Na synchronizáciu počítačov a používateľov v službe Active Directory s ESET PROTECT Web Console použite ESET Active Directory Scanner.
|
|
Spoločnosť ESET pravidelne aktualizuje Active Directory Scanner s cieľom vylepšiť jeho funkcionalitu. Viac informácií nájdete v protokole zmien.
|
Požiadavky
•Spustite Active Directory Scanner ako používateľ Active Directory na počítači pripojenom k Active Directory.
•Podporované operačné systémy (podpora pre HTTP/2): Windows 10, Windows Server 2016 a novšie verzie.
•Stiahnite a nainštalujte .NET (verzie 8.0).
•Pripravte používateľský konfiguračný súbor (config.json) pre synchronizáciu používateľov z Active Directory. Súbor config.json je súčasťou ZIP súboru Active DirectoryScanner.
•Povolenie prístupových práv používateľa pre prístupový token pre AD Scanner: Zapisovanie
Použitie nástroja Active Directory Scanner
1.V ESET PROTECT Web Console vytvorte GPO skript pre nasadenie agenta.
2.Prihláste sa do počítača vo svojom Active Directory pomocou používateľského účtu Active Directory. Uistite sa, že spĺňa požiadavky uvedené vyššie.
3.Stiahnite si najnovší Active Directory Scanner do počítača.
4.Rozbaľte stiahnutý súbor.
5.Stiahnite si GPO skript pre nasadenie agenta (vytvorený v kroku č. 1) a skopírujte ho do priečinka ActiveDirectoryScanner (priečinok obsahujúci všetky súbory nástroja Active Directory Scanner).
1.V ESET PROTECT Web Console prejdite do sekcie Počítače a vyberte statickú skupinu, do ktorej chcete synchronizovať štruktúru Active Directory.
2.Kliknite na ikonu ozubeného kolesa  vedľa vybranej statickej skupiny a vyberte  Active Directory Scanner.
3.Kliknutím na Vygenerovať získate prístupový token.
|
|
Každá statická skupina má token. Token identifikuje statickú skupinu, do ktorej bude synchronizovaná štruktúra Active Directory.
Ak chcete zrušiť platnosť aktuálneho tokenu z bezpečnostných dôvodov, kliknite na možnosť Znovu vygenerovať pre vytvorenie nového tokenu. Ak už prebieha synchronizácia služby Active Directory s produktom ESET PROTECT, synchronizácia sa zastaví po zmene bezpečnostného tokenu. Ak chcete opätovne povoliť synchronizáciu s Active Directory, musíte spustiť Active Directory Scanner s novým tokenom.
Ak chcete token z bezpečnostných dôvodov odstrániť, kliknite na Deaktivovať token. Na potvrdenie deaktivácie kliknite na Deaktivovať.
|
4.Spustite Active Directory Scanner (nahraďte token_string tokenom, ktorý ste skopírovali v predchádzajúcom kroku).
ActiveDirectoryScanner.exe --token token_string
|
|
Na základe predvolených nastavení najnovší Active Directory Scanner nesynchronizuje deaktivované počítače v Active Directory. Ak chcete synchronizovať aj deaktivované počítače v Active Directory, použite parameter --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
|
|
Synchronizácia z konkrétneho doménového radiča
Konkrétny doménový radič
Parameter --domain-controller špecifikuje názov hostiteľa alebo IP adresu servera, z ktorého sa majú načítať údaje zo služby Active Directory.
Po nastavení parametra --domain-controller sa príslušné informácie uložia do databázy. Následne vždy, keď klient spustí nástroj ADScanner, použije sa doménový radič uložený v databáze.
Ak chcete resetovať konfiguráciu doménového radiča, ako parameter --domain-controller nastavte prázdny reťazec. Príklad: --domain-controller ""
Prihlasovacie meno v službe Active Directory pre konkrétny doménový radič
Parameter --domain-controller-user špecifikuje prihlasovacie meno v službe Active Directory. Toto prihlasovacie meno je spojené s parametrom --domain-controller a používa sa na autentifikáciu. Príklad: --domain-controller-user "username"
Heslo v službe Active Directory pre konkrétny doménový radič
Parameter --domain-controller-password špecifikuje heslo v službe Active Directory. Toto heslo je prepojené s prihlasovacím menom uvedeným v parametri --domain-controller-user a používa sa na autentifikáciu. Príklad: --domain-controller-password "your_password"
|
5.Po vyžiadaní zadajte používateľské heslo pre Active Directory.
6.Keď Active Directory Scanner dokončí synchronizáciu, vaša štruktúra Active Directory (organizačné jednotky s počítačmi) sa zobrazí v rozhraní ESET PROTECT Web Console v sekcii Počítače ako statické skupiny s počítačmi.
|
|
Active Directory Scanner vytvorí v plánovači úloh systému Windows úlohu na synchronizáciu s Active Directory, ktorá sa bude opakovane spúšťať každú hodinu. Interval synchronizácie s Active Directory môžete nastaviť podľa svojich preferencií v plánovači úloh. Všetky ďalšie zmeny vo vašej štruktúre Active Directory sa prejavia v ESET PROTECT Web Console po najbližšej synchronizácii.
Voliteľne môžete použiť parameter --no-scheduled-task na spustenie synchronizácie bez plánovača úloh systému Windows. Synchronizácia so službou Active Directory prebehne iba raz a budúce zmeny v službe Active Directory už nebudú automaticky synchronizované s konzolou ESET PROTECT. Ak už úloha existuje, parameter --no-scheduled-task nevytvorí úlohu nanovo ani ju neupraví.
|
|
|
Obmedzenia synchronizácie s Active Directory:
•Active Directory Scanner synchronizuje iba organizačné jednotky Active Directory, ktoré obsahujú počítače s DNS názvami. Organizačné jednotky, ktoré neobsahujú žiadne počítače, nebudú synchronizované.
•Ak sa zmení názov organizačnej jednotky v službe Active Directory, nová statická skupina s novým názvom bude vytvorená v ESET PROTECT Web Console po najbližšej synchronizácii. Statická skupina, ktorá zodpovedá starému názvu organizačnej jednotky, zostane v ESET PROTECT Web Console a bude prázdna (jej počítače budú presunuté do statickej skupiny s novým názvom).
•Ak odstránite organizačnú jednotku v službe Active Directory, všetky jej počítače budú odstránené z príslušnej statickej skupiny v ESET PROTECT Web Console.
•Ak odstránite synchronizovaný počítač služby Active Directory z ESET PROTECT Web Console, po ďalšej synchronizácii sa už v konzole nezobrazí, a to napriek tomu, že v službe Active Directory zostáva aj naďalej. |
Pomocníka pre Active Directory Scanner si zobrazíte použitím jedného z nasledujúcich parametrov: -? -h --help.
Na účely riešenia problémov si môžete prezrieť protokoly umiestnené v C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Ak odstránite počítač zo služby Active Directory, počítač sa odstráni aj z ESET PROTECT Web Console.
|
|
1.V ESET PROTECT Web Console prejdite do sekcie Viac > Používatelia počítača a vyberte skupinu používateľov, do ktorej chcete synchronizovať štruktúru Active Directory.
2.Kliknite na ikonu ozubeného kolesa vedľa vybranej skupiny používateľov, vyberte Active Directory Scanner a skopírujte vygenerovaný prístupový token.
3.Kliknutím na Vygenerovať získate prístupový token.
|
|
Každá skupina používateľov má token. Token identifikuje skupinu používateľov, do ktorej bude synchronizovaná štruktúra Active Directory.
Ak chcete zrušiť platnosť aktuálneho tokenu z bezpečnostných dôvodov, kliknite na možnosť Znovu vygenerovať pre vytvorenie nového tokenu. Ak už prebieha synchronizácia Active Directory s ESET PROTECT, synchronizácia sa zastaví po zmene bezpečnostného tokenu. Ak chcete opätovne povoliť synchronizáciu s Active Directory, musíte spustiť Active Directory Scanner s novým tokenom.
Ak chcete token z bezpečnostných dôvodov odstrániť, kliknite na Deaktivovať token. Na potvrdenie deaktivácie kliknite na Deaktivovať.
|
4.Spustite Active Directory Scanner (nahraďte token_string tokenom, ktorý ste skopírovali v predchádzajúcom kroku).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
Parametre --user-token a --token je možné použiť naraz. Nástroj bude následne synchronizovať počítače aj používateľov.
|
|
|
Odporúčania týkajúce sa používateľského konfiguračného súboru (config.json)
Na konfiguráciu súboru config.json (umiestneného v rovnakom priečinku ako ActiveDirectoryScanner.exe) postupujte podľa odporúčaní:
•Použite polia "Include" a "Exclude" na zahrnutie alebo vylúčenie organizačných jednotiek, pričom zadáte cestu ku konkrétnej jednotke, napríklad: "Users\\Bratislava\\TechDepartment". Cesta sa musí skladať len z názvov organizačných jednotiek.
•Použite "ExcludeByID" na vylúčenie konkrétnych používateľov, pričom zadáte ich objectSid.
•Príklad syntaxe:
"Include": [
"path1", "path2", ...
],
"Exclude": [
"path1","path2", ...
],
"ExcludeByID": [
"objectSid1", "objectSid2"...
],
•Príklad: "Include": ["Users\\Bratislava\\TechDepartment"]. TechDepartment má viac podjednotiek. Konkrétnu podjednotku môžete vylúčiť použitím "Exclude": ["Users\\Bratislava\\TechDepartment\\Test"]. |
|
|
Synchronizácia z konkrétneho doménového radiča
Konkrétny doménový radič
Parameter --domain-controller špecifikuje názov hostiteľa alebo IP adresu servera, z ktorého sa majú načítať údaje zo služby Active Directory.
Po nastavení parametra --domain-controller sa príslušné informácie uložia do databázy. Následne vždy, keď klient spustí nástroj ADScanner, použije sa doménový radič uložený v databáze.
Ak chcete resetovať konfiguráciu doménového radiča, ako parameter --domain-controller nastavte prázdny reťazec. Príklad: --domain-controller ""
Prihlasovacie meno v službe Active Directory pre konkrétny doménový radič
Parameter --domain-controller-user špecifikuje prihlasovacie meno v službe Active Directory. Toto prihlasovacie meno je spojené s parametrom --domain-controller a používa sa na autentifikáciu. Príklad: --domain-controller-user "username"
Heslo v službe Active Directory pre konkrétny doménový radič
Parameter --domain-controller-password špecifikuje heslo v službe Active Directory. Toto heslo je prepojené s prihlasovacím menom uvedeným v parametri --domain-controller-user a používa sa na autentifikáciu. Príklad: --domain-controller-password "your_password"
|
5.Po vyžiadaní zadajte používateľské heslo pre Active Directory.
6.Keď Active Directory Scanner dokončí synchronizáciu, vaša štruktúra Active Directory (organizačné jednotky s počítačmi/používateľmi) sa zobrazí v rozhraní ESET PROTECT Web Console v sekcii Počítače/Používatelia počítača ako statické skupiny s počítačmi a/alebo ako Skupiny používateľov s používateľmi v sekcii Používatelia počítača.
|
|
Active Directory Scanner vytvorí v plánovači úloh systému Windows úlohu na synchronizáciu s Active Directory, ktorá sa bude opakovane spúšťať každú hodinu. Interval synchronizácie s Active Directory môžete nastaviť podľa svojich preferencií v plánovači úloh. Všetky ďalšie zmeny vo vašej štruktúre Active Directory sa prejavia v ESET PROTECT Web Console po najbližšej synchronizácii.
Voliteľne môžete použiť parameter --no-scheduled-task na spustenie synchronizácie bez plánovača úloh systému Windows. Synchronizácia so službou Active Directory prebehne iba raz a budúce zmeny v službe Active Directory už nebudú automaticky synchronizované s konzolou ESET PROTECT. Ak už úloha existuje, parameter --no-scheduled-task nevytvorí úlohu nanovo ani ju neupraví.
|
|
|
Obmedzenia synchronizácie s Active Directory:
•Active Directory Scanner synchronizuje iba organizačné jednotky Active Directory, ktoré obsahujú používateľov. Organizačné jednotky, ktoré neobsahujú žiadnych používateľov, nebudú synchronizované.
•Ak odstránite organizačnú jednotku v službe Active Directory, všetci jej používatelia budú odstránení z príslušnej skupiny používateľov v ESET PROTECT Web Console. Prázdne zosynchronizované skupiny sa taktiež odstránia.
•Ak odstránite synchronizovaného používateľa služby Active Directory z ESET PROTECT Web Console, po ďalšej synchronizácii sa už v konzole nezobrazí aj napriek tomu, že v službe Active Directory zostáva aj naďalej, a to až kým sa nezmenia synchronizované vlastnosti v zdrojovej štruktúre Active Directory. |
Pomocníka pre Active Directory Scanner si zobrazíte použitím jedného z nasledujúcich parametrov: -? -h --help.
Na účely riešenia problémov si môžete prezrieť protokoly umiestnené v C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Môžete tiež použiť jedno z nasledujúcich riešení:
•Exportujte zoznam počítačov z Active Directory a importujte ho do ESET PROTECT
•Nasaďte ESET Management Agenta na počítače v Active Directory použitím Group Policy Object
Exportujte zoznam počítačov z Active Directory a importujte ho do ESET PROTECT
|
|
Toto riešenie poskytuje iba jednorazovú synchronizáciu s Active Directory. Žiadne budúce zmeny, ku ktorým dôjde v Active Directory, synchronizované nebudú.
|
1.Exportujte zoznam počítačov z Active Directory. V závislosti od toho, ako spravujete Active Directory, môžete použiť rôzne nástroje. Napríklad otvorte nástroj Používatelia a počítače služby Active Directory, pod svojou doménou kliknite pravým tlačidlom na Počítače a vyberte možnosť Exportovať zoznam.
2.Uložte zoznam exportovaných Active Directory počítačov ako súbor .txt.
3.Upravte zoznam počítačov tak, aby bol jeho formát prijateľný pre ESET PROTECT import. Uistite sa, že každý riadok obsahuje jeden počítač a má nasledujúci formát:
\GROUP\SUBGROUP\Computer name
4.Uložte aktualizovaný súbor .txt so zoznamom počítačov.
5.Importujte zoznam počítačov v službe Active Directory do ESET PROTECT Web Console. Kliknite na Počítače > kliknite na ikonu ozubeného kolesa vedľa statickej skupiny Všetko a vyberte možnosť Import.
Nasaďte ESET Management Agenta na počítače v Active Directory použitím Group Policy Object
1.Vytvorte GPO skript pre nasadenie agenta.
2.Nasaďte ESET Management Agenta použitím Group Policy Object (GPO) – začnite krokom č. 3 v našom článku databázy znalostí.
3.Po úspešnom nasadení ESET Management Agenta cez GPO bude ESET Management Agent nainštalovaný na počítačoch služby Active Directory a tie sa zobrazia v ESET PROTECT Web Console v sekcii Počítače.
Vždy, keď v budúcnosti pridáte nový počítač do služby Active Directory, bude daný počítač zobrazený v ESET PROTECT Web Console v sekcii Počítače.
|
