ESET Active Directory Scannerを使用して、Active DirectoryコンピューターおよびユーザーをESET PROTECT Webコンソールと同期します。
|
|
ESETは、定期的にActive Directoryスキャナーをアップデートし、機能を強化します。詳細については、変更ログを参照してください。
|
前提条件
•Active Directoryに接続されたコンピューターでActive DirectoryユーザーとしてActive Directory Scannerを実行します。
•サポートされているオペレーティングシステム(HTTP/2のサポート):Windows 10、Windows Server 2016以降。
•.NET (version 8.0)をダウンロードし、インストールします。
•Active Directoryユーザー同期用のユーザー設定(config.json)ファイルを準備します。config.jsonはActive Directoryスキャナーzipファイルに含まれています。
•AD Scannerアクセストークンのユーザーアクセス権権限:書き込み
Active Directoryスキャナーの使用
1.ESET PROTECT Webコンソールで、エージェントGPO展開スクリプトを作成します。
2.Active Directoryユーザーアカウントを使用して、Active Directoryでコンピューターにログインします。上記の前提条件を満たしていることを確認してください。
3.最新のActive Directory Scannerをコンピューターにダウンロードします。
4.ダウンロードしたファイルを解凍します。
5.エージェントGPO展開スクリプト(手順1で作成)をダウンロードし、ActiveDirectoryScannerフォルダー(すべてのActive Directory Scannerファイルが格納されたフォルダー)にコピーします。
1.ESET PROTECT Webコンソールで、コンピューターに移動し、Active Directory構造を同期する静的グループを選択します。
2.選択した静的グループの横の歯車 アイコンをクリックし、 Active Directory Scannerを選択します。
3.生成をクリックすると、アクセストークンを取得します。
|
|
各静的グループにはトークンがあります。トークンは、Active Directoryが同期される静的グループを識別します。
セキュリティの理由から現在のトークンを無効にするには、再生成をクリックして、新しいトークンを作成します。ESET PROTECTとのActive Directory同期が既に実行中の場合は、セキュリティトークンの変更後に同期が停止します。新しいトークンを使用してActive Directory Scannerを実行し、Active Directory同期を再有効化する必要があります。
セキュリティの理由からトークンを削除するには、トークンのアクティベーション解除をクリックします。トークンのアクティベーション解除を確認するには、アクティベーション解除をクリックします。
|
4.Active Directory Scannerを実行します(token_stringを前の手順でコピーしたトークンで置換)。
ActiveDirectoryScanner.exe --token token_string
|
|
既定では、最新のActive Directory Scannerは無効なActive Directoryコンピューターを同期しません。無効なActive Directoryコンピューターを同期するには、--disabled-computersパラメーターを使用します。
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
|
|
特定のドメインコントローラーからの同期
特定のドメインコントローラー
--domain-controllerパラメータは、Active Directoryからデータを取得するために接続するマシンのホスト名またはIPアドレスを指定します。
--domain-controllerパラメータを設定すると、指定された情報がデータベースに保存されます。それ以降、クライアントがADScannerを実行するたびに、データベースに保存されているドメインコントローラーが使用されます。
ドメインコントローラーの設定をリセットするには、--domain-controllerパラメータを空の文字列に設定します。例: --domain-controller ""
特定のドメインコントローラーのActive Directoryユーザー名
--domain-controller-userパラメータは、Active Directoryのユーザー名を指定します。このユーザー名は--domain-controllerパラメータに関連付けられ、認証に使用されます。例: --domain-controller-user "username"
特定のドメインコントローラーのActive Directoryパスワード
--domain-controller-passwordパラメータは、Active Directoryのパスワードを指定します。このパスワードは、--domain-controller-userパラメータで指定されたユーザー名に関連付けられ、認証に使用されます。例: --domain-controller-password "your_password"
|
5.要求されたときにActive Directoryユーザーパスワードを入力します。
6.Active Directory Scannerが同期を完了した後、Active Directory構造(組織単位とコンピューター)はESET PROTECT Web コンソールのコンピューターに静的グループとして表示されます。
|
|
Active Directory Scannerは、トリガー繰り返し間隔を1時間に設定して、WindowsタスクスケジューラのActive Directory同期タスクを作成します。設定に基づいて、タスクスケジューラでActive Directory同期間隔を調整できます。今後のActive Directory構造の変更は、次回の同期後にESET PROTECT Webコンソールに反映されます。
必要に応じて、--no-scheduled-taskパラメータを使用して、Windowsタスクスケジューラなしで同期を開始できます。Active Directoryは1回だけ同期され、それ以降のActive Directoryでの変更はESET PROTECTと自動的に同期されません。タスクがすでに存在する場合、--no-scheduled-taskパラメータはタスクを再度作成したり、タスクを更新したりしません。
|
|
|
Active Directory同期の制限事項:
•Active Directory Scannerは、コンピューターとDNS名を含むActive Directory組織単位のみを同期します。コンピューターを含まない組織単位は同期されません。
•Active Directoryで組織単位名が変更されると、次の同期後に、新しい名前の新しい静的グループがESET PROTECT Webコンソールに作成されます。古い組織単位名に対応する静的グループはESET PROTECT Webコンソールに残り、空になります。含まれているコンピューターは新しい名前の静的グループに移動します。
•Active Directoryの組織単位を削除する場合は、ESET PROTECT Webコンソールの対応する静的グループからその中のすべてのコンピューターが削除されます。
•同期されたActive DirectoryコンピューターをESET PROTECT Webコンソールから削除する場合は、Active Directoryに残っていても、次の同期の後に再表示されることはありません。 |
Active Directory Scannerヘルプを表示するには、次のパラメーターのいずれかを使用します-?-h--help。
トラブルシューティング目的では、C:\ProgramData\ESET\ActiveDirectoryScanner\Logsにあるログを表示します。
|
|
コンピューターをActive Directoryから削除する場合は、コンピューターもESET PROTECT Webコンソールから削除されます。
|
|
1.ESET PROTECT Webコンソールで、詳細 > コンピューターユーザーに移動し、Active Directory構造を同期するユーザーグループを選択します。
2.選択したユーザーグループの横の歯車アイコンをクリックし、 Active Directory Scannerを選択して、生成されたアクセストークンをコピーします。
3.生成をクリックすると、アクセストークンを取得します。
|
|
各ユーザーグループにはトークンがあります。トークンは、Active Directoryが同期されるユーザーグループを識別します。
セキュリティの理由から現在のトークンを無効にするには、再生成をクリックして、新しいトークンを作成します。ESET PROTECTとのActive Directory同期が既に実行中の場合は、セキュリティトークンの変更後に同期が停止します。新しいトークンを使用してActive Directory Scannerを実行し、Active Directory同期を再有効化する必要があります。
セキュリティの理由からトークンを削除するには、トークンのアクティベーション解除をクリックします。トークンのアクティベーション解除を確認するには、アクティベーション解除をクリックします。
|
4.Active Directory Scannerを実行します(token_stringを前の手順でコピーしたトークンで置換)。
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-tokenと--tokenは同時に使用できます。ツールは、コンピューターとユーザーの両方を同期します。
|
|
|
ユーザー設定ファイル(config.json)の推奨事項
設定の推奨事項に従って、config.jsonファイル(ActiveDirectoryScanner.exeと同じフォルダーにあります)を設定します。
•組織単位を追加したり除外したりするには、"Exclude"フィールドと"Include"フィールドを使用します。たとえば、"Users\\Bratislava\\TechDepartment"のように、特定の単位へのパスを指定します。パスは、組織単位名のみで構成する必要があります。
•特定のユーザーを除外するには、"ExcludeByID"を仕様します。そのユーザーのobjectSidを指定します。
•構文の例:
"Include": [
"path1", "path2", ...
],
"Exclude": [
"path1","path2", ...
],
"ExcludeByID": [
"objectSid1", "objectSid2"...
],
•例: "Include": ["Users\\Bratislava\\TechDepartment"] TechDepartmentにはその他の下位単位があります。 "Exclude": ["Users\\Bratislava\\TechDepartment\\Test"]を使用して、任意の下位単位を除外できます。 |
|
|
特定のドメインコントローラーからの同期
特定のドメインコントローラー
--domain-controllerパラメータは、Active Directoryからデータを取得するために接続するマシンのホスト名またはIPアドレスを指定します。
--domain-controllerパラメータを設定すると、指定された情報がデータベースに保存されます。それ以降、クライアントがADScannerを実行するたびに、データベースに保存されているドメインコントローラーが使用されます。
ドメインコントローラーの設定をリセットするには、--domain-controllerパラメータを空の文字列に設定します。例: --domain-controller ""
特定のドメインコントローラーのActive Directoryユーザー名
--domain-controller-userパラメータは、Active Directoryのユーザー名を指定します。このユーザー名は--domain-controllerパラメータに関連付けられ、認証に使用されます。例: --domain-controller-user "username"
特定のドメインコントローラーのActive Directoryパスワード
--domain-controller-passwordパラメータは、Active Directoryのパスワードを指定します。このパスワードは、--domain-controller-userパラメータで指定されたユーザー名に関連付けられ、認証に使用されます。例: --domain-controller-password "your_password"
|
5.要求されたときにActive Directoryユーザーパスワードを入力します。
6.Active Directory Scannerが同期を完了した後、Active Directory構造(組織単位とコンピューター/ユーザー)はESET PROTECT Web コンソールのコンピューター/コンピューターユーザーに、コンピューターユーザーにユーザーがあるコンピューター/ユーザーグループを含む静的グループとして表示されます。
|
|
Active Directory Scannerは、トリガー繰り返し間隔を1時間に設定して、WindowsタスクスケジューラのActive Directory同期タスクを作成します。設定に基づいて、タスクスケジューラでActive Directory同期間隔を調整できます。今後のActive Directory構造の変更は、次回の同期後にESET PROTECT Webコンソールに反映されます。
必要に応じて、--no-scheduled-taskパラメータを使用して、Windowsタスクスケジューラなしで同期を開始できます。Active Directoryは1回だけ同期され、それ以降のActive Directoryでの変更はESET PROTECTと自動的に同期されません。タスクがすでに存在する場合、--no-scheduled-taskパラメータはタスクを再度作成したり、タスクを更新したりしません。
|
|
|
Active Directory同期の制限事項:
•Active Directory Scannerは、ユーザーを含むActive Directory組織単位のみを同期します。ユーザーを含まない組織単位は同期されません。
•Active Directoryの組織単位を削除する場合は、ESET PROTECT Webコンソールの対応する静的グループからその単位のすべてのコンピューターが削除されます。同期された空のグループも削除されます。
•同期されたActive DirectoryユーザーをESET PROTECT Webコンソールから削除する場合は、Active Directoryに残っていても、一部の同期されたプロパティがソースActive Directoryで変更されるまで、次の同期の後に再表示されません。 |
Active Directory Scannerヘルプを表示するには、次のパラメーターのいずれかを使用します-?-h--help。
トラブルシューティング目的では、C:\ProgramData\ESET\ActiveDirectoryScanner\Logsにあるログを表示します。
|
あるいは、次の回避策のいずれかを使用できます。
•Active Directoryからコンピューターのリストをエクスポートし、ESET PROTECTにインポートする
•グループポリシーオブジェクトを使用してESET ManagementエージェントをActive Directoryコンピューターに展開する
Active Directoryからコンピューターのリストをエクスポートし、ESET PROTECTにインポートする
|
|
このソリューションは、1回限りのActive Directory同期のみを提供し、将来のActive Directory変更は同期しません。
|
1.Active Directoryからコンピューターのリストをエクスポートします。Active Directoryを管理する方法によっては、さまざまなツールを使用できます。たとえば、Active Directoryユーザーとコンピューターを開き、ドメインの下でコンピューターを右クリックして、リストのエクスポートを選択します。
2.エクスポートされたActive Directoryコンピューターのリストを.txtファイルとして保存します。
3.コンピューターのリストを修正し、ESET PROTECTインポートで使用可能な形式にします。各行に1つのコンピューターが入力され、次の形式であることを確認してください。
\GROUP\SUBGROUP\Computer name
4.コンピューターのリストと共に、アップデートされた.txtファイルを保存します。
5.Active DirectoryコンピューターのリストをESET PROTECT Webコンソールにインポートします。コンピューター > すべての静的グループの横の歯車アイコンをクリックして、インポートを選択します。
グループポリシーオブジェクトを使用してESET ManagementエージェントをActive Directoryコンピューターに展開する
1.エージェントGPO展開スクリプトを作成します。
2.グループポリシーオブジェクト(GPO)を使用してESET Managementエージェントを展開します。ナレッジベース記事の手順3から開始します。
3.GPO経由でESET Managementエージェント展開が成功した後、ESET ManagementエージェントはActive Directoryコンピューターにインストールされます。コンピューターはESET PROTECT Webコンソールのコンピューター画面に表示されます。
今後新しいコンピューターをActive Directoryに追加すると、いつでもESET PROTECT Webコンソールのコンピューター画面に表示されます。
|
