Za pomocą skanera ESET Active Directory Scanner można synchronizować komputery i użytkowników Active Directory z konsolą internetową ESET PROTECT.
|
|
Firma ESET regularnie aktualizuje skaner Active Directory w celu zwiększenia jego funkcjonalności. Więcej szczegółów można znaleźć w dzienniku zmian.
|
Wymagania wstępne
•Uruchom skaner usługi Active Directory jako użytkownik Active Directory na komputerze połączonym z usługą Active Directory.
•Obsługiwane systemy operacyjne (wsparcie dla HTTP/2): Windows 10, Windows Server 2016 i nowsze.
•Pobierz i zainstaluj środowisko uruchomieniowe .NET Core.
•Przygotuj plik konfiguracyjny użytkownika (config.json) do synchronizacji użytkowników Active Directory. (config.json znajduje się w pliku zip Active Directory Scanner).
•Uprawnienie praw dostępu użytkownika do tokena dostępu do skanera usługi AD: Zapis
Korzystanie ze skanera Active Directory Scanner
1.W konsoli internetowej ESET PROTECT utwórz skrypt wdrażania obiektu zasad grupy agenta.
2.Zaloguj się do komputera w usłudze Active Directory za pomocą konta użytkownika usługi Active Directory. Upewnij się, że spełnia ono wymienione powyżej wymagania wstępne.
3.Pobierz najnowszy Skaner usługi Active Directory na komputer.
4.Rozpakuj pobrany plik.
5.Pobierz skrypt wdrażania obiektu zasad grupy agenta (utworzony w kroku 1) i skopiuj go do folderu ActiveDirectoryScanner (folderu zawierającego wszystkie pliki skanera usługi Active Directory).
1.W konsoli internetowej ESET PROTECT przejdź do sekcji Komputery i wybierz grupę statyczną, w której chcesz zsynchronizować strukturę usługi Active Directory.
2.Kliknij ikonę koła zębatego  obok wybranej grupy statycznej i wybierz pozycję  skaner usługi Active Directory.
3.Kliknij przycisk Generuj, aby uzyskać token dostępu.
|
|
Każda grupa statyczna ma token. Token identyfikuje grupę statyczną, w której będzie synchronizowana usługa Active Directory.
Aby unieważnić bieżący token ze względów bezpieczeństwa, kliknij przycisk Generuj, aby utworzyć nowy token. Jeśli synchronizacja usługi Active Directory z ESET PROTECT jest już uruchomiona, zostanie zatrzymana po zmianie tokenu zabezpieczającego. Aby ponownie włączyć synchronizację usługi Active Directory, należy uruchomić skaner usługi Active Directory z nowym tokenem.
Aby usunąć token ze względów bezpieczeństwa, kliknij przycisk Dezaktywuj token. Aby potwierdzić dezaktywację tokena, kliknij przycisk Dezaktywuj.
|
4.Uruchom skaner usługi Active Directory (zastąp token_string tokenem skopiowanym w poprzednim kroku).
ActiveDirectoryScanner.exe --token token_string
|
|
Domyślnie najnowszy Skaner usługi Active Directory nie synchronizuje wyłączonych komputerów Active Directory. Aby zsynchronizować wyłączone komputery Active Directory, należy użyć parametru --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Gdy pojawi się monit, wpisz hasło użytkownika usługi Active Directory.
6.Po zakończeniu synchronizacji skanera usługi Active Directory struktura usługi Active Directory (jednostki organizacyjne z komputerami) pojawi się w sekcji Komputery w konsoli internetowej ESET PROTECT jako grupy statyczne z komputerami.
|
|
Uwzględnianie i wykluczanie struktury jednostki organizacyjnej
Aby uwzględnić lub wykluczyć strukturę jednostki organizacyjnej, określ ścieżkę (na przykład: "Users/Bratislava/TechDepartment"). "ExcludeByID" działa domyślnie z sid.
Przykładowa składnia:
"Include": [
"path"
],
"Exclude": [
"path"
],
"ExcludeByID": [
"sid1", "sid2"...
],
Przykład: "Include" "path" "Users/Bratislava/TechDepartment" ma więcej podjednostek, możesz wykluczyć dowolną podjednostkę za pomocą "exclude" "path" "Users/Bratislava/TechDepartment/Test"
|
|
|
Skaner usługi Active Directory tworzy zadanie synchronizacji usługi Active Directory w Harmonogramie zadań systemu Windows z interwałem synchronizacji ustawionym na 1 godzinę. Interwał synchronizacji usługi Active Directory można dostosować w Harmonogramie zadań według własnych preferencji. Wszelkie przyszłe zmiany struktury usługi Active Directory zostaną odzwierciedlone w konsoli internetowej ESET PROTECT po następnej synchronizacji.
|
|
|
Ograniczenia synchronizacji usługi Active Directory:
•Skaner usługi Active Directory synchronizuje tylko jednostki organizacyjne usługi Active Directory, które zawierają komputery z nazwami DNS. Jednostki organizacyjne, które nie zawierają żadnych komputerów, nie będą synchronizowane.
•Jeśli nazwa jednostki organizacyjnej zmieni się w usłudze Active Directory, po następnej synchronizacji zostanie utworzona nowa grupa statyczna o nowej nazwie w konsoli internetowej ESET PROTECT. Grupa statyczna odpowiadająca starej nazwie jednostki organizacyjnej pozostanie w konsoli internetowej ESET PROTECT i będzie pusta — dołączone komputery zostaną przeniesione do grupy statycznej o nowej nazwie.
•Usunięcie jednostki organizacyjnej w usłudze Active Directory spowoduje usunięcie wszystkich komputerów przydzielonych do grupy statycznej w konsoli internetowej ESET PROTECT.
•Po usunięciu zsynchronizowanego komputera usługi Active Directory z konsoli internetowej ESET PROTECT nie będzie on ponownie wyświetlany po następnej synchronizacji, nawet jeśli pozostanie w usłudze Active Directory. |
Aby wyświetlić pomoc Skanera usługi Active Directory, użyj jednego z następujących parametrów: -? -h --help.
Aby rozwiązać problem, wyświetl dzienniki znajdujące się w C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Jeśli usuniesz komputer z programu Active Directory, zostanie on również usunięty z konsoli internetowej ESET PROTECT.
|
|
1.W konsoli internetowej ESET PROTECT przejdź do sekcji Więcej > Użytkownicy komputera i wybierz grupę użytkowników, w której chcesz zsynchronizować strukturę usługi Active Directory.
2.Kliknij ikonę koła zębatego obok wybranej Grupy użytkowników, wybierz opcję Active Directory Skaner i skopiuj wygenerowany token dostępu.
3.Kliknij przycisk Generuj, aby uzyskać token dostępu.
|
|
Każda grupa statyczna ma własny token. Token identyfikuje grupę statyczną, w której będzie synchronizowana usługa Active Directory.
Aby unieważnić bieżący token ze względów bezpieczeństwa, kliknij przycisk Generuj, aby utworzyć nowy token. Jeśli synchronizacja usługi Active Directory z ESET PROTECT jest już uruchomiona, zostanie zatrzymana po zmianie tokenu zabezpieczającego. Aby ponownie włączyć synchronizację usługi Active Directory, należy uruchomić skaner usługi Active Directory z nowym tokenem.
Aby usunąć token ze względów bezpieczeństwa, kliknij przycisk Dezaktywuj token. Aby potwierdzić dezaktywację tokena, kliknij przycisk Dezaktywuj.
|
3.Uruchom skaner usługi Active Directory (zastąp token_string tokenem skopiowanym w poprzednim kroku).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token i --token mogą być używane jednocześnie. Narzędzie przeprowadzi synchronizację komputerów i użytkowników.
|
|
|
Zalecenia dotyczące pliku konfiguracyjnego użytkownika (config.json)
Postępuj zgodnie z zaleceniami dotyczącymi formatowania, aby skonfigurować plik config.json (znajdujący się w tym samym folderze co ActiveDirectoryScanner.exe). Utwórz kopię zapasową pliku przed jego edycją (w razie potrzeby możesz ponownie pobrać nową kopię).
•Usuń komentarze; służą one jedynie jako instrukcje.
•Użyj pól "Include" i "Exclude", aby określić grupy uwzględnione w synchronizacji lub z niej wykluczone.
•Zgodnie z instrukcjami zawartymi w pliku config.json zalecamy identyfikowanie grup za pomocą objectGUID zamiast Distinguished Name.
•Wpisz wartości objectGUID w następującym formacie:
"Include": [ "{objectGUID1}", "{objectGUID2}", ... ],
"Exclude": [ "{objectGUID3}", "{objectGUID4}", ... ],
•Zastąp {objectGUID} rzeczywistymi wartościami objectGUID grup, które chcesz uwzględnić lub wykluczyć. Każdy objectGUID powinien mieć format ciągu szesnastkowego otoczonego nawiasami klamrowymi. Na przykład, jeśli masz dwie grupy z wartościami objectGUID "12345678-1234-5678-1234-1234567890AB" i "98765432-4321-8765-4321-0987654321AB", sekcja Include będzie wyglądać następująco:
"Include": [ "{12345678-1234-5678-1234-1234567890AB}", "{98765432-4321-8765-4321-0987654321AB}" ],
•Aby wykluczyć grupę z wartościami objectGUID "55555555-5555-5555-5555-555555555555", sekcja Exclude wyglądałaby następująco:
"Exclude": [ "{55555555-5555-5555-5555-555555555555}" ],
|
4.Gdy pojawi się monit, wpisz hasło użytkownika usługi Active Directory.
5.Po zakończeniu synchronizacji skanera Active Directory Scanner struktura usługi Active Directory (jednostki organizacyjne z komputerami/użytkownikami) pojawi się w sekcji Komputery/użytkownicy komputera w konsoli internetowej ESET PROTECT jako grupy statyczne z komputerami i/lub grupy użytkowników z użytkownikami w sekcji Użytkownicy komputera.
|
|
Skaner usługi Active Directory tworzy zadanie synchronizacji usługi Active Directory w Harmonogramie zadań systemu Windows z interwałem synchronizacji ustawionym na 1 godzinę. Interwał synchronizacji usługi Active Directory można dostosować w Harmonogramie zadań według własnych preferencji. Wszelkie przyszłe zmiany struktury usługi Active Directory zostaną odzwierciedlone w konsoli internetowej ESET PROTECT po następnej synchronizacji.
|
|
|
Ograniczenia synchronizacji usługi Active Directory:
•Skaner usługi Active Directory synchronizuje tylko jednostki organizacyjne usługi Active Directory, które zawierają użytkowników. Jednostki organizacyjne, które nie zawierają żadnych użytkowników, nie będą synchronizowane.
•Usunięcie jednostki organizacyjnej w usłudze Active Directory spowoduje usunięcie wszystkich użytkowników w jednostce z odpowiedniej grupy użytkowników w konsoli internetowej ESET PROTECT. Puste zsynchronizowane grupy również zostaną usunięte.
•W przypadku usunięcia zsynchronizowanego użytkownika Active Directory z konsoli internetowej ESET PROTECT, nie zostanie on ponownie wyświetlony po następnej synchronizacji, nawet jeśli pozostanie w usłudze Active Directory, dopóki niektóre zsynchronizowane właściwości nie zostaną zmienione w źródłowej usłudze Active Directory. |
Aby wyświetlić pomoc Skanera usługi Active Directory, użyj jednego z następujących parametrów: -? -h --help.
W celu rozwiązywania problemów można wyświetlić dzienniki znajdujące się w lokalizacji C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Alternatywnie można użyć jednego z poniższych rozwiązań do obejścia problemu:
•Wyeksportuj listę komputerów z usługi Active Directory i zaimportuj ją do programu ESET PROTECT
•Wdróż agenta ESET Management na komputerach usługi Active Directory przy użyciu obiektu polityki grupy
Wyeksportuj listę komputerów z usługi Active Directory i zaimportuj ją do programu ESET PROTECT
|
|
To rozwiązanie zapewnia tylko jednorazową synchronizację usługi Active Directory i nie synchronizuje żadnych przyszłych zmian usługi Active Directory.
|
1.Wyeksportuj listę komputerów z usługi Active Directory. W zależności od sposobu zarządzania usługą Active Directory można użyć różnych narzędzi. Na przykład otwórz pozycję Użytkownicy i komputery usługi Active Directory, pod swoją domeną kliknij prawym przyciskiem myszy pozycję Komputery i wybierz polecenie Eksportuj listę.
2.Zapisz listę eksportowanych komputerów usługi Active Directory jako plik .txt.
3.Zmodyfikuj listę komputerów, aby jej formatowanie pozwoliło zaimportować ją do programu ESET PROTECT. Upewnij się, że każdy wiersz zawiera jeden komputer i ma następujący format:
\GROUP\SUBGROUP\Computer name
4.Zapisz zaktualizowany plik .txt z listą komputerów.
5.Zaimportuj listę komputerów usługi Active Directory do konsoli internetowej ESET PROTECT. Kliknij pozycję Komputery, następnie kliknij ikonę koła zębatego obok grupy statycznej Wszystkie i wybierz pozycję Importuj.
Wdróż agenta ESET Management na komputerach usługi Active Directory przy użyciu obiektu polityki grupy
1.Utwórz skrypt wdrażania obiektu zasad grupy agenta.
2.Wdróż agenta ESET Management przy użyciu obiektu zasad grupy (GPO) — zacznij od kroku 3 w naszym artykule w bazie wiedzy.
3.Po pomyślnym wdrożeniu agenta ESET Management za pośrednictwem obiektu zasad grupy agent ESET Management zostanie zainstalowany na komputerach usługi Active Directory, a komputery pojawią się na ekranie Komputery w konsoli internetowej ESET PROTECT.
Za każdym razem, gdy w przyszłości do usługi Active Directory zostanie dodany nowy komputer, pojawi się on w konsoli internetowej ESET PROTECT w sekcji Komputery.
|
