使用 ESET Active Directory 扫描程序,即可将 Active Directory 计算机和用户与 ESET PROTECT Web 控制台同步。
|
|
ESET 会定期更新 Active Directory 扫描程序以增强其功能。可以在变更日志中查找更多详细信息。
|
先决条件
•在与 Active Directory 连接的计算机上以 Active Directory 用户身份运行 Active Directory 扫描程序。
•支持的操作系统(支持 HTTP/2):Windows 10、Windows Server 2016 及更高版本。
•下载并安装 .NET Core Runtime。
•为 Active Directory 用户同步准备用户配置文件 (config.json)。config.json 包含在 Active Directory 扫描程序 zip 文件中。
•AD 扫描程序访问令牌的用户访问权限:写入
使用 Active Directory 扫描程序。
1.在 ESET PROTECT Web 控制台中,创建服务器服务器代理 GPO 部署脚本。
2.使用 Active Directory 用户帐户登录到 Active Directory 中的计算机。确保它满足上面所列的先决条件。
3.下载最新 Active Directory 扫描程序到计算机。
4.解压缩下载的文件。
5.下载服务器代理 GPO 部署脚本(已在步骤 1 中创建),并将其复制到 ActiveDirectoryScanner 文件夹(即包含所有 Active Directory 扫描程序文件的文件夹)。
1.在 ESET PROTECT Web 控制台中,转到计算机,然后选择要同步 Active Directory 结构的静态组。
2.单击选定静态组旁边的齿轮 图标,然后选择 Active Directory 扫描程序。
3.单击生成,以获取访问令牌。
|
|
每个静态组都有一个令牌。该令牌标识将同步 Active Directory 的静态组。
要出于安全原因使当前令牌失效,请单击重新生成以创建新的令牌。如果 Active Directory 与 ESET PROTECT 同步已在运行,则该同步将在更改安全令牌后停止。必须使用新令牌运行 Active Directory 扫描程序,才能重新启用 Active Directory 同步。
要出于安全原因而删除令牌,请单击停用令牌。要确认令牌停用,请单击停用。
|
4.运行 Active Directory 扫描程序(将 token_string 替换为在上一步中复制的令牌)。
ActiveDirectoryScanner.exe --token token_string
|
|
默认情况下,最新的 Active Directory 扫描程序不会同步已禁用的 Active Directory 计算机。要同步已禁用的 Active Directory 计算机,请使用 --disabled-computers 参数:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.请求时,请键入 Active Directory 用户密码。
6.在 Active Directory 扫描程序完成同步后,Active Directory 结构(计算机的组织单位)将在 ESET PROTECT Web 控制台的计算机中显示为包含计算机的静态组。
|
|
Active Directory 扫描程序会在 Windows 任务计划程序中创建 Active Directory 同步任务,其中触发器重复间隔设置为 1 小时。可以在任务计划程序中根据自己的偏好,调整 Active Directory 同步间隔。以后对 Active Directory 结构所做的任何更改都会在下次同步后反映在 ESET PROTECT Web 控制台中。
|
|
|
Active Directory 同步限制:
•Active Directory 扫描程序仅同步包含具有 DNS 名称的计算机的 Active Directory 组织单位。将不会同步未包含任何计算机的组织单位。
•如果 Active Directory 中的组织单位名称发生更改,则在下次同步后将在 ESET PROTECT Web 控制台中创建一个具有新名称的新静态组。与旧组织单位名称相对应的静态组将保留在 ESET PROTECT Web 控制台中并且它将为空 - 包含的计算机将移动到具有新名称的静态组。
•如果删除 Active Directory 中的组织单位,则该单位中的所有计算机将从 ESET PROTECT Web 控制台中相应的静态组中删除。
•如果从 ESET PROTECT Web 控制台中删除同步的 Active Directory 计算机,则在下次同步后该计算机不会再次出现,即使它仍保留在 Active Directory 中也是如此。 |
要查看 Active Directory 扫描程序帮助,请使用以下参数之一:-? -h --help。
出于排除故障的目的,请查看位于 C:\ProgramData\ESET\ActiveDirectoryScanner\Logs 中的日志。
|
|
如果从 Active Directory 中删除计算机,则该计算机也会从 ESET PROTECT Web 控制台中删除。
|
|
1.在 ESET PROTECT Web 控制台中,转到更多 > 计算机用户,然后选择要同步 Active Directory 结构的用户组。
2.单击选定用户组旁边的齿轮 图标、选择 Active Directory 扫描程序,然后复制生成的访问令牌。
3.单击生成,以获取访问令牌。
|
|
每个用户组都有一个令牌。该令牌标识将同步 Active Directory 的用户组。
要出于安全原因使当前令牌失效,请单击重新生成以创建新的令牌。如果 Active Directory 与 ESET PROTECT 同步已在运行,则该同步将在更改安全令牌后停止。必须使用新令牌运行 Active Directory 扫描程序,才能重新启用 Active Directory 同步。
要出于安全原因而删除令牌,请单击停用令牌。要确认令牌停用,请单击停用。
|
4.运行 Active Directory 扫描程序(将 token_string 替换为在上一步中复制的令牌)。
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token 和 --token 可以同时使用。然后,该工具将同步计算机和用户。
|
|
|
用户配置文件 (config.json) 建议
按照建议配置 config.json 文件(与 ActiveDirectoryScanner.exe 位于同一文件夹中):
•使用 "Include" 和 "Exclude" 字段包含或排除组织单位;确定特定单位的路径,例如:"Users\\Bratislava\\TechDepartment"。路径只能由组织单位名称组成。
•使用 "ExcludeByID" 排除特定用户;指定其 objectSid。
•语法示例:
"Include": [
"path1", "path2", ...
],
"Exclude": [
"path1","path2", ...
],
"ExcludeByID": [
"objectSid1", "objectSid2"...
],
•示例:"Include": ["Users\\Bratislava\\TechDepartment"] TechDepartment 具有更多子单位,您可以使用 "Exclude": ["Users\\Bratislava\\TechDepartment\\Test"] 排除任何子单位 |
5.请求时,请键入 Active Directory 用户密码。
6.在 Active Directory 扫描程序完成同步后,Active Directory 结构(包含计算机/用户的组织单位)将在 ESET PROTECT Web 控制台的计算机/计算机用户中显示为静态组(包含计算机)和/或用户组(包含计算机用户中的用户)。
|
|
Active Directory 扫描程序会在 Windows 任务计划程序中创建 Active Directory 同步任务,其中触发器重复间隔设置为 1 小时。可以在任务计划程序中根据自己的偏好,调整 Active Directory 同步间隔。以后对 Active Directory 结构所做的任何更改都会在下次同步后反映在 ESET PROTECT Web 控制台中。
|
|
|
Active Directory 同步限制:
•Active Directory 扫描程序仅同步包含用户的 Active Directory 组织单位。将不会同步未包含任何用户的组织单位。
•如果删除 Active Directory 中的组织单位,则该单位中的所有用户都会从 ESET PROTECT Web 控制台中相应的用户组中被删除。空的同步组也会被删除。
•如果从 ESET PROTECT Web 控制台中删除同步的 Active Directory 用户,则它不会在下一次同步后再次出现,即使它仍保留在 Active Directory 中也是如此,直到在源 Active Directory 中更改某些同步属性。 |
要查看 Active Directory 扫描程序帮助,请使用以下参数之一:-? -h --help。
出于排除故障的目的,请查看位于 C:\ProgramData\ESET\ActiveDirectoryScanner\Logs 中的日志。
|
此外,可以使用下面的解决方法之一:
•从 Active Directory 中导出计算机列表,然后将其导入到 ESET PROTECT
•使用组策略对象将 ESET Management 服务器代理部署到 Active Directory 计算机
从 Active Directory 中导出计算机列表,然后将其导入到 ESET PROTECT
|
|
此解决方案仅提供一次 Active Directory 同步,不会同步以后的任何 Active Directory 更改。
|
1.从 Active Directory 中导出计算机列表。可以使用各种工具,具体取决于管理 Active Directory 的方式。例如,打开 Active Directory用户和计算机、在域下右键单击计算机,然后选择导出列表。
2.将导出的 Active Directory 计算机列表另存为 .txt 文件。
3.修改计算机列表以使其格式可供 ESET PROTECT 导入接受。确保每一行包含一台计算机,并且具有以下所示格式:
\GROUP\SUBGROUP\Computer name
4.保存包含计算机列表的更新的 .txt 文件。
5.将 Active Directory 计算机列表导入到 ESET PROTECT Web 控制台。单击计算机 > 单击全部静态组旁边的齿轮图标,然后选择导入。
使用组策略对象将 ESET Management 服务器代理部署到 Active Directory 计算机
1.创建服务器代理 GPO 部署脚本。
2.使用组策略对象 (GPO) 部署 ESET Management 服务器代理 - 从我们的知识库文章中的步骤 3 开始。
3.在通过 GPO 成功部署 ESET Management 服务器代理后,ESET Management 服务器代理将安装在 Active Directory 计算机上,并且计算机将显示在 ESET PROTECT Web 控制台的计算机屏幕中。
以后任何时候将新计算机添加到 Active Directory 时,它都会显示在 ESET PROTECT Web 控制台的计算机屏幕中。
|