà en cours d'exécution, la synchronisation s'arrêtera après le changement de jeton de sécurité. Vous devez exécuter Scanner Active Directory avec le nouveau jeton pour réactiver la synchronisation Active Directory.
Pour supprimer le jeton pour des raisons de sécurité, cliquez sur Désactiver le jeton. Pour confirmer la désactivation du jeton, cliquez sur Désactiver.
|
4.Exécutez Active Directory Scanner (remplacez token_string par le jeton que vous avez copié à l'étape précédente).
ActiveDirectoryScanner.exe --token token_string
|
|
Par défaut, le plus récent analyseur de Active Directory ne synchronise pas les ordinateurs Active Directory désactivés. Pour synchroniser les ordinateurs Active Directory désactivés, utilisez le paramètre --disabled-computers :
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Lorsque demandé, entrez le mot de passe utilisateur Active Directory.
6.Une fois qu'Active Directory Scanner a terminé la synchronisation, votre structure Active Directory (unités organisationnelles avec ordinateurs) apparaîtra dans Ordinateurs de ESET PROTECT Web Console en tant que groupes statiques avec des ordinateurs.
|
|
Inclure ou exclure la structure des unités organisationnelles
Pour inclure ou exclure la structure des unités organisationnelles, déterminez le chemin d'accès (par exemple : "Users/Bratislava/TechDepartment"). "ExcludeByID" fonctionne avec sid par défaut.
Exemple de syntaxe :
"Include": [
"path"
],
"Exclude": [
"path"
],
"ExcludeByID": [
"sid1", "sid2"...
],
Exemple : "Include" "path" "Users/Bratislava/TechDepartment" a plus de sous-unités, vous pouvez exclure n'importe quelle sous-unité avec "exclude" "path" "Users/Bratislava/TechDepartment/Test"
|
|
|
Scanner Active Directory crée une tâche de SynchronisationActive Directory dans le planificateur de tâches Windows, avec un intervalle de répétitions configuré à 1 heure. Vous pouvez ajuster l'intervalle de synchronisation Active Directory dans le planificateur de tâches en fonction de vos préférences. Toute modification future de votre structure Active Directory sera reflétée dans ESET PROTECT Web Console après la prochaine synchronisation.
|
|
|
Limitations de la synchronisation Active Directory :
•ScannerActive Directory synchronise uniquement les unités organisationnelles Active Directory qui comprennent des ordinateurs avec des noms DNS. Les unités organisationnelles qui ne contiennent pas d'ordinateurs ne seront pas synchronisées.
•Si le nom de l'unité organisationnelle change dans Active Directory, un nouveau groupe statique avec le nouveau nom sera créé dans ESET PROTECT Web Console après la prochaine synchronisation. Le groupe statique correspondant à l'ancien nom d'unité organisationnelle restera ESET PROTECT Web Console et il sera vide les ordinateurs inclus seront déplacés vers le groupe statique avec le nouveau nom).
•Si vous supprimez une unité organisationnelle dans Active Directory, tous les ordinateurs de l’unité seront supprimés du groupe statique correspondant dans la console Web ESET PROTECT.
•Si vous supprimez un ordinateur Active Directory synchronisé dans ESET PROTECT Web Console, il ne réapparaîtra pas après la prochaine synchronisation, même s'il reste dans Active Directory. |
Pour consulter l'aide de l'analyseur Active Directory, utilisez l'un des paramètres suivants : -? -h --help.
Pour résoudre un problème, consultez les journaux qui se trouvent dans C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Si vous supprimez un ordinateur d’Active Directory, celui-ci sera également supprimé de la console Web ESET PROTECT.
|
|
1.Dans ESET PROTECT Web Console, accédez à Plus > Utilisateurs de l'ordinateur, puis sélectionnez le groupe statique dans lequel vous souhaitez synchroniser la structure d'Active Directory.
2.Cliquez sur l'icône de l'engrenage situé à côté du Groupe d'utilisateurs sélectionné, sélectionnez Active Directory Analyseur et copiez le jeton d'accès généré.
3.Cliquez sur Générer pour obtenir le jeton d’accès.
|
|
Chaque groupe statique a son jeton. Le jeton indique le groupe statique dans lequel Active Directory sera synchronisé.
Pour invalider le jeton actuel pour des raisons de sécurité, cliquez sur Regénérer pour créer un nouveau jeton. Si la synchronisation Active Directory avec ESET PROTECT est déjà en cours d'exécution, la synchronisation s'arrêtera après le changement de jeton de sécurité. Vous devez exécuter Scanner Active Directory avec le nouveau jeton pour réactiver la synchronisation Active Directory.
Pour supprimer le jeton pour des raisons de sécurité, cliquez sur Désactiver le jeton. Pour confirmer la désactivation du jeton, cliquez sur Désactiver.
|
3.Exécutez Active Directory Scanner (remplacez token_string par le jeton que vous avez copié à l'étape précédente).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token et --token peuvent être utilisés simultanément. L’outil synchronisera ensuite les ordinateurs et les utilisateurs.
|
|
|
Recommandations liées au fichier de configuration utilisateur (config.json)
Suivez les recommandations de mise en forme pour configurer le fichier config.json (situé dans le même dossier que ActiveDirectoryScanner.exe). Sauvegardez le fichier avant de le modifier (vous pouvez retélécharger une nouvelle copie si nécessaire).
•Supprimez les commentaires ; ils ne servent que d'instructions.
•Utilisez les champs "Include" et "Exclude" afin de spécifier les groupes inclus ou exclus pour la synchronisation.
•Selon les instructions du fichier config.json, nous vous recommandons d'identifier les groupes avec les valeurs objectGUID plutôt que les valeurs Distinguished Name.
•Saisissez les valeurs objectGUID dans le format suivant :
"Include": [ "{objectGUID1}", "{objectGUID2}", ... ],
"Exclude": [ "{objectGUID3}", "{objectGUID4}", ... ],
•Remplacez les valeurs {objectGUID} par les valeurs objectGUID actuelles des groupes que vous souhaitez inclure ou exclure. Chaque valeur objectGUID doit se présenter sous la forme d'une chaîne hexadécimale entourée d'accolades. Par exemple, si vous avez deux groupes avec des valeurs objectGUID de "12345678-1234-5678-1234-1234567890AB" et "98765432-4321-8765-4321-0987654321AB", la Include section ressemblera à celle-ci :
"Include": [ "{12345678-1234-5678-1234-1234567890AB}", "{98765432-4321-8765-4321-0987654321AB}" ],
•Pour exclure un groupe avec objectGUID "55555555-5555-5555-5555-555555555555", la section Exclude ressemblera à celle-ci :
"Exclude": [ "{55555555-5555-5555-5555-555555555555}" ],
|
4.Lorsque demandé, entrez le mot de passe utilisateur Active Directory.
5.Une fois qu'Active Directory Scanner a terminé la synchronisation, votre structure Active Directory (unités organisationnelles avec ordinateurs/utilisateurs) apparaîtra dans Utilisateurs de l'ordinateur/Ordinateurs de ESET PROTECT Web Console en tant que groupes statiques avec des ordinateurs et/ou Groupes d'utilisateurs avec des utilisateurs dans Utilisateurs de l'ordinateur.
|
|
Scanner Active Directory crée une tâche de SynchronisationActive Directory dans le planificateur de tâches Windows, avec un intervalle de répétitions configuré à 1 heure. Vous pouvez ajuster l'intervalle de synchronisation Active Directory dans le planificateur de tâches en fonction de vos préférences. Toute modification future de votre structure Active Directory sera reflétée dans ESET PROTECT Web Console après la prochaine synchronisation.
|
|
|
Limitations de la synchronisation Active Directory :
•Active Directory Scanner ne synchronise que les unités organisationnelles Active Directory qui contiennent des utilisateurs. Les unités organisationnelles qui ne contiennent pas d'utilisateurs ne seront pas synchronisées.
•Si vous supprimez une unité organisationnelle dans Active Directory, tous les ordinateurs de l’unité seront supprimés du groupe d'utilisateurs correspondant dans ESET PROTECT Web Console. Les groupes synchronisés vides sont également supprimés.
•Si vous supprimez un utilisateur Active Directory synchronisé de ESET PROTECT Web Console, il n’apparaîtra pas à nouveau après la prochaine synchronisation, même s’il reste dans Active Directory, jusqu’à ce que certaines des propriétés synchronisées soient modifiées dans l'Active Directory source. |
Pour consulter l'aide de l'analyseur Active Directory, utilisez l'un des paramètres suivants : -? -h --help.
À des fins de dépannage, consultez les journaux situés dans C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Vous pouvez également utiliser l'une des solutions de contournement ci-dessous :
•Exporter la liste des ordinateurs d'Active Directory et l'importer vers ESET PROTECT
•Déployer l'agent ESET Management sur les ordinateurs Active Directory utilisant un objet de politique de groupe
Exporter la liste des ordinateurs d'Active Directory et l'importer vers ESET PROTECT
|
|
Cette solution offre une synchronisation unique Active Directory et ne synchronise aucun changement Active Directory futur.
|
1.Exporter la liste des ordinateurs d'Active Directory. Vous pouvez utiliser différents outils, en fonction de la façon dont vous gérez Active Directory. Par exemple, ouvrezUtilisateurs et ordinateurs Active Directory et sous votre domaine, cliquez du droit sur Ordinateurs et sélectionnez Exporter la liste.
2.Enregistrez la liste d’ordinateurs Active Directory exportée en tant que fichier .txt.
3.Modifiez la liste des ordinateurs afin de rendre son format acceptable pour l'importation par ESET PROTECT. Veillez à ce que chaque ligne contienne un ordinateur et ait le format suivant :
\GROUP\SUBGROUP\Computer name
4.Enregistrez le fichier .txt mis à jour avec la liste des ordinateurs.
5.Importez la liste d’ordinateurs Active Directory vers la console Web ESET PROTECT. Cliquez sur Ordinateurs, ensuite sur l'icône de l'engrenage à côté du groupe statique Tous et sélectionnez Importer.
Déployer l'agent ESET Management sur les ordinateurs Active Directory utilisant un objet de politique de groupe
1.Créez le script de déploiement de l'agent GPO.
2.Déployez l'agent ESET Management en utilisant un Group Policy Object (GPO) : commencez par l'étape 3 de notre article de base de connaissances.
3.Après le déploiement de l’Agent ESET Management par GPO, l’Agent ESET Management sera installé sur les ordinateurs Active Directory et les ordinateurs seront affichés sur l’écran Ordinateurs de la console Web ESET PROTECT.
Chaque fois que vous ajouterez un nouvel ordinateur à Active Directory, il s’affichera dans l’écran Ordinateurs de la console Web ESET PROTECT.
|
