ESET Active Directory 검사기를 사용하여 Active Directory 컴퓨터와 사용자를 ESET PROTECT 웹 콘솔과 동기화합니다.
|
|
ESET은 Active Directory 검사기의 기능을 향상시키기 위해 정기적으로 업데이트합니다. 변경 로그에서 자세한 내용을 확인할 수 있습니다.
|
필수 구성 요소
•Active Directory에 연결된 컴퓨터의 Active Directory 사용자로 Active Directory 검사기를 실행합니다.
•지원되는 운영 체제(HTTP/2 지원): Windows 10, Windows Server 2016 이상.
•.NET Core Runtime을 다운로드하여 설치합니다.
•Active Directory 사용자 동기화를 위한 사용자 구성 파일(config.json)을 준비합니다. config.json은 Active Directory 검사기 zip 파일에 포함되어 있습니다.
•AD 검사기 접근 토큰에 대한 사용자 접근 권한: 쓰기
Active Directory 검사기 사용
1.ESET PROTECT 웹 콘솔에서 에이전트 GPO 배포 스크립트를 생성합니다.
2.Active Directory 사용자 계정으로 Active Directory의 컴퓨터에 로그인합니다. 위에 나열된 필수 구성 사항을 충족하는지 확인합니다.
3.컴퓨터에 최신 Active Directory 검사기를 다운로드합니다.
4.다운로드된 파일의 압축을 풉니다.
5.에이전트 GPO 배포 스크립트(1단계에서 생성함)를 다운로드하여 ActiveDirectoryScanner 폴더(모든 Active Directory 검사기 파일이 포함된 폴더)에 복사합니다.
1.ESET PROTECT 웹 콘솔에서 컴퓨터로 이동하여 Active Directory 구조를 동기화하려는 정적 그룹을 선택합니다.
2.선택한 정적 그룹 옆의 톱니바퀴  아이콘을 클릭하고  Active Directory 검사기를 선택합니다.
3.생성을 클릭하여 접근 토큰을 가져옵니다.
|
|
각 정적 그룹에는 토큰이 있습니다. 토큰은 Active Directory가 동기화되는 정적 그룹을 식별합니다.
보안상의 이유로 현재 토큰을 무효화하려면 재생성을 클릭하여 새 토큰을 생성합니다. ESET PROTECT과(와)의 Active Directory 동기화가 이미 실행 중인 경우 보안 토큰을 변경하면 동기화가 중지됩니다. Active Directory 동기화를 다시 활성화하려면 새 토큰으로 Active Directory 검사기를 실행해야 합니다.
보안상의 이유로 토큰을 제거하려면 토큰 비활성화를 클릭합니다. 토큰 비활성화를 확인하려면 비활성화를 클릭합니다.
|
4.Active Directory 검사기(이전 단계에서 복사한 토큰으로 token_string 바꾸기)를 실행합니다.
ActiveDirectoryScanner.exe --token token_string
|
|
기본적으로 최신 Active Directory 검사기는 비활성화된 Active Directory 컴퓨터를 동기화하지 않습니다. 비활성화된 Active Directory 컴퓨터를 동기화하려면, --disabled-computers 파라미터를 사용합니다.
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.요청 시 Active Directory 사용자 패스워드를 입력합니다.
6.Active Directory 검사가에서 동기화를 완료하면 Active Directory 구조(컴퓨터가 있는 조직 구성 단위)가 컴퓨터가 있는 정적 그룹으로 ESET PROTECT 웹 콘솔의 컴퓨터에 표시됩니다.
|
|
Active Directory 검사기는 트리거 반복 간격이 1시간으로 설정된 Windows 작업 스케쥴러에서 Active Directory 동기화 작업을 생성합니다. 기본 설정에 따라 작업 스케쥴러에서 Active Directory 동기화 간격을 조정할 수 있습니다. 향후 Active Directory 구조의 변경 사항은 다음 동기화 후 ESET PROTECT 웹 콘솔에 반영됩니다.
|
|
|
Active Directory 동기화 제한 사항:
•Active Directory 검사기는 DNS 이름이 있는 컴퓨터를 포함하는 Active Directory 조직 구성 단위만 동기화합니다. 컴퓨터를 포함하지 않는 조직 구성 단위는 동기화되지 않습니다.
•Active Directory에서 조직 구성 단위 이름을 변경하면 다음 동기화 후 새 이름을 사용하는 새 정적 그룹이 ESET PROTECT 웹 콘솔에 생성됩니다. 이전 조직 구성 단위 이름에 해당하는 정적 그룹은 ESET PROTECT 웹 콘솔로 유지되며 비워집니다(포함된 컴퓨터는 새 이름을 사용하는 정적 그룹으로 이동됨).
•Active Directory에서 조직 구성 단위를 제거하면 그 유닛 안에 있는 모든 컴퓨터가 ESET PROTECT 웹 콘솔의 해당하는 정적 그룹에서 제거됩니다.
•ESET PROTECT 웹 콘솔에서 동기화된 Active Directory 컴퓨터를 제거하면 Active Directory에 남아 있더라도 다음 동기화 후에 다시 표시되지 않습니다. |
Active Directory 검사기 도움말을 보려면, -?, -h, --help 파라미터 중 하나를 사용합니다.
문제 해결용으로 C:\ProgramData\ESET\ActiveDirectoryScanner\Logs에 있는 로그를 확인합니다.
|
|
Active Directory에서 컴퓨터를 제거하면 ESET PROTECT 웹 콘솔에서도 해당 컴퓨터가 제거됩니다.
|
|
1.ESET PROTECT 웹 콘솔에서 자세히 > 컴퓨터 사용자로 이동하여 Active Directory 구조를 동기화하려는 사용자 그룹을 선택합니다.
2.선택한 사용자 그룹 옆의 톱니바퀴 아이콘을 클릭하고 Active Directory 검사기를 선택한 다음 생성된 접근 토큰을 복사합니다.
3.생성을 클릭하여 접근 토큰을 가져옵니다.
|
|
각 사용자 그룹에는 토큰이 있습니다. 토큰은 Active Directory가 동기화되는 사용자 그룹을 식별합니다.
보안상의 이유로 현재 토큰을 무효화하려면 재생성을 클릭하여 새 토큰을 생성합니다. ESET PROTECT과(와)의 Active Directory 동기화가 이미 실행 중인 경우 보안 토큰을 변경하면 동기화가 중지됩니다. Active Directory 동기화를 다시 활성화하려면 새 토큰으로 Active Directory 검사기를 실행해야 합니다.
보안상의 이유로 토큰을 제거하려면 토큰 비활성화를 클릭합니다. 토큰 비활성화를 확인하려면 비활성화를 클릭합니다.
|
4.Active Directory 검사기(이전 단계에서 복사한 토큰으로 token_string 바꾸기)를 실행합니다.
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token과 --token은 동시에 사용할 수 있습니다. 그러면 이 도구가 컴퓨터와 사용자를 모두 동기화합니다.
|
|
|
사용자 구성 파일(config.json) 권장 사항
권장 사항에 따라 config.json 파일(ActiveDirectoryScanner.exe와 동일한 폴더에 있음)을 구성합니다.
•"Include" 및 "Exclude" 필드를 사용하여 조직 구성 단위를 포함하거나 제외합니다. 특정 구성 단위에 대한 경로를 결정합니다(예: "Users\\Bratislava\\TechDepartment"). 경로는 조직 구성 단위 이름으로만 구성되어야 합니다.
•"ExcludeByID"를 사용하여 특정 사용자를 제외합니다. 해당 사용자의 objectSid를 지정합니다.
•구문의 예는 다음과 같습니다.
"Include": [
"path1", "path2", ...
],
"Exclude": [
"path1","path2", ...
],
"ExcludeByID": [
"objectSid1", "objectSid2"...
],
•예: "Include": ["Users\\Bratislava\\TechDepartment"] TechDepartment에는 더 많은 하위 단위가 있으며, "Exclude": ["Users\\Bratislava\\TechDepartment\\Test"]를 사용하여 원하는 하위 단위를 제외할 수 있습니다. |
5.요청 시 Active Directory 사용자 패스워드를 입력합니다.
6.Active Directory 검사기에서 동기화를 완료하면 Active Directory 구조(컴퓨터/사용자가 있는 조직 구성 단위)는 컴퓨터가 있는 정적 그룹 및/또는 컴퓨터 사용자의 사용자가 있는 사용자 그룹으로 ESET PROTECT 웹 콘솔의 컴퓨터/컴퓨터 사용자에 표시됩니다.
|
|
Active Directory 검사기는 트리거 반복 간격이 1시간으로 설정된 Windows 작업 스케쥴러에서 Active Directory 동기화 작업을 생성합니다. 기본 설정에 따라 작업 스케쥴러에서 Active Directory 동기화 간격을 조정할 수 있습니다. 향후 Active Directory 구조의 변경 사항은 다음 동기화 후 ESET PROTECT 웹 콘솔에 반영됩니다.
|
|
|
Active Directory 동기화 제한 사항:
•Active Directory 검사기는 사용자를 포함하는 Active Directory 조직 구성 단위만 동기화합니다. 사용자를 포함하지 않는 조직 구성 단위는 동기화되지 않습니다.
•Active Directory에서 조직 구성 단위를 제거하면 그 유닛 안에 있는 모든 사용자가 ESET PROTECT 웹 콘솔의 해당 사용자 그룹에서 제거됩니다. 빈 동기화된 그룹도 제거됩니다.
•ESET PROTECT 웹 콘솔에서 동기화된 Active Directory 사용자를 제거하면 소스 Active Directory에서 동기화된 속성 중 일부가 변경될 때까지는 Active Directory에 남아 있더라도 다음 동기화 후에 다시 표시되지 않습니다. |
Active Directory 검사기 도움말을 보려면, -?, -h, --help 파라미터 중 하나를 사용합니다.
문제 해결용으로 C:\ProgramData\ESET\ActiveDirectoryScanner\Logs에 있는 로그를 확인합니다.
|
또는 아래의 해결 방법 솔루션 중 하나를 사용할 수 있습니다.
•Active Directory에서 컴퓨터 목록을 내보낸 뒤 ESET PROTECT(으)로 가져오기
•그룹 정책 개체를 사용하여 ESET Management 에이전트를 Active Directory 컴퓨터에 배포
Active Directory에서 컴퓨터 목록을 내보낸 뒤 ESET PROTECT(으)로 가져오기
|
|
이 솔루션은 일회성 Active Directory 동기화만 제공하며 향후 Active Directory 변경 내용을 동기화하지 않습니다.
|
1.Active Directory에서 컴퓨터 목록을 내보냅니다. Active Directory를 관리하는 방법에 따라 다양한 도구를 사용할 수 있습니다. 예를 들어 Active Directory 사용자 및 컴퓨터를 열고 도메인에서 컴퓨터를 오른쪽 마우스 버튼으로 클릭한 뒤 목록 내보내기를 선택합니다.
2.내보낸 Active Directory 컴퓨터 목록을 .txt 파일로 저장합니다.
3.ESET PROTECT 가져오기에 허용되는 형식이 되도록 컴퓨터 목록을 수정합니다. 각 줄에 컴퓨터가 하나 포함되어 있고 형식이 다음과 같은지 확인합니다.
\GROUP\SUBGROUP\Computer name
4.업데이트된 .txt 파일을 컴퓨터 목록과 함께 저장합니다.
5.Active Directory 컴퓨터 목록을 ESET PROTECT 웹 콘솔로 가져옵니다. 컴퓨터 > 모든 정적 그룹 옆에 있는 톱니바퀴 아이콘을 클릭하고 가져오기를 선택합니다.
그룹 정책 개체를 사용하여 ESET Management 에이전트를 Active Directory 컴퓨터에 배포
1.에이전트 GPO 배포 스크립트를 생성합니다.
2.그룹 정책 개체(GPO)를 사용하여 ESET Management 에이전트 배포 - 지식베이스 문서의 3단계부터 시작합니다.
3.GPO를 통해 ESET Management 에이전트를 배포하면 ESET Management 에이전트가 Active Directory 컴퓨터에 설치되고 컴퓨터가 ESET PROTECT 웹 콘솔 컴퓨터 화면에 나타납니다.
나중에 새 컴퓨터를 Active Directory에 추가할 때마다 ESET PROTECT 웹 콘솔 컴퓨터 화면에 나타납니다.
|
