Na synchronizáciu počítačov a používateľov v službe Active Directory s ESET PROTECT Web Console použite ESET Active Directory Scanner.
|
|
Spoločnosť ESET pravidelne aktualizuje Active Directory Scanner s cieľom vylepšiť jeho funkcionalitu. Viac informácií nájdete v protokole zmien.
|
Požiadavky
•Spustite Active Directory Scanner ako používateľ Active Directory na počítači pripojenom k Active Directory.
•Podporované operačné systémy (podpora pre HTTP/2): Windows 10, Windows Server 2016 a novšie verzie.
•Stiahnite a nainštalujte si .NET Core Runtime.
•Pripravte používateľský konfiguračný súbor (config.json) pre synchronizáciu používateľov z Active Directory. Súbor config.json je súčasťou ZIP súboru Active DirectoryScanner.
•Povolenie prístupových práv používateľa pre prístupový token pre AD Scanner: Zapisovanie
Použitie nástroja Active Directory Scanner
1.V ESET PROTECT Web Console vytvorte GPO skript pre nasadenie agenta.
2.Prihláste sa do počítača vo svojom Active Directory pomocou používateľského účtu Active Directory. Uistite sa, že spĺňa požiadavky uvedené vyššie.
3.Stiahnite si najnovší Active Directory Scanner do počítača.
4.Rozbaľte stiahnutý súbor.
5.Stiahnite si GPO skript pre nasadenie agenta (vytvorený v kroku č. 1) a skopírujte ho do priečinka ActiveDirectoryScanner (priečinok obsahujúci všetky súbory nástroja Active Directory Scanner).
1.V ESET PROTECT Web Console prejdite do sekcie Počítače a vyberte statickú skupinu, do ktorej chcete synchronizovať štruktúru Active Directory.
2.Kliknite na ikonu ozubeného kolesa vedľa vybranej statickej skupiny a vyberte Active Directory Scanner.
3.Kliknutím na Vygenerovať získate prístupový token.
|
|
Každá statická skupina má token. Token identifikuje statickú skupinu, do ktorej bude synchronizovaná štruktúra Active Directory.
Ak chcete zrušiť platnosť aktuálneho tokenu z bezpečnostných dôvodov, kliknite na možnosť Znovu vygenerovať pre vytvorenie nového tokenu. Ak už prebieha synchronizácia služby Active Directory s produktom ESET PROTECT, synchronizácia sa zastaví po zmene bezpečnostného tokenu. Ak chcete opätovne povoliť synchronizáciu s Active Directory, musíte spustiť Active Directory Scanner s novým tokenom.
Ak chcete token z bezpečnostných dôvodov odstrániť, kliknite na Deaktivovať token. Na potvrdenie deaktivácie kliknite na Deaktivovať.
|
4.Spustite Active Directory Scanner (nahraďte token_string tokenom, ktorý ste skopírovali v predchádzajúcom kroku).
ActiveDirectoryScanner.exe --token token_string
|
|
Na základe predvolených nastavení najnovší Active Directory Scanner nesynchronizuje deaktivované počítače v Active Directory. Ak chcete synchronizovať aj deaktivované počítače v Active Directory, použite parameter --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.Po vyžiadaní zadajte používateľské heslo pre Active Directory.
6.Keď Active Directory Scanner dokončí synchronizáciu, vaša štruktúra Active Directory (organizačné jednotky s počítačmi) sa zobrazí v rozhraní ESET PROTECT Web Console v sekcii Počítače ako statické skupiny s počítačmi.
|
|
Zahrnutie alebo vylúčenie štruktúry organizačnej jednotky
Ak chcete zahrnúť alebo vylúčiť štruktúru organizačnej jednotky, zadajte cestu (napríklad: "Users/Bratislava/TechDepartment"). Sekcia "ExcludeByID" funguje s atribútom sid predvolene.
Príklad syntaxe:
"Include": [
"path"
],
"Exclude": [
"path"
],
"ExcludeByID": [
"sid1", "sid2"...
],
Príklad: sekcia "Include" "path" "Users/Bratislava/TechDepartment" má viac podjednotiek; v sekcii "exclude" "path" "Users/Bratislava/TechDepartment/Test" môžete vylúčiť ktorúkoľvek podjednotku.
|
|
|
Active Directory Scanner vytvorí v plánovači úloh systému Windows úlohu na synchronizáciu s Active Directory, ktorá sa bude opakovane spúšťať každú hodinu. Interval synchronizácie s Active Directory môžete nastaviť podľa svojich preferencií v plánovači úloh. Všetky ďalšie zmeny vo vašej štruktúre Active Directory sa prejavia v ESET PROTECT Web Console po najbližšej synchronizácii.
|
|
|
Obmedzenia synchronizácie s Active Directory:
•Active Directory Scanner synchronizuje iba organizačné jednotky Active Directory, ktoré obsahujú počítače s DNS názvami. Organizačné jednotky, ktoré neobsahujú žiadne počítače, nebudú synchronizované.
•Ak sa zmení názov organizačnej jednotky v službe Active Directory, nová statická skupina s novým názvom bude vytvorená v ESET PROTECT Web Console po najbližšej synchronizácii. Statická skupina, ktorá zodpovedá starému názvu organizačnej jednotky, zostane v ESET PROTECT Web Console a bude prázdna (jej počítače budú presunuté do statickej skupiny s novým názvom).
•Ak odstránite organizačnú jednotku v službe Active Directory, všetky jej počítače budú odstránené z príslušnej statickej skupiny v ESET PROTECT Web Console.
•Ak odstránite synchronizovaný počítač služby Active Directory z ESET PROTECT Web Console, po ďalšej synchronizácii sa už v konzole nezobrazí, a to napriek tomu, že v službe Active Directory zostáva aj naďalej. |
Pomocníka pre Active Directory Scanner si zobrazíte použitím jedného z nasledujúcich parametrov: -? -h --help.
Ak chcete vyriešiť problémy, prezrite si protokoly umiestnené v adresári C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Ak odstránite počítač zo služby Active Directory, počítač sa odstráni aj z ESET PROTECT Web Console.
|
|
1.V ESET PROTECT Web Console prejdite do sekcie Viac > Používatelia počítača a vyberte skupinu používateľov, do ktorej chcete synchronizovať štruktúru Active Directory.
2.Kliknite na ikonu ozubeného kolesa vedľa vybranej skupiny používateľov, vyberte Active Directory Scanner a skopírujte vygenerovaný prístupový token.
3.Kliknutím na Vygenerovať získate prístupový token.
|
|
Každá statická skupina má vlastný token. Token identifikuje statickú skupinu, do ktorej bude synchronizovaná štruktúra Active Directory.
Ak chcete zrušiť platnosť aktuálneho tokenu z bezpečnostných dôvodov, kliknite na možnosť Znovu vygenerovať pre vytvorenie nového tokenu. Ak už prebieha synchronizácia Active Directory s ESET PROTECT, synchronizácia sa zastaví po zmene bezpečnostného tokenu. Ak chcete opätovne povoliť synchronizáciu s Active Directory, musíte spustiť Active Directory Scanner s novým tokenom.
Ak chcete token z bezpečnostných dôvodov odstrániť, kliknite na Deaktivovať token. Na potvrdenie deaktivácie kliknite na Deaktivovať.
|
3.Spustite Active Directory Scanner (nahraďte token_string tokenom, ktorý ste skopírovali v predchádzajúcom kroku).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
Parametre --user-token a --token je možné použiť naraz. Nástroj bude následne synchronizovať počítače aj používateľov.
|
|
|
Odporúčania týkajúce sa používateľského konfiguračného súboru (config.json)
Na konfiguráciu súboru config.json (umiestneného v rovnakom priečinku ako ActiveDirectoryScanner.exe) postupujte podľa odporúčaní pre formátovanie. Pred úpravou súboru si ho zálohujte (v prípade potreby si môžete stiahnuť novú kópiu).
•Odstráňte komentáre; slúžia len ako návod.
•Polia "Include" a "Exclude" použite na určenie skupín, ktoré majú byť zahrnuté alebo vylúčené pre potreby synchronizácie.
•Podľa pokynov uvedených v súbore config.json odporúčame skupiny identifikovať pomocou atribútu objectGUID namiesto Distinguished Name.
•Hodnoty objectGUID zadajte v nasledujúcom formáte:
"Include": [ "{objectGUID1}", "{objectGUID2}", ... ],
"Exclude": [ "{objectGUID3}", "{objectGUID4}", ... ],
•Atribút {objectGUID} zameňte za skutočné hodnoty objectGUID pre skupiny, ktoré chcete zahrnúť alebo vylúčiť. Každá hodnota objectGUID by mala byť vo formáte šestnástkového reťazca v zložených zátvorkách. Ak máte napríklad dve skupiny s hodnotami objectGUID, "12345678-1234-5678-1234-1234567890AB" a "98765432-4321-8765-4321-0987654321AB", sekcia Include by vyzerala takto:
"Include": [ "{12345678-1234-5678-1234-1234567890AB}", "{98765432-4321-8765-4321-0987654321AB}" ],
•Na vylúčenie skupiny s hodnotou objectGUID "55555555-5555-5555-5555-555555555555" by sekcia Exclude vyzerala takto:
"Exclude": [ "{55555555-5555-5555-5555-555555555555}" ],
|
4.Po vyžiadaní zadajte používateľské heslo pre Active Directory.
5.Keď Active Directory Scanner dokončí synchronizáciu, vaša štruktúra Active Directory (organizačné jednotky s počítačmi/používateľmi) sa zobrazí v rozhraní ESET PROTECT Web Console v sekcii Počítače/Používatelia počítača ako statické skupiny s počítačmi a/alebo ako Skupiny používateľov s používateľmi v sekcii Používatelia počítača.
|
|
Active Directory Scanner vytvorí v plánovači úloh systému Windows úlohu na synchronizáciu s Active Directory, ktorá sa bude opakovane spúšťať každú hodinu. Interval synchronizácie s Active Directory môžete nastaviť podľa svojich preferencií v plánovači úloh. Všetky ďalšie zmeny vo vašej štruktúre Active Directory sa prejavia v ESET PROTECT Web Console po najbližšej synchronizácii.
|
|
|
Obmedzenia synchronizácie s Active Directory:
•Active Directory Scanner synchronizuje iba organizačné jednotky Active Directory, ktoré obsahujú používateľov. Organizačné jednotky, ktoré neobsahujú žiadnych používateľov, nebudú synchronizované.
•Ak odstránite organizačnú jednotku v službe Active Directory, všetci jej používatelia budú odstránení z príslušnej skupiny používateľov v ESET PROTECT Web Console. Prázdne zosynchronizované skupiny sa taktiež odstránia.
•Ak odstránite synchronizovaného používateľa služby Active Directory z ESET PROTECT Web Console, po ďalšej synchronizácii sa už v konzole nezobrazí aj napriek tomu, že v službe Active Directory zostáva aj naďalej, a to až kým sa nezmenia synchronizované vlastnosti v zdrojovej štruktúre Active Directory. |
Pomocníka pre Active Directory Scanner si zobrazíte použitím jedného z nasledujúcich parametrov: -? -h --help.
Na účely riešenia problémov si môžete prezrieť protokoly umiestnené v C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Môžete tiež použiť jedno z nasledujúcich riešení:
•Exportujte zoznam počítačov z Active Directory a importujte ho do ESET PROTECT
•Nasaďte ESET Management Agenta na počítače v Active Directory použitím Group Policy Object
Exportujte zoznam počítačov z Active Directory a importujte ho do ESET PROTECT
|
|
Toto riešenie poskytuje iba jednorazovú synchronizáciu s Active Directory. Žiadne budúce zmeny, ku ktorým dôjde v Active Directory, synchronizované nebudú.
|
1.Exportujte zoznam počítačov z Active Directory. V závislosti od toho, ako spravujete Active Directory, môžete použiť rôzne nástroje. Napríklad otvorte nástroj Používatelia a počítače služby Active Directory, pod svojou doménou kliknite pravým tlačidlom na Počítače a vyberte možnosť Exportovať zoznam.
2.Uložte zoznam exportovaných Active Directory počítačov ako súbor .txt.
3.Upravte zoznam počítačov tak, aby bol jeho formát prijateľný pre ESET PROTECT import. Uistite sa, že každý riadok obsahuje jeden počítač a má nasledujúci formát:
\GROUP\SUBGROUP\Computer name
4.Uložte aktualizovaný súbor .txt so zoznamom počítačov.
5.Importujte zoznam počítačov v službe Active Directory do ESET PROTECT Web Console. Kliknite na Počítače > kliknite na ikonu ozubeného kolesa vedľa statickej skupiny Všetko a vyberte možnosť Import.
Nasaďte ESET Management Agenta na počítače v Active Directory použitím Group Policy Object
1.Vytvorte GPO skript pre nasadenie agenta.
2.Nasaďte ESET Management Agenta použitím Group Policy Object (GPO) – začnite krokom č. 3 v našom článku databázy znalostí.
3.Po úspešnom nasadení ESET Management Agenta cez GPO bude ESET Management Agent nainštalovaný na počítačoch služby Active Directory a tie sa zobrazia v ESET PROTECT Web Console v sekcii Počítače.
Vždy, keď v budúcnosti pridáte nový počítač do služby Active Directory, bude daný počítač zobrazený v ESET PROTECT Web Console v sekcii Počítače.
|