Utilizzare ESET Active Directory Scanner per sincronizzare i computer e gli utenti Active Directory con ESET PROTECT Web Console.
|
|
ESET aggiorna periodicamente lo scanner di Active Directory per potenziarne le funzionalità. Maggiori dettagli sono dispobili nel changelog.
|
Prerequisiti
•Eseguire Active Directory Scanner come utente Active Directory su un computer connesso a Active Directory.
•Sistemi operativi supportati (supporto per HTTP/2): Windows 10, Windows Server 2016 e versioni successive.
•Scaricare e installare .NET Core Runtime.
•Preparare il file di configurazione dell’utente (config.json) per la sincronizzazione dell’utente di Active Directory. config.json è incluso nel file zip Active Directory Scanner.
•Autorizzazione diritti di accesso utente per il token di accesso dello scanner AD: Scrittura
Utilizzo di Active Directory Scanner
1.In ESET PROTECT Web Console, creare lo script di distribuzione GPO dell'agente.
2.Eseguire l’autenticazione a un computer in Active Directory con un account utente Active Directory. Assicurarsi che soddisfi i prerequisiti indicati in precedenza.
3.Scaricare la versione più aggiornata di Active Directory Scanner sul computer.
4.Decomprimere il file scaricato.
5.Scaricare lo script di distribuzione GPO dell'agente (creato nel passaggio 1) e copiarlo nella cartella ActiveDirectoryScanner(cartella contenente tutti i file di Active Directory Scanner).
1.In ESET PROTECT Web Console, portarsi in Computer e selezionare il gruppo statico in cui si desidera sincronizzare la struttura di Active Directory.
2.Fare clic sull'icona a forma di ingranaggio  accanto al gruppo statico selezionato e selezionare  Active Directory Scanner.
3.Fare clic su Genera per ottenere il token di accesso.
|
|
Ciascun gruppo statico possiede un token. Il token identifica il gruppo statico in cui verrà sincronizzato Active Directory.
Per invalidare il token corrente per motivi di sicurezza, fare clic su Rigenera per creare un nuovo token. Se la sincronizzazione Active Directory con ESET PROTECT è già in esecuzione, la sincronizzazione verrà interrotta in seguito alla modifica del token di sicurezza. È necessario eseguire Active Directory Scanner con il nuovo token per riabilitare la sincronizzazione di Active Directory.
Per rimuovere il token per motivi di sicurezza, fare clic su Disattiva token. Per confermare la disattivazione del token, fare clic su Disattiva.
|
4.Eseguire Active Directory Scanner (sostituire token_string con il token copiato nel passaggio precedente).
ActiveDirectoryScanner.exe --token token_string
|
|
Per impostazione predefinita, la versione più recente di Active Directory Scanner non sincronizza i computer Active Directory disabilitati. Per sincronizzare i computer Active Directory disabilitati, utilizzare il parametro --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Se richiesto, digitare la password dell’utente Active Directory.
6.Dopo che Active Directory Scanner avrà completato la sincronizzazione, la struttura Active Directory (unità organizzative con computer) comparirà in Computer in ESET PROTECT Web Console come gruppi statici con computer.
|
|
Includere o escludere la struttura dell’unità organizzativa
Per includere o escludere la struttura dell’unità organizzativa, definire il percorso (ad esempio: "Users/Bratislava/TechDepartment"). "ExcludeByID" funziona con sid per impostazione predefinita.
Esempio di sintassi:
"Include": [
"path"
],
"Exclude": [
"path"
],
"ExcludeByID": [
"sid1", "sid2"...
],
Esempio: "Include" "path" "Users/Bratislava/TechDepartment" ha più sottounità. È possibile escludere qualsiasi sottounità con "exclude" "path" "Users/Bratislava/TechDepartment/Test"
|
|
|
Active Directory Scanner crea un'attività di Sincronizzazione Active Directory nell'attività di pianificazione attività di Windows con un intervallo di ripetizione dell'attivazione impostato su 1 ora. È possibile modificare l'intervallo di sincronizzazione Active Directory nella pianificazione attività in base alle preferenze dell'utente. In seguito alla successiva sincronizzazione, qualsiasi modifica futura apportata alla struttura Active Directory si rifletterà in ESET PROTECT Web Console.
|
|
|
Restrizioni della sincronizzazione Active Directory:
•Active Directory Scanner sincronizza solo le unità organizzative Active Directory che contengono computer con nomi DNS. Le unità organizzative che non contengono computer non saranno sincronizzate.
•Se il nome dell'unità organizzativa cambia in Active Directory, verrà creato un nuovo gruppo statico con il nuovo nome in ESET PROTECT Web Console dopo la sincronizzazione successiva. Il gruppo statico che corrisponde al vecchio nome dell'unità organizzativa rimarrà in ESET PROTECT Web Console e sarà vuoto: i computer inclusi verranno spostati nel gruppo statico con il nuovo nome.
•In caso di rimozione di un'unità organizzativa in Active Directory, tutti i computer in essa contenuti verranno rimossi dal gruppo statico corrispondente in ESET PROTECT Web Console.
•In caso di rimozione di un computer Active Directory sincronizzato da ESET PROTECT Web Console, questo non ricomparirà dopo la sincronizzazione successiva, anche se rimane in Active Directory. |
Per visualizzare la guida di Active Directory Scanner, utilizzare uno dei seguenti parametri: -? -h --help.
Per risolvere eventuali problemi, visualizzare i rapporti posizionati in C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
In caso di rimozione da Active Directory, il computer verrà rimosso anche da ESET PROTECT Web Console.
|
|
1.In ESET PROTECT Web Console, portarsi in Altro > Utenti del computer e selezionare il gruppo di utenti in cui si desidera sincronizzare la struttura Active Directory.
2.Fare clic sull’icona a forma di ingranaggio accanto al gruppo di utenti selezionato, selezionare Active Directory Scanner e copiare il token di accesso generato.
3.Fare clic su Genera per ottenere il token di accesso.
|
|
Ciascun gruppo statico possiede il proprio token. Il token identifica il gruppo statico in cui verrà sincronizzato Active Directory.
Per invalidare il token corrente per motivi di sicurezza, fare clic su Rigenera per creare un nuovo token. Se la sincronizzazione Active Directory con ESET PROTECT è già in esecuzione, la sincronizzazione verrà interrotta in seguito alla modifica del token di sicurezza. È necessario eseguire Active Directory Scanner con il nuovo token per riabilitare la sincronizzazione di Active Directory.
Per rimuovere il token per motivi di sicurezza, fare clic su Disattiva token. Per confermare la disattivazione del token, fare clic su Disattiva.
|
3.Eseguire Active Directory Scanner (sostituire token_string con il token copiato nel passaggio precedente).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token e --token possono essere utilizzati contemporaneamente. Lo strumento sincronizza quindi sia i computer che gli utenti.
|
|
|
Raccomandazioni per il file di configurazione dell’utente (config.json)
Seguire le raccomandazioni di formattazione per configurare il file config.json (che si trova nella stessa cartella di ActiveDirectoryScanner.exe). Eseguire il backup del file prima di modificarlo (se necessario, è possibile scaricare una seconda nuova copia).
•Rimuovere i commenti in quanto contengono solo le istruzioni.
•Utilizzare i campi "Include" e "Exclude" per specificare i gruppi inclusi o esclusi dalla sincronizzazione.
•In base alle istruzioni contenute nel file config.json, si consiglia di individuare i gruppi utilizzando objectGUID anziché Distinguished Name.
•Digitare i valori objectGUID nel seguente formato:
"Include": [ "{objectGUID1}", "{objectGUID2}", ... ],
"Exclude": [ "{objectGUID3}", "{objectGUID4}", ... ],
•Sostituire {objectGUID} con i valori effettivi objectGUID dei gruppi che si desiderano includere o escludere. Ciascun valore objectGUID deve essere riportato nel formato di una stringa esadecimale racchiusa tra parentesi graffe. Ad esempio, se si possiedono due gruppi con valori objectGUID di "12345678-1234-5678-1234-1234567890AB" e "98765432-4321-8765-4321-0987654321AB", la sezione Include si presenta come segue:
"Include": [ "{12345678-1234-5678-1234-1234567890AB}", "{98765432-4321-8765-4321-0987654321AB}" ],
•Per escludere un gruppo con objectGUID "55555555-5555-5555-5555-555555555555", la sezione Exclude si presenta come segue:
"Exclude": [ "{55555555-5555-5555-5555-555555555555}" ],
|
4.Se richiesto, digitare la password dell’utente Active Directory.
5.Al termine della sincronizzazione da parte di Active Directory Scanner, la struttura Active Directory dell’utente (unità organizzative con computer/utenti) verrà visualizzata in Computer/Utenti del computer in ESET PROTECT Web Console come gruppi statici con computer e/o Gruppi di utenti con utenti in Utenti del computer.
|
|
Active Directory Scanner crea un'attività di Sincronizzazione Active Directory nell'attività di pianificazione attività di Windows con un intervallo di ripetizione dell'attivazione impostato su 1 ora. È possibile modificare l'intervallo di sincronizzazione Active Directory nella pianificazione attività in base alle preferenze dell'utente. In seguito alla successiva sincronizzazione, qualsiasi modifica futura apportata alla struttura Active Directory si rifletterà in ESET PROTECT Web Console.
|
|
|
Restrizioni della sincronizzazione Active Directory:
•Active Directory Scanner sincronizza solo le unità organizzative Active Directory che contengono utenti. Le unità organizzative che non contengono utenti non saranno sincronizzate.
•In caso di rimozione di un’unità organizzativa in Active Directory, tutti gli utenti in essa contenuti verranno rimossi dal gruppo di utenti corrispondente in ESET PROTECT Web Console. Verranno rimossi anche i gruppi sincronizzati vuoti.
•In caso di rimozione di un utente Active Directory sincronizzato da ESET PROTECT Web Console, non ricomparirà dopo la successiva sincronizzazione, anche se rimarrà in Active Directory fino a quando alcune proprietà sincronizzate non verranno modificate nell’istanza originale di Active Directory. |
Per visualizzare la guida di Active Directory Scanner, utilizzare uno dei seguenti parametri: -? -h --help.
Nell’ambito della procedura di individuazione e risoluzione dei problemi, è possibile visualizzare i rapporti posizionati in C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
In alternativa, è possibile adottare una delle soluzioni alternative indicate di seguito:
•Esportare l'elenco di computer da Active Directory e importarlo in ESET PROTECT
•Eseguire la distribuzione di ESET Management Agent sui computer Active Directory utilizzando un oggetto Criterio di gruppo
Esportare l'elenco di computer da Active Directory e importarlo in ESET PROTECT
|
|
Questa soluzione fornisce solo una sincronizzazione Active Directory una tantum e non sincronizza le modifiche future di Active Directory.
|
1.Esportare l'elenco di computer da Active Directory. È possibile utilizzare vari strumenti, in base alle modalità di gestione di Active Directory. Ad esempio, aprire Utenti e computer di Active Directory e, nel dominio, fare clic con il pulsante destro del mouse su Computer e selezionare Esporta elenco.
2.Salvare l’elenco di computer Active Directory esportati come file .txt.
3.Modificare l'elenco di computer in modo da renderne la formattazione accettabile per l’importazione di ESET PROTECT. Assicurarsi che ciascuna riga contenga un computer e presenti il seguente formato:
\GROUP\SUBGROUP\Computer name
4.Salvare il file .txt aggiornato con l'elenco di computer.
5.Importare l'elenco di computer Active Directory in ESET PROTECT Web Console. Fare clic su Computer > fare clic sull'icona a forma di ingranaggio accanto al gruppo statico Tutti e selezionare Importa.
Eseguire la distribuzione di ESET Management Agent sui computer Active Directory utilizzando un oggetto Criterio di gruppo
1.Creare lo script di distribuzione GPO dell'agente.
2.Eseguire la distribuzione di ESET Management Agent utilizzando un oggetto Criterio di gruppo (Group Policy Object, GPO): iniziare con il passaggio 3 riportato in questo articolo della Knowledge Base.
3.Dopo aver eseguito correttamente la distribuzione di ESET Management Agent tramite GPO, ESET Management Agent verrà installato sui computer Active Directory e i computer compariranno nella schermata Computer di ESET PROTECT Web Console.
Ogni volta che si aggiunge un nuovo computer in Active Directory in futuro, questo comparirà nella schermata Computer di ESET PROTECT Web Console.
|
