Використовуйте ESET Active Directory Scanner для синхронізації комп’ютерів Active Directory і користувачів із веб-консоллю ESET PROTECT.
|
|
ESET регулярно оновлює сканер Active Directory для покращення роботи. Більш докладні відомості див. в журналі змін.
|
Попередні вимоги відсутні
•Запустіть Active Directory Scanner як користувач Active Directory на комп’ютері, який підключено до Active Directory.
•Підтримувані операційні системи (підтримка HTTP/2): Windows 10, Windows Server 2016 і новіших версій.
•Завантажте й інсталюйте .NET Core Runtime.
•Підготуйте файл конфігурації користувача (config.json) для синхронізації користувача Active Directory. config.json міститься у ZIP-файлі Active Directory Scanner.
•Дозвіл на доступ користувача для маркера доступу AD Scanner: Запис
Використання Active Directory Scanner
1.У ESET PROTECT Web Console створіть сценарій розгортання агента за допомогою групової політики.
2.Увійдіть на комп’ютер в Active Directory з обліковим записом користувача Active Directory. Переконайтеся, що він відповідає попереднім вимогам, які вказано вище.
3.Завантажте найновішу версію Active Directory Scanner на комп’ютер.
4.Розархівуйте завантажений файл.
5.Завантажте сценарій розгортання агента за допомогою групової політики (створена на кроці 1) і скопіюйте його в папку ActiveDirectoryScanner (яка містить усі файли Active Directory Scanner).
1.У ESET PROTECT Web Console відкрийте розділ Комп’ютери й виберіть статичну групу, де потрібно синхронізувати структуру Active Directory.
2.Клацніть піктограму шестерні  поруч із статичною групою й виберіть  Active Directory Scanner.
3.Натисніть Згенерувати, щоб отримати маркер доступу.
|
|
Кожна статична група має маркер. Маркер визначає статичну групу, де синхронізуватиметься Active Directory.
Щоб анулювати поточний маркер, клацніть Заново згенерувати — буде згенеровано новий маркер. Якщо синхронізація Active Directory з ESET PROTECT вже виконується, після зміни маркера безпеки її буде зупинено. Необхідно запустити Active Directory Scanner із новим маркером, щоб заново ввімкнути синхронізацію Active Directory.
Щоб видалити маркер із міркувань безпеки, натисніть Деактивувати маркер. Щоб підтвердити деактивацію маркера, натисніть Деактивувати.
|
4.Запустіть Active Directory Scanner (замість token_string укажіть маркер, скопійований на попередньому кроці).
ActiveDirectoryScanner.exe --token token_string
|
|
За замовчуванням найновіша версія Active Directory Scanner не синхронізує вимкнуті комп’ютери Active Directory. Щоб синхронізувати вимкнуті комп’ютери Active Directory, скористайтеся параметром --disabled-computers:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.У відповідь на запит уведіть пароль користувача Active Directory.
6.Після того, як Active Directory Scanner завершить синхронізацію, ваша структура Active Directory (організаційні одиниці з комп’ютерами) з’явиться в ESET PROTECT Web Console в розділі Комп’ютери. Її буде представлено статичними групами з комп’ютерами.
|
|
Active Directory Scanner створює завдання Синхронізація Active Directory у планувальнику завдань Windows із інтервалом повторення 1 година. Інтервал синхронізації Active Directory можна налаштувати в планувальнику завдань у залежності від власних потреб. Будь-які подальші зміни в структурі Active Directory будуть показні в ESET PROTECT Web Console після наступної синхронізації.
|
|
|
Обмеження синхронизації Active Directory:
•Active Directory Scanner синхронізує тільки ті організаційні одиниці Active Directory, які містять комп’ютери з іменами DNS. Організаційні одиниці, які не мають жодного комп’ютера, не синхронізуються.
•Якщо змінити ім’я організаційної одиниці в Active Directory, у ESET PROTECT Web Console після наступної синхронізації створюється нова статична група з новим іменем. Статична група, яка відповідає імені попередньої організаційної одиниці, залишиться а ESET PROTECT Web Console і буде пустою. Комп’ютери з її складу будуть перенесені в статичну групу з новим іменем.
•Якщо видалити організаційну одиницю в Active Directory, усі комп’ютери в ній будуть видалені з відповідної статичної групи в ESET PROTECT Web Console.
•Якщо видалити синхронізований комп’ютер Active Directory з ESET PROTECT Web Console, він не з’явиться після наступної синхронізації, навіть якщо він залишатиметься в Active Directory. |
Щоб переглянути довідку Active Directory Scanner, скористайтесь одним із цих параметрів: -?, -h, --help.
У процесі виправлення неполадок перегляньте журнали, розміщені в каталозі C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
|
Якщо видалити комп’ютер з Active Directory, його також буде видалено з веб-консолі ESET PROTECT.
|
|
1.У веб-консолі ESET PROTECT відкрийте розділ Докладніше > Користувачі комп’ютерів і виберіть групу користувачів, де потрібно синхронізувати структуру Active Directory.
2.Натисніть піктограму шестірні поруч із потрібною групою користувачів, виберіть Active Directory Scanner і скопіюйте згенерований маркер доступу.
3.Натисніть Згенерувати, щоб отримати маркер доступу.
|
|
Кожна група користувачів має маркер. Маркер визначає групу користувачів, де синхронізуватиметься Active Directory.
Щоб анулювати поточний маркер, клацніть Заново згенерувати — буде згенеровано новий маркер. Якщо синхронізація Active Directory з ESET PROTECT вже виконується, після зміни маркера безпеки її буде зупинено. Необхідно запустити Active Directory Scanner із новим маркером, щоб заново ввімкнути синхронізацію Active Directory.
Щоб видалити маркер із міркувань безпеки, натисніть Деактивувати маркер. Щоб підтвердити деактивацію маркера, натисніть Деактивувати.
|
4.Запустіть Active Directory Scanner (замість token_string укажіть маркер, скопійований на попередньому кроці).
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token і --token можна використовувати одночасно. Після цього інструмент синхронізуватиме комп’ютери та користувачів.
|
|
|
Рекомендації щодо файлу конфігурації користувача (config.json)
Дотримуйтеся рекомендацій, щоб налаштувати файл config.json (розташований у тій самій папці, що й ActiveDirectoryScanner.exe).
•Використовуйте поля "Include" і "Exclude", щоб включити чи виключити організаційні одиниці; визначте шлях до конкретної одиниці, наприклад: "Users\\Bratislava\\TechDepartment". Шлях має складатися лише з назв організаційних одиниць.
•Використовуйте "ExcludeByID", щоб виключити певних користувачів; укажіть для них objectSid.
•Приклад синтаксису:
"Include": [
"path1", "path2", ...
],
"Exclude": [
"path1","path2", ...
],
"ExcludeByID": [
"objectSid1", "objectSid2"...
],
•Приклад: "Include": ["Users\\Bratislava\\TechDepartment"] TechDepartment має більше субодиниць, можна виключити будь-яку субодиницю за допомогою "Exclude": ["Users\\Bratislava\\TechDepartment\\Test"] |
5.У відповідь на запит уведіть пароль користувача Active Directory.
6.Після того, як Active Directory Scanner завершить синхронізацію, ваша структура Active Directory (організаційні одиниці з комп’ютерами/користувачами) з’явиться в розділі Комп’ютери/користувачі комп’ютерів у веб-консолі ESET PROTECT. Її буде представлено статичними групами або Групами користувачів із користувачами в розділі Користувачі комп’ютерів.
|
|
Active Directory Scanner створює завдання Синхронізація Active Directory у планувальнику завдань Windows із інтервалом повторення 1 година. Інтервал синхронізації Active Directory можна налаштувати в планувальнику завдань у залежності від власних потреб. Будь-які подальші зміни в структурі Active Directory будуть показні в ESET PROTECT Web Console після наступної синхронізації.
|
|
|
Обмеження синхронизації Active Directory:
•Active Directory Scanner синхронізує тільки ті організаційні одиниці Active Directory, які містять користувачів. Організаційні одиниці, які не мають жодного користувача, не синхронізуються.
•Якщо видалити організаційну одиницю в Active Directory, усі користувачі в ній будуть видалені з відповідної групи користувачів у веб-консолі ESET PROTECT. Також видаляються пусті синхронізовані групи.
•Якщо видалити синхронізованого користувача Active Directory з веб-консолі ESET PROTECT, він не з’явиться після наступної синхронізації, навіть якщо залишатиметься в Active Directory, поки деякі синхронізовані властивості не буде змінено у вихідному Active Directory. |
Щоб переглянути довідку Active Directory Scanner, скористайтесь одним із цих параметрів: -?, -h, --help.
У процесі виправлення неполадок перегляньте журнали, розміщені в каталозі C:\ProgramData\ESET\ActiveDirectoryScanner\Logs.
|
Можна скористатись одним із таких альтернативних рішень:
•Експорт списку комп’ютерів із Active Directory та його імпорт в ESET PROTECT
•Розгортання агента ESET Management на комп’ютерах Active Directory за допомогою об’єкта групової політики (GPO)
Експорт списку комп’ютерів із Active Directory та його імпорт в ESET PROTECT
|
|
Це рішення дозволяє виконати синхронізацію Active Directory тільки разово. Синхронізація всіх подальших змін Active Directory не виконуватиметься.
|
1.Експортуйте список комп’ютерів із Active Directory. Для цього можна використовувати різні інструменти залежно від того, як ви керуєте Active Directory. Наприклад, відкрийте засіб Active Directory — користувачі й комп'ютери, знайдіть ваш домен; під ним правою кнопкою миші клацніть Комп’ютери й виберіть Експортувати список.
2.Збережіть список експортованих комп’ютерів Active Directory як файл .txt.
3.Внесіть зміни в список комп’ютерів таким чином, щоб він став прийнятним для імпорту ESET PROTECT. Переконайтеся, щоб кожен рядок містив у собі один комп’ютер і мав такий формат:
\GROUP\SUBGROUP\Computer name
4.Збережіть оновлений файл .txt зі списком комп’ютерів.
5.Імпортуйте список комп’ютерів Active Directory в ESET PROTECT Web Console. Клацніть Комп’ютери, а потім — піктограму шестерні поруч із статичною групою Усі й виберіть Імпорт.
Розгортання агента ESET Management на комп’ютерах Active Directory за допомогою об’єкта групової політики (GPO)
1.Створіть сценарій розгортання агента за допомогою об’єкта групової політики (GPO).
2.Розгорніть агент ESET Management за допомогою об’єкта групової політики (GPO): почніть із кроку 3 в нашій статті бази знань за цим посиланням.
3.Після розгортання агента ESET Management за допомогою об’єкта групової політики (GPO) агент ESET Management буде інстальовано на комп’ютерах Active Directory, які з’являться на екрані Комп’ютери в ESET PROTECT Web Console.
Після кожного додавання нового комп’ютера в Active Directory він з’являтиметься на екрані Комп’ютери в ESET PROTECT Web Console.
|
