Use o Escaneador ESET Active Directory para sincronizar os computadores e usuários Active Directory com o Web Console ESET PROTECT.
|
|
A ESET atualiza regularmente o Escaneador Active Directory para melhorar sua funcionalidade. Você pode encontrar mais detalhes no registro de alterações.
|
Pré-requisitos
•Execute o Escaneador Active Directory como um usuário Active Directory em um computador conectado ao Active Directory.
•Sistemas operacionais compatíveis (compatibilidade com o HTTP/2): Windows 10, Windows Server 2016 e versões posteriores.
•Faça o download e instale o .NET Core Runtime.
•Preparar arquivo de configuração do usuário (config.json) para a sincronização do usuário Active Directory. config.json está incluído no arquivo zip do Escaneador Active Directory.
•Permissão de direitos de acesso do usuário para o Token de acesso do Escaneador AD: Gravação
Usando o Escaneador Active Directory
1.No Web Console ESET PROTECT, crie o script de implantação GPO do Agente.
2.Entre em um computador no seu Active Directory com uma conta de usuário Active Directory. Certifique-se de que ele cumpre com os pré-requisitos listados acima.
3.Faça o download do escaneador do Active Directory mais recente no computador.
4.Descompacte o arquivo do download.
5.Faça o download do script de implantação GPO do Agente (criado na etapa 1) e copie-o para a pasta ActiveDirectoryScanner (uma pasta que contém todos os arquivos do Escaneador do Active Directory).
1.No Web Console ESET PROTECT, vá para Computadores e selecione o grupo estático onde deseja sincronizar a estrutura do Active Directory.
2.Clique no ícone de engrenagem ao lado do grupo estático selecionado e selecione Escaneador do Active Directory.
3.Clique em Gerar para obter o token de acesso.
|
|
Cada grupo estático tem um token. O token identifica o grupo estático onde o Active Directory será sincronizado.
Para invalidar o token atual por razões de segurança, clique em Regenerar para criar um novo token. Se a sincronização Active Directory com o ESET PROTECT já estiver sendo executada, a sincronização será interrompida depois da alteração do token de segurança. Você deve executar o Escaneador do Active Directory com o novo token para reabilitar a sincronização do Active Directory.
Para remover o token por motivos de segurança, clique em Desativar token. Para confirmar a desativação do token, clique em Desativar.
|
4.Execute o Escaneador do Active Directory (substitua token_string pelo token copiado na etapa anterior).
ActiveDirectoryScanner.exe --token token_string
|
|
Por padrão, o Escaneador Active Directory mais recente não sincroniza computadores Active Directory desativados. Para sincronizar computadores Active Directory desativados, use o parâmetro --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Quando solicitado, digite a senha do usuário do Active Directory.
6.Depois do Escaneador do Active Directory concluir a sincronização, sua estrutura Active Directory (unidades organizacionais com computadores) aparecerá em Computadores no Web Console ESET PROTECT como Grupos estáticos com computadores.
|
|
O Escaneador do Active Directory cria uma tarefa de Sincronização Active Directory na Agenda de tarefas do Windows com um acionador de intervalo de repetição definido como 1 hora. Você pode ajustar o intervalo de sincronização Active Directory na Agenda de tarefas com base em sua preferência. Qualquer alteração futura na estrutura Active Directory será refletida no Web Console ESET PROTECT depois da próxima sincronização.
|
|
|
Limitações de sincronização do Active Directory:
•O Escaneador do Active Directory sincroniza apenas unidades organizacionais do Active Directory que contêm computadores com nomes DNS. Unidades organizacionais que não contenham nenhum computador não serão sincronizadas.
•Se o nome da unidade organizacional mudar no Active Directory, um novo grupo estático com o novo nome será criado no Web Console ESET PROTECT depois da próxima sincronização. O Grupo estático correspondente ao nome da unidade organizacional anterior continuará a ser o Web Console ESET PROTECT e será deixado em branco, os computadores incluídos vão mudar para o grupo estático com o novo nome.
•Se você remover uma unidade organizacional no Active Directory, todos os computadores nela serão removidos do Grupo estático correspondente no Web Console ESET PROTECT.
•Se você excluir um computador Active Directory sincronizado do Web Console ESET PROTECT, ele não será exibido novamente depois da próxima sincronização, mesmo se ele continuar no Active Directory. |
Para ver a ajuda do Escaneador Active Directory, use um desses parâmetros: -? -h --help.
Para fins de solução de problemas, veja os relatórios localizados no C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Se você remover um computador do Active Directory, o computador também será removido do Web Console ESET PROTECT.
|
|
1.No Web Console ESET PROTECT, vá para Mais > Usuários do computador e selecione o Grupo de usuários onde deseja sincronizar a estrutura do Active Directory.
2.Clique no ícone de engrenagem ao lado do Grupo usuário selecionado, selecione Escaneador Active Directory e copie o token de acesso gerado.
3.Clique em Gerar para obter o token de acesso.
|
|
Cada grupo de usuários tem um token. O token identifica o grupo de usuários onde o Active Directory será sincronizado.
Para invalidar o token atual por razões de segurança, clique em Regenerar para criar um novo token. Se a sincronização Active Directory com o ESET PROTECT já estiver sendo executada, a sincronização será interrompida depois da alteração do token de segurança. Você deve executar o Escaneador do Active Directory com o novo token para reabilitar a sincronização do Active Directory.
Para remover o token por motivos de segurança, clique em Desativar token. Para confirmar a desativação do token, clique em Desativar.
|
4.Execute o Escaneador do Active Directory (substitua token_string pelo token copiado na etapa anterior).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token e --token podem ser usados simultaneamente. A ferramenta vai então sincronizar computadores e usuários.
|
|
|
As recomendações do arquivo de configuração do usuário (config.json)
Siga as recomendações para configurar o arquivo config.json (localizado na mesma pasta que ActiveDirectoryScanner.exe).
•Use os campos "Include" e "Exclude" para incluir ou excluir unidades organizacionais; determine o caminho para uma unidade específica, por exemplo: "Users\\Bratislava\\TechDepartment". O caminho deve ser composto apenas por nomes de unidades da organização.
•Use "ExcludeByID" para excluir usuários específicos; especifique o objectSid deles.
•Um exemplo da sintaxe:
"Include": [
"path1", "path2", ...
],
"Exclude": [
"path1","path2", ...
],
"ExcludeByID": [
"objectSid1", "objectSid2"...
],
•Exemplo: "Include": ["Users\\Bratislava\\TechDepartment"] TechDepartment tem mais subunidades, você pode excluir qualquer subunidade com "Exclude": ["Users\\Bratislava\\TechDepartment\\Test"] |
5.Quando solicitado, digite a senha do usuário do Active Directory.
6.Depois do Escaneador Active Directory concluir a sincronização, sua estrutura Active Directory (unidades organizacionais com computadores/usuários) aparecerá em Computadores/Usuários do computador como Grupos estáticos com computadores do Web Console ESET PROTECT e/ou Grupos de usuários com Usuários em Usuários do computador.
|
|
O Escaneador do Active Directory cria uma tarefa de Sincronização Active Directory na Agenda de tarefas do Windows com um acionador de intervalo de repetição definido como 1 hora. Você pode ajustar o intervalo de sincronização Active Directory na Agenda de tarefas com base em sua preferência. Qualquer alteração futura na estrutura Active Directory será refletida no Web Console ESET PROTECT depois da próxima sincronização.
|
|
|
Limitações de sincronização do Active Directory:
•O Escaneador do Active Directory sincroniza apenas unidades organizacionais do Active Directory que contêm usuários. Unidades organizacionais que não contenham nenhum usuário não serão sincronizadas.
•Se você remover uma unidade organizacional no Active Directory, todos os usuários nela serão removidos do Grupo de usuários correspondente no Web Console ESET PROTECT. Grupos sincronizados vazios também são removidos.
•Se você remover um usuário do Active Directory sincronizado do Web Console ESET PROTECT, ele não será exibido de novo depois da próxima sincronização, mesmo se ele continuar no Active Directory até que algumas das propriedades sincronizadas sejam alteradas no Active Directory de origem. |
Para ver a ajuda do Escaneador Active Directory, use um desses parâmetros: -? -h --help.
Para fins de solução de problemas, veja os relatórios localizados no C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Você também pode usar uma das soluções alternativas abaixo:
•Exportar a lista de computadores do Active Directory e importá-la para o ESET PROTECT
•Implantar o Agente ESET Management em computadores do Active Directory usando um Objeto de política de grupo
Exportar a lista de computadores do Active Directory e importá-la para o ESET PROTECT
|
|
Esta solução fornece apenas uma sincronização única do Active Directory e não sincroniza quaisquer alterações futuras do Active Directory.
|
1.Exporte a lista de computadores do Active Directory. Você pode usar várias ferramentas, dependendo de como você gerencia o Active Directory. Por exemplo, abra os Usuários e computadores do Active Directory e, em seu domínio, clique com o botão direito do mouse em Computadores e selecione Exportar lista.
2.Salve a lista de computadores do Active Directory exportados como um arquivo .txt.
3.Modifique a lista de computadores para que seu formato seja aceitável para a importação ESET PROTECT. Certifique-se de que cada linha contém um computador e tem o formato a seguir:
\GROUP\SUBGROUP\Computer name
4.Salve o arquivo .txt atualizado com a lista de computadores.
5.Importe a lista de computadores do Active Directory para o Web Console ESET PROTECT. Clique em Computadores > clique no ícone de engrenagem ao lado do grupo estático Todos e selecione Importar.
Implantar o Agente ESET Management em computadores do Active Directory usando um Objeto de política de grupo
1.Crie o Script de implantação GPO do Agente.
2.Implante o Agente ESET Management usando um Objeto de política de grupo (GPO). Comece na etapa 3 em nosso artigo da Base de conhecimento.
3.Depois da implantação bem sucedida do Agente ESET Management via GPO, o Agente ESET Management será instalado em computadores do Active Directory e os computadores vão aparecer na tela ESET PROTECT Web Console Computadores.
Sempre que você adicionar um novo computador ao Active Directory no futuro, ele vai aparecer na tela ESET PROTECT Web Console Computadores.
|