Upotrebljavajte ESET Active Directory Skener za sinkronizaciju računala servisa Active Directory i korisnika s ESET PROTECT web konzolom.
|
|
ESET redovito nadograđuje Active Directory skener kako bi poboljšao njegovu funkcionalnost. Više detalja možete pronaći u dnevniku promjena.
|
Preduvjeti
•Pokrenite Active Directory Skener kao korisnik servisa Active Directory na računalu povezanom sa servisom Active Directory.
•Podržani operativni sustavi (podrška za HTTP/2): Windows 10, Windows Server 2016 i novije verzije.
•Preuzmite i instalirajte .NET Core Runtime.
•Pripremite konfiguracijsku datoteku korisnika (config.json) za sinkronizaciju korisnika sa servisom Active Directory. Datoteka config.json je uključena u zip datoteku Active Directory Skener.
•Dozvola za prava pristupa korisnika za pristupni token za AD skener: Piši
Upotrebom programa Active Directory skener.
1.U web konzoli programa ESET PROTECT stvorite skriptu za instalaciju agenta GPO-a.
2.Prijavite se na računalo u servisu Active Directory s pomoću korisničkog računa za Active Directory. Provjerite ispunjava li gore navedene preduvjete.
3.Preuzmite najnoviju verziju Active Directory Skenera na računalo.
4.Raspakirajte preuzetu datoteku.
5.Preuzmite skriptu za instalaciju agenta GPO-a (stvorenu u 1. koraku) i kopirajte je u mapu ActiveDirectoryScanner (mapu koja sadrži sve datoteke Active Directory Skenera).
1.U web konzoli programa ESET PROTECT idite na Računala i odaberite statičku grupu u kojoj želite sinkronizirati strukturu servisa Active Directory.
2.Kliknite ikonu zupčanika pored odabrane statičke grupe i odaberite Active Directory Skener.
3.Kliknite Generiraj da biste dobili pristupni token.
|
|
Svaka statička grupa ima token. Token identificira statičku grupu u kojoj će se sinkronizirati Active Directory.
Da biste poništili trenutni token iz sigurnosnih razloga, kliknite Obnovi da biste stvorili novi token. Ako je sinkronizacija Active Directory-a i programa ESET PROTECT već pokrenuta, sinkronizacija će prestati nakon promjene sigurnosnog tokena. Active Directory Skener morate pokrenuti s pomoću novog tokena da biste ponovno aktivirali sinkronizaciju servisa Active Directory.
Da biste token izbrisali iz sigurnosnih razloga, kliknite Deaktiviraj token. Da biste potvrdili deaktivaciju tokena, kliknite Deaktiviraj.
|
4.Pokrenite Active Directory Skener (zamijenite token_string tokenom koji ste kopirali u prethodnom koraku).
ActiveDirectoryScanner.exe --token token_string
|
|
Prema standardnim postavkama, najnovija verzija Active Directory Skenera ne sinkronizira deaktivirana Active Directory računala. Da biste sinkronizirali deaktivirana Active Directory računala, upotrijebite parametar --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Kada se to zatraži, upišite korisničku lozinku za Active Directory.
6.Nakon što Active Directory Skener dovrši sinkronizaciju, struktura vašeg Active Directory-a (organizacijske jedinice s računalima) će se pojaviti u dijelu Računala u web konzoli programa ESET PROTECT kao statičke grupe s računalima.
|
|
Uključite ili isključite strukturu organizacijske jedinice
Kako biste uključili ili isključili strukturu organizacijske jedinice, odredite putanju (na primjer: "Users/Bratislava/TechDepartment"). "ExcludeByID" radi s sid prema standardnim postavkama.
Primjer sintakse:
"Include": [
"path"
],
"Exclude": [
"path"
],
"ExcludeByID": [
"sid1", "sid2"...
],
Primjer: "Include" "path" "Users/Bratislava/TechDepartment" ima više podjedinica, možete izuzeti bilo koju podjedinicu koja sadrži "exclude" "path" "Users/Bratislava/TechDepartment/Test"
|
|
|
Active Directory Skener stvara zadatak sinkronizacije servisa Active Directory u planeru zadataka sustava Windows s intervalom ponavljanja okidača postavljenim na 1 sat. Interval sinkronizacije Active Directory-a možete podesiti u planeru zadataka prema svojim preferencijama. Sve buduće promjene u strukturi Active Directory-a odrazit će se na web konzolu programa ESET PROTECT nakon sljedeće sinkronizacije.
|
|
|
Ograničenja sinkronizacije servisa Active Directory:
•Active Directory Skener sinkronizira samo organizacijske jedinice servisa Active Directory koje sadrže računala s DNS nazivima. Organizacijske jedinice koje ne sadrže računala se neće sinkronizirati.
•Ako se naziv organizacijske jedinice promijeni u Active Directory-u, nova statička grupa s novim nazivom će se stvoriti u web konzoli programa ESET PROTECT nakon sljedeće sinkronizacije. Statička grupa koja odgovara nazivu stare organizacijske jedinice ostat će web konzola programa ESET PROTECT i bit će prazna – uključena računala će se prebaciti u statičku grupu s novim nazivom.
•Ako izbrišete organizacijsku jedinicu u servisu Active Directory, sva računala iz jedinice bit će uklonjena iz odgovarajuće statičke grupe u web konzoli programa ESET PROTECT.
•Ako uklonite sinkronizirano računalo Active Directory-a iz web konzole programa ESET PROTECT, ono se neće ponovno pojaviti nakon sljedeće sinkronizacije iako će ostati u servisu Active Directory. |
Za prikaz pomoći za Active Directory Skener upotrijebite jedan od sljedećih parametara: -? -h --help.
Da biste otklonili poteškoće, pogledajte zapisnike koji se nalaze na putu C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Ako izbrišete računalo iz sustava Active Directory, računalo će se izbrisati i s web-konzole ESET PROTECT.
|
|
1.U ESET PROTECT web konzoli idite na Više > Korisnici računala i odaberite korisničku grupu u kojoj želite sinkronizirati strukturu servisa Active Directory.
2.Kliknite ikonu zupčanika pored odabrane korisničke grupe, odaberite Active Directory Skener i kopirajte generirani pristupni token.
3.Kliknite Generiraj da biste dobili pristupni token.
|
|
Svaka statička grupa ima svoj token. Token identificira statičku grupu u kojoj će se sinkronizirati Active Directory.
Da biste poništili trenutni token iz sigurnosnih razloga, kliknite Obnovi da biste stvorili novi token. Ako je sinkronizacija Active Directory-a i programa ESET PROTECT već pokrenuta, sinkronizacija će prestati nakon promjene sigurnosnog tokena. Active Directory Skener morate pokrenuti s pomoću novog tokena da biste ponovno aktivirali sinkronizaciju servisa Active Directory.
Da biste token izbrisali iz sigurnosnih razloga, kliknite Deaktiviraj token. Da biste potvrdili deaktivaciju tokena, kliknite Deaktiviraj.
|
3.Pokrenite Active Directory Skener (zamijenite token_string tokenom koji ste kopirali u prethodnom koraku).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token i --token mogu se upotrebljavati istodobno. Alat će zatim sinkronizirati računala i korisnike.
|
|
|
Preporuke konfiguracijske datoteke korisnika (config.json)
Slijedite preporuke oblikovanja kako biste konfigurirali datoteku config.json (koja se nalazi u istoj mapi u kojoj se nalazi ActiveDirectoryScanner.exe). Napravite sigurnosnu kopiju datoteke prije uređivanja (po potrebi možete ponovno preuzeti novu kopiju).
•Uklonite komentare; služe samo kao upute.
•Upotrijebite polja "Include" i "Exclude" kako biste naveli grupe koje su uključene ili isključene za sinkronizaciju.
•Prema uputama u datoteci config.json preporučujemo da identificirate grupe koje upotrebljavaju objectGUID umjesto atributa Distinguished Name.
•Unesite vrijednosti atributa objectGUID u sljedećem obliku:
"Include": [ "{objectGUID1}", "{objectGUID2}", ... ],
"Exclude": [ "{objectGUID3}", "{objectGUID4}", ... ],
•Zamijenite {objectGUID} stvarnim vrijednostima atributa objectGUID grupa koje želite uključiti ili isključiti. Svaki bi objectGUID trebao biti u obliku heksadecimalnog niza omeđenog vitičastim zagradama. Na primjer, ako imate dvije grupe s vrijednostima atributa objectGUID za "12345678-1234-5678-1234-1234567890AB" i "98765432-4321-8765-4321-0987654321AB", odjeljak Include će izgledati ovako:
"Include": [ "{12345678-1234-5678-1234-1234567890AB}", "{98765432-4321-8765-4321-0987654321AB}" ],
•Kako biste isključili grupu s atributom objectGUID "55555555-5555-5555-5555-555555555555", odjeljak Exclude treba izgledati ovako:
"Exclude": [ "{55555555-5555-5555-5555-555555555555}" ],
|
4.Kada se to zatraži, upišite korisničku lozinku za Active Directory.
5.Nakon što Active Directory Skener dovrši sinkronizaciju, struktura servisa Active Directory (organizacijske jedinice s računalima/korisnicima) će se pojaviti u dijelu Računala / Korisnici računala u ESET PROTECT web konzoli kao statičke grupe s računalima i/ili Korisničke grupe s korisnicima u odjeljku Korisnici računala.
|
|
Active Directory Skener stvara zadatak sinkronizacije servisa Active Directory u planeru zadataka sustava Windows s intervalom ponavljanja okidača postavljenim na 1 sat. Interval sinkronizacije Active Directory-a možete podesiti u planeru zadataka prema svojim preferencijama. Sve buduće promjene u strukturi Active Directory-a odrazit će se na web konzolu programa ESET PROTECT nakon sljedeće sinkronizacije.
|
|
|
Ograničenja sinkronizacije servisa Active Directory:
•Skener servisa Active Directory sinkronizira samo organizacijske jedinice servisa Active Directory koje sadrže korisnike. Organizacijske jedinice koje ne sadrže korisnike se neće sinkronizirati.
•Ako izbrišete organizacijsku jedinicu u servisu Active Directory, svi korisnici iz jedinice će biti uklonjeni iz odgovarajuće korisničke grupe u ESET PROTECT web konzoli. Uklanjaju se i prazne sinkronizirane grupe.
•Ako izbrišete sinkroniziranog korisnika servisa Active Directory s ESET PROTECT web konzolom, neće se ponovno pojaviti nakon sljedeće sinkronizacije iako ostaje u servisu Active Directory dok se neka sinkronizirana svojstva ne promijene u izvornom servisu Active Directory. |
Za prikaz pomoći za Active Directory Skener upotrijebite jedan od sljedećih parametara: -? -h --help.
Za potrebe rješavanja problema pregledajte dnevnike koji se nalaze u mapi C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Osim toga, možete upotrijebiti jedno od zaobilaznih rješenja u nastavku:
•Izvezite popis računala iz servisa Active Directory i uvezite ga u ESET PROTECT
•Instalirajte ESET Management agenta na računala servisa Active Directory pomoću objekta pravila grupe
Izvezite popis računala iz servisa Active Directory i uvezite ga u ESET PROTECT
|
|
Ovo rješenje omogućuje samo jednokratnu sinkronizaciju servisa Active Directory i ne sinkronizira buduće promjene servisa Active Directory.
|
1.Izvezite popis računala iz servisa Active Directory. Možete upotrijebiti različite alate, ovisno o tome kako upravljate servisom Active Directory. Na primjer, otvorite Korisnici i računala servisa Active Directory i pod svojom domenom desnom tipkom miša kliknite Računala i odaberite Izvezi popis.
2.Spremite popis izvezenih računala servisa Active Directory kao .txt datoteku.
3.Promijenite popis računala kako bi njegovo formatiranje bilo prihvatljivo za uvoz u ESET PROTECT. Provjerite sadrži li svaki redak jedno računalo i ima li sljedeći format:
\GROUP\SUBGROUP\Computer name
4.Spremite nadograđenu .txt datoteku s popisom računala.
5.Uvezite popis računala servisa Active Directory u web konzolu programa ESET PROTECT. Kliknite Računala > kliknite ikonu zupčanika pored Sve statičke grupe i odaberite Uvoz.
Instalirajte ESET Management agenta na računala servisa Active Directory pomoću objekta pravila grupe
1.Stvorite skriptu za instalaciju agenta GPO-a.
2.Instalirajte ESET Management agenta pomoću objekta pravila grupe (GPO) – počnite od 3. koraka u članku u bazi znanja.
3.Nakon uspješne instalacije ESET Management agenta putem GPO-a, ESET Management agent će biti instaliran na računala servisa Active Directory i računala će se pojaviti na zaslonu Računala u web konzoli programa ESET PROTECT.
Svaki put kad u budućnosti dodate novo računalo u Active Directory, pojavit će se na zaslonu Računala u web konzoli programa ESET PROTECT.
|