Upotrebljavajte ESET Active Directory Skener za sinkronizaciju računala servisa Active Directory i korisnika s ESET PROTECT web konzolom.
|
|
ESET redovito nadograđuje Active Directory skener kako bi poboljšao njegovu funkcionalnost. Više detalja možete pronaći u dnevniku promjena.
|
Preduvjeti
•Pokrenite Active Directory Skener kao korisnik servisa Active Directory na računalu povezanom sa servisom Active Directory.
•Podržani operativni sustavi (podrška za HTTP/2): Windows 10, Windows Server 2016 i novije verzije.
•Preuzmite i instalirajte .NET Core Runtime.
•Pripremite konfiguracijsku datoteku korisnika (config.json) za sinkronizaciju korisnika sa servisom Active Directory. Datoteka config.json je uključena u zip datoteku Active Directory Skener.
•Dozvola za prava pristupa korisnika za pristupni token za AD skener: Piši
Upotrebom programa Active Directory skener.
1.U web konzoli programa ESET PROTECT stvorite skriptu za instalaciju agenta GPO-a.
2.Prijavite se na računalo u servisu Active Directory s pomoću korisničkog računa za Active Directory. Provjerite ispunjava li gore navedene preduvjete.
3.Preuzmite najnoviju verziju Active Directory Skenera na računalo.
4.Raspakirajte preuzetu datoteku.
5.Preuzmite skriptu za instalaciju agenta GPO-a (stvorenu u 1. koraku) i kopirajte je u mapu ActiveDirectoryScanner (mapu koja sadrži sve datoteke Active Directory Skenera).
1.U web konzoli programa ESET PROTECT idite na Računala i odaberite statičku grupu u kojoj želite sinkronizirati strukturu servisa Active Directory.
2.Kliknite ikonu zupčanika pored odabrane statičke grupe i odaberite Active Directory Skener.
3.Kliknite Generiraj da biste dobili pristupni token.
|
|
Svaka statička grupa ima token. Token identificira statičku grupu u kojoj će se sinkronizirati Active Directory.
Da biste poništili trenutni token iz sigurnosnih razloga, kliknite Obnovi da biste stvorili novi token. Ako je sinkronizacija Active Directory-a i programa ESET PROTECT već pokrenuta, sinkronizacija će prestati nakon promjene sigurnosnog tokena. Active Directory Skener morate pokrenuti s pomoću novog tokena da biste ponovno aktivirali sinkronizaciju servisa Active Directory.
Da biste token izbrisali iz sigurnosnih razloga, kliknite Deaktiviraj token. Da biste potvrdili deaktivaciju tokena, kliknite Deaktiviraj.
|
4.Pokrenite Active Directory Skener (zamijenite token_string tokenom koji ste kopirali u prethodnom koraku).
ActiveDirectoryScanner.exe --token token_string
|
|
Prema standardnim postavkama, najnovija verzija Active Directory Skenera ne sinkronizira deaktivirana Active Directory računala. Da biste sinkronizirali deaktivirana Active Directory računala, upotrijebite parametar --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Kada se to zatraži, upišite korisničku lozinku za Active Directory.
6.Nakon što Active Directory Skener dovrši sinkronizaciju, struktura vašeg Active Directory-a (organizacijske jedinice s računalima) će se pojaviti u dijelu Računala u web konzoli programa ESET PROTECT kao statičke grupe s računalima.
|
|
Active Directory Skener stvara zadatak sinkronizacije servisa Active Directory u planeru zadataka sustava Windows s intervalom ponavljanja okidača postavljenim na 1 sat. Interval sinkronizacije Active Directory-a možete podesiti u planeru zadataka prema svojim preferencijama. Sve buduće promjene u strukturi Active Directory-a odrazit će se na web konzolu programa ESET PROTECT nakon sljedeće sinkronizacije.
|
|
|
Ograničenja sinkronizacije servisa Active Directory:
•Active Directory Skener sinkronizira samo organizacijske jedinice servisa Active Directory koje sadrže računala s DNS nazivima. Organizacijske jedinice koje ne sadrže računala se neće sinkronizirati.
•Ako se naziv organizacijske jedinice promijeni u Active Directory-u, nova statička grupa s novim nazivom će se stvoriti u web konzoli programa ESET PROTECT nakon sljedeće sinkronizacije. Statička grupa koja odgovara nazivu stare organizacijske jedinice ostat će web konzola programa ESET PROTECT i bit će prazna – uključena računala će se prebaciti u statičku grupu s novim nazivom.
•Ako izbrišete organizacijsku jedinicu u servisu Active Directory, sva računala iz jedinice bit će uklonjena iz odgovarajuće statičke grupe u web konzoli programa ESET PROTECT.
•Ako uklonite sinkronizirano računalo Active Directory-a iz web konzole programa ESET PROTECT, ono se neće ponovno pojaviti nakon sljedeće sinkronizacije iako će ostati u servisu Active Directory. |
Za prikaz pomoći za Active Directory Skener upotrijebite jedan od sljedećih parametara: -? -h --help.
Za potrebe rješavanja problema pregledajte dnevnike koji se nalaze u mapi C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Ako izbrišete računalo iz sustava Active Directory, računalo će se izbrisati i s web-konzole ESET PROTECT.
|
|
1.U ESET PROTECT web konzoli idite na Više > Korisnici računala i odaberite korisničku grupu u kojoj želite sinkronizirati strukturu servisa Active Directory.
2.Kliknite ikonu zupčanika pored odabrane korisničke grupe, odaberite Active Directory Skener i kopirajte generirani pristupni token.
3.Kliknite Generiraj da biste dobili pristupni token.
|
|
Svaka korisnička grupa ima token. Token identificira korisničku grupu u kojoj će se sinkronizirati Active Directory.
Da biste poništili trenutni token iz sigurnosnih razloga, kliknite Obnovi da biste stvorili novi token. Ako je sinkronizacija Active Directory-a i programa ESET PROTECT već pokrenuta, sinkronizacija će prestati nakon promjene sigurnosnog tokena. Active Directory Skener morate pokrenuti s pomoću novog tokena da biste ponovno aktivirali sinkronizaciju servisa Active Directory.
Da biste token izbrisali iz sigurnosnih razloga, kliknite Deaktiviraj token. Da biste potvrdili deaktivaciju tokena, kliknite Deaktiviraj.
|
4.Pokrenite Active Directory Skener (zamijenite token_string tokenom koji ste kopirali u prethodnom koraku).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token i --token mogu se upotrebljavati istodobno. Alat će zatim sinkronizirati računala i korisnike.
|
|
|
Preporuke konfiguracijske datoteke korisnika (config.json)
Slijedite preporuke kako biste konfigurirali datoteku config.json (koja se nalazi u istoj mapi u kojoj se nalazi ActiveDirectoryScanner.exe).
•Upotrebljavajte polja "Include" i "Exclude" da biste uključili ili isključili organizacijske jedinice; odredili put do određene jedinice, na primjer: "Users\\Bratislava\\TechDepartment". Put se mora sastojati samo od naziva organizacijskih jedinica.
•Upotrijebite "ExcludeByID" za izuzimanje određenih korisnika; navedite njihov objectSid.
•Primjer sintakse:
"Include": [
"path1", "path2", ...
],
"Exclude": [
"path1","path2", ...
],
"ExcludeByID": [
"objectSid1", "objectSid2"...
],
•Primjer: "Include": ["Users\\Bratislava\\TechDepartment"] TechDepartment ima više podjedinica, možete izuzeti bilo koju podjedinicu koja sadrži "Exclude": ["Users\\Bratislava\\TechDepartment\\Test"] |
5.Kada se to zatraži, upišite korisničku lozinku za Active Directory.
6.Nakon što Active Directory Skener dovrši sinkronizaciju, struktura servisa Active Directory (organizacijske jedinice s računalima/korisnicima) će se pojaviti u dijelu Računala / Korisnici računala u ESET PROTECT web konzoli kao statičke grupe s računalima i/ili Korisničke grupe s korisnicima u odjeljku Korisnici računala.
|
|
Active Directory Skener stvara zadatak sinkronizacije servisa Active Directory u planeru zadataka sustava Windows s intervalom ponavljanja okidača postavljenim na 1 sat. Interval sinkronizacije Active Directory-a možete podesiti u planeru zadataka prema svojim preferencijama. Sve buduće promjene u strukturi Active Directory-a odrazit će se na web konzolu programa ESET PROTECT nakon sljedeće sinkronizacije.
|
|
|
Ograničenja sinkronizacije servisa Active Directory:
•Skener servisa Active Directory sinkronizira samo organizacijske jedinice servisa Active Directory koje sadrže korisnike. Organizacijske jedinice koje ne sadrže korisnike se neće sinkronizirati.
•Ako izbrišete organizacijsku jedinicu u servisu Active Directory, svi korisnici iz jedinice će biti uklonjeni iz odgovarajuće korisničke grupe u ESET PROTECT web konzoli. Uklanjaju se i prazne sinkronizirane grupe.
•Ako izbrišete sinkroniziranog korisnika servisa Active Directory s ESET PROTECT web konzolom, neće se ponovno pojaviti nakon sljedeće sinkronizacije iako ostaje u servisu Active Directory dok se neka sinkronizirana svojstva ne promijene u izvornom servisu Active Directory. |
Za prikaz pomoći za Active Directory Skener upotrijebite jedan od sljedećih parametara: -? -h --help.
Za potrebe rješavanja problema pregledajte dnevnike koji se nalaze u mapi C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Osim toga, možete upotrijebiti jedno od zaobilaznih rješenja u nastavku:
•Izvezite popis računala iz servisa Active Directory i uvezite ga u ESET PROTECT
•Instalirajte ESET Management agenta na računala servisa Active Directory pomoću objekta pravila grupe
Izvezite popis računala iz servisa Active Directory i uvezite ga u ESET PROTECT
|
|
Ovo rješenje omogućuje samo jednokratnu sinkronizaciju servisa Active Directory i ne sinkronizira buduće promjene servisa Active Directory.
|
1.Izvezite popis računala iz servisa Active Directory. Možete upotrijebiti različite alate, ovisno o tome kako upravljate servisom Active Directory. Na primjer, otvorite Korisnici i računala servisa Active Directory i pod svojom domenom desnom tipkom miša kliknite Računala i odaberite Izvezi popis.
2.Spremite popis izvezenih računala servisa Active Directory kao .txt datoteku.
3.Promijenite popis računala kako bi njegovo formatiranje bilo prihvatljivo za uvoz u ESET PROTECT. Provjerite sadrži li svaki redak jedno računalo i ima li sljedeći format:
\GROUP\SUBGROUP\Computer name
4.Spremite nadograđenu .txt datoteku s popisom računala.
5.Uvezite popis računala servisa Active Directory u web konzolu programa ESET PROTECT. Kliknite Računala > kliknite ikonu zupčanika pored Sve statičke grupe i odaberite Uvoz.
Instalirajte ESET Management agenta na računala servisa Active Directory pomoću objekta pravila grupe
1.Stvorite skriptu za instalaciju agenta GPO-a.
2.Instalirajte ESET Management agenta pomoću objekta pravila grupe (GPO) – počnite od 3. koraka u članku u bazi znanja.
3.Nakon uspješne instalacije ESET Management agenta putem GPO-a, ESET Management agent će biti instaliran na računala servisa Active Directory i računala će se pojaviti na zaslonu Računala u web konzoli programa ESET PROTECT.
Svaki put kad u budućnosti dodate novo računalo u Active Directory, pojavit će se na zaslonu Računala u web konzoli programa ESET PROTECT.
|