С помощью сканера ESET Active Directory Scanner можно синхронизировать компьютеры и пользователей Active Directory с веб-консолью ESET PROTECT.
|
|
ESET регулярно обновляет сканер Active Directory, чтобы расширить его функциональность. Дополнительные сведения можно найти в журнале изменений.
|
Необходимые условия
•Запустите модуль сканирования Active Directory от имени пользователя Active Directory на компьютере, подключенном к Active Directory.
•Поддерживаемые операционные системы (поддержка HTTP/2): Windows 10, Windows Server 2016 и более поздних версий.
•Загрузите и установите среду выполнения .NET Core.
•Подготовьте файл конфигурации пользователей (config.json) для синхронизации пользователей Active Directory. Файл config.json включен в ZIP-файл сканера Active Directory.
•Разрешение в отношении прав на доступ пользователя для маркера доступа сканера AD: Запись
Использование сканера Active Directory
1.В ESET PROTECT Web Console создайте сценарий развертывания агента GPO.
2.Авторизуйтесь на компьютере в службе Active Directory с помощью учетной записи пользователя Active Directory. Убедитесь, что выполнены приведенные выше обязательные условия.
3.Загрузите последнюю версию модуля сканирования Active Directory на компьютер.
4.Распакуйте загруженный файл.
5.Загрузите сценарий развертывания агента GPO (созданный на шаге 1) и скопируйте его в папку ActiveDirectoryScanner (папку, содержащую все файлы модуля сканирования Active Directory).
1.В ESET PROTECT Web Console откройте Компьютеры и выберите статическую группу, в которой нужно синхронизировать структуру Active Directory.
2.Щелкните значок шестеренки  возле выбранной статической группы и выберите  модуль сканирования Active Directory.
3.Щелкните Создать, чтобы получить маркер доступа.
|
|
У каждой статической группы есть маркер. Маркер определяет статическую группу, в которой будет синхронизироваться служба Active Directory.
Чтобы сделать недействительным текущий маркер из соображений безопасности, нажмите кнопку Создать повторно для создания нового маркера. Если синхронизация Active Directory с ESET PROTECT уже запущена, она прекратится после изменения маркера безопасности. Чтобы повторно включить синхронизацию Active Directory, нужно запустить модуль сканирования Active Directory с новым маркером.
Чтобы удалить маркер из соображений безопасности, щелкните Деактивировать маркер. Чтобы подтвердить деактивацию маркера, щелкните Деактивировать.
|
4.Запустите модуль сканирования Active Directory (замените token_string маркером, скопированным на предыдущем шаге).
ActiveDirectoryScanner.exe --token token_string
|
|
По умолчанию последняя версия модуля сканирования Active Directory не синхронизирует отключенные компьютеры Active Directory. Для синхронизации отключенных компьютеров Active Directory используйте параметр --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.При запросе введите пароль пользователя Active Directory.
6.После завершения синхронизации модулем сканирования Active Directory структура Active Directory (подразделения с компьютерами) отобразится в разделе Компьютеры в ESET PROTECT Web Console в виде статических групп с компьютерами.
|
|
Включение и исключение структуры организационного подразделения
Чтобы включить или исключить структуру организационного подразделения, определите путь (например, "Users/Bratislava/TechDepartment"). "ExcludeByID" работает с sid по умолчанию.
Пример синтаксиса:
"Include": [
"path"
],
"Exclude": [
"path"
],
"ExcludeByID": [
"sid1", "sid2"...
],
Пример: "Include" "path" "Users/Bratislava/TechDepartment" содержит больше подмодулей, вы можете исключить любой подмодуль с помощью "exclude" "path" "Users/Bratislava/TechDepartment/Test"
|
|
|
Модуль сканирования Active Directory создает задачу синхронизации Active Directory в планировщике задач Windows с интервалом повторения триггера, для которого задано значение «1 час». Интервал синхронизации Active Directory можно настроить в планировщике задач в соответствии с вашими предпочтениями. Все будущие изменения в структуре Active Directory появятся в ESET PROTECT Web Console после следующей синхронизации.
|
|
|
Ограничения синхронизации Active Directory:
•Модуль сканирования Active Directory синхронизирует только подразделения Active Directory, содержащие компьютеры с именами DNS. Подразделения, не содержащие ни одного компьютера, синхронизироваться не будут.
•В случае изменения имени подразделения в Active Directory после следующей синхронизации в ESET PROTECT Web Console будет создана новая статическая группа с новым именем. Статическая группа, имя которой соответствует старому имени подразделения, останется в ESET PROTECT Web Console и будет пустой — включенные в нее компьютеры будут перемещены в статическую группу с новым именем.
•При удалении подразделения в Active Directory все компьютеры в нем будут удалены из соответствующей статической группы в веб-консоли ESET PROTECT.
•Если удалить синхронизированный компьютер Active Directory с ESET PROTECT Web Console, он не появится после следующей синхронизации даже в том случае, если он остается в Active Directory. |
Чтобы просмотреть справку по модулю сканирования Active Directory, используйте один из этих параметров: -?, -h, --help.
Для устранения неполадок просмотрите журналы, расположенные в папке C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Если удалить компьютер из Active Directory, он также будет удален из веб-консоли ESET PROTECT.
|
|
1.В веб-консоли ESET PROTECT перейдите в Еще > Пользователи компьютера и выберите группу пользователей, в которой нужно синхронизировать структуру Active Directory.
2.Щелкните значок шестеренки рядом с выбранной пользовательской группой, выберите Модуль сканирования Active Directory и скопируйте созданный маркер доступа.
3.Щелкните Создать, чтобы получить маркер доступа.
|
|
У каждой статической группы есть свой маркер. Маркер определяет статическую группу, в которой будет синхронизироваться служба Active Directory.
Чтобы сделать недействительным текущий маркер из соображений безопасности, нажмите кнопку Создать повторно для создания нового маркера. Если синхронизация Active Directory с ESET PROTECT уже запущена, она прекратится после изменения маркера безопасности. Чтобы повторно включить синхронизацию Active Directory, нужно запустить модуль сканирования Active Directory с новым маркером.
Чтобы удалить маркер из соображений безопасности, щелкните Деактивировать маркер. Чтобы подтвердить деактивацию маркера, щелкните Деактивировать.
|
3.Запустите модуль сканирования Active Directory (замените token_string маркером, скопированным на предыдущем шаге).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
Параметры --user-token и --token можно использовать одновременно. Затем средство синхронизирует и компьютеры, и пользователей.
|
|
|
Рекомендации относительно файла конфигурации пользователей (config.json)
Следуя рекомендациям относительно формата, настройте файл config.json (находится в той же папке, что и ActiveDirectoryScanner.exe). Создайте резервную копию файла перед его изменением (при необходимости новую копию можно загрузить еще раз).
•Удалите комментарии — они выполняют роль только инструкций.
•С помощью полей "Include" и "Exclude" укажите группы, включенные в процесс синхронизации или исключенные из него.
•В соответствии с инструкциями в файле config.json рекомендуем идентифицировать группы с помощью параметра objectGUID, а не Distinguished Name.
•Введите значения objectGUID в следующем формате:
"Include": [ "{objectGUID1}", "{objectGUID2}", ... ],
"Exclude": [ "{objectGUID3}", "{objectGUID4}", ... ],
•Замените элемент {objectGUID} фактическими значениями objectGUID тех групп, которые нужно включить или исключить. Каждое значение objectGUID должно быть в формате шестнадцатеричной строки, заключенной в фигурные скобки. Например, если у вас есть две группы со следующими значениями objectGUID: "12345678-1234-5678-1234-1234567890AB" и "98765432-4321-8765-4321-0987654321AB", раздел Include будет выглядеть так:
"Include": [ "{12345678-1234-5678-1234-1234567890AB}", "{98765432-4321-8765-4321-0987654321AB}" ],
•При исключении группы с objectGUID "55555555-5555-5555-5555-555555555555" раздел Exclude будет выглядеть так:
"Exclude": [ "{55555555-5555-5555-5555-555555555555}" ],
|
4.При запросе введите пароль пользователя Active Directory.
5.После того как сканер Active Directory завершит синхронизацию, структура Active Directory (подразделения с компьютерами и пользователями) отобразится в разделе Компьютеры/Пользователи компьютера в веб-консоли ESET PROTECT в виде статических групп с компьютерами и/или групп пользователей с пользователями в разделе Пользователи компьютера.
|
|
Модуль сканирования Active Directory создает задачу синхронизации Active Directory в планировщике задач Windows с интервалом повторения триггера, для которого задано значение «1 час». Интервал синхронизации Active Directory можно настроить в планировщике задач в соответствии с вашими предпочтениями. Все будущие изменения в структуре Active Directory появятся в ESET PROTECT Web Console после следующей синхронизации.
|
|
|
Ограничения синхронизации Active Directory:
•Сканер Active Directory синхронизирует только подразделения Active Directory, содержащие пользователей. Подразделения, не содержащие ни одного пользователя, не синхронизируются.
•При удалении подразделения в Active Directory все пользователи в нем будут удалены из соответствующей группы пользователей в веб-консоли ESET PROTECT. Пустые синхронизированные группы также удаляются.
•Если удалить синхронизированного пользователя Active Directory из веб-консоли ESET PROTECT, он не появится после следующей синхронизации, несмотря на то что он остается в Active Directory до тех пор, пока некоторые синхронизированные свойства не будут изменены в источнике Active Directory. |
Чтобы просмотреть справку по модулю сканирования Active Directory, используйте один из этих параметров: -?, -h, --help.
В целях устранения неполадок просмотрите журналы, расположенные в папке C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Кроме того, можно использовать одно из перечисленных ниже обходных решений:
•Экспорт списка компьютеров из Active Directory и импорт их в ESET PROTECT
•Развертывание агента ESET Management на компьютерах Active Directory с помощью объекта групповой политики
Экспорт списка компьютеров из Active Directory и импорт их в ESET PROTECT
|
|
Это решение обеспечивает только однократную синхронизацию Active Directory и не синхронизирует никакие будущие изменения Active Directory.
|
1.Экспортируйте список компьютеров из Active Directory В зависимости от способа управления Active Directory можно использовать разные средства. Например, откройте Пользователи и компьютеры Active Directory, а затем в домене щелкните правой кнопкой Компьютеры и выберите Экспортировать список.
2.Сохраните список экспортированных компьютеров Active Directory в виде файла .txt.
3.Измените список компьютеров так, чтобы форматирование было приемлемым для импорта ESET PROTECT. Убедитесь, что каждая строка содержит один компьютер и имеет следующий формат:
\GROUP\SUBGROUP\Computer name
4.Сохраните обновленный файл .txt со списком компьютеров.
5.Импортируйте список компьютеров Active Directory в веб-консоль ESET PROTECT. Щелкните Компьютеры, а затем щелкните значок шестеренки возле статической группы Все и выберите команду Импорт.
Развертывание агента ESET Management на компьютерах Active Directory с помощью объекта групповой политики
1.Создайте сценарий развертывания агента GPO.
2.Разверните агент ESET Management Agent с помощью объекта групповой политики (GPO). Начните с шага 3 из статьи базы знаний.
3.После успешного развертывания агента ESET Management с помощью объекта групповой политики агент ESET Management будет установлен на компьютерах Active Directory и эти компьютеры будут отображаться в веб-консоли ESET PROTECT на экране Компьютеры.
В будущем при каждом добавлении нового компьютера в Active Directory он будет отображаться в веб-консоли ESET PROTECT на экране Компьютеры.
|
