使用 ESET Active Directory 掃描器將 Active Directory 電腦和使用者與 ESET PROTECT Web 主控台同步化。
|
|
ESET 會定期更新 Active Directory 掃描器以增強其功能。您可以在變更防護記錄中檢視更多詳細資訊。
|
先決條件
•在連接到 Active Directory 的電腦上以 Active Directory 使用者身份執行 Active Directory 掃描器。
•支援的作業系統 (支援 HTTP/2):Windows 10、Windows Server 2016 及更新版本。
•下載並安裝 .NET Core Runtime。
•準備使用者配置檔案 (config.json) 以進行 Active Directory 使用者同步化。config.json 包含在 Active Directory [掃描器] Zip 檔案中。
•AD 掃描器存取權杖的使用者存取權限:寫入
使用掃描 Active Directory 掃描器
1.在 ESET PROTECT Web 主控台中,建立伺服器代理程式 GPO 部署指令碼。
2.使用 Active Directory 使用者帳戶登入您 Active Directory 中的電腦。確保它符合上面列出的先決條件。
3.將最新版 Active Directory 掃描器下載到電腦。
4.解壓縮下載的資料ˋ夾。
5.下載伺服器代理程式 GPO 部署指令碼 (已在步驟 1 中建立),並將其複製到 ActiveDirectoryScanner 資料夾 (包含所有 Active Directory 掃描器檔案的資料夾)。
1.在 ESET PROTECT Web 主控台中,移至 [電腦],然後選取您想要同步 Active Directory 結構的靜態群組。
2.按一下所選靜態群組旁邊的齒輪  圖示,然後選取  Active Directory 掃描器。
3.按一下 [產生] 以取得存取權杖。
|
|
每個靜態群組都有一個權杖。該權杖識別將同步 Active Directory 的靜態群組。
若為了安全性因素要將當前權杖判定為無效,請按一下 [重新產生] 以建立新權杖。如果與 ESET PROTECT 的 Active Directory 同步已在執行中,則變更安全性權杖後將停止同步。必須使用新權杖執行 Active Directory 掃描器,才能重新啟用 Active Directory 同步。
由於安全性原因,若要刪除權杖,按一下 [停用權杖]。若要確認權杖停用,按一下 [停用]。
|
4.執行 Active Directory 掃描器 (用您在上一步驟中複製的權杖取代 token_string)。
ActiveDirectoryScanner.exe --token token_string
|
|
依預設,最新的 Active Directory 掃描器不會同步已停用的 Active Directory 電腦。若要同步已停用的 Active Directory 電腦,請使用 --disabled-computers 參數:
ActiveDirectoryScanner.exe --token token_string --disabled-computers
|
5.系統要求時,輸入 Active Directory 使用者密碼。
6.在 Active Directory 掃描器完成同步後,您的 Active Directory 結構 (電腦的組織單位) 將在 ESET PROTECT Web 主控台顯示為電腦中的電腦靜態群組。
|
|
Active Directory 掃描器在 Windows 任務排程器中建立 Active Directory 同步任務,並將觸發重複間隔設定為 1 小時。您可以根據自己的偏好調整任務排程器中的 Active Directory 同步間隔。將來對 Active Directory 結構所做的任何變更將在下一次同步後反映在 ESET PROTECT Web 主控台中。
|
|
|
Active Directory 同步化限制:
•Active Directory 掃描器僅同步包含具有 DNS 名稱之電腦的 Active Directory 組織單位。將不會同步不包含任何電腦的組織單位。
•如果 Active Directory 中的組織單位名稱發生變更,將在下一次同步後,於 ESET PROTECT Web 主控台中建立一個具有新名稱的新靜態群組。與舊組織單位名稱相對應的靜態群組將保持為 ESET PROTECT Web 主控台且內容為空,原本包含的電腦將移動到使用新名稱的靜態群組。
•如果您刪除 Active Directory 中的組織單位,將從 ESET PROTECT Web 主控台中的相應靜態群組中刪除該單位中的所有電腦。
•如果您從 ESET PROTECT Web 主控台中刪除同步的 Active Directory 電腦,則在下一次同步後該電腦不會再次出現,即使它仍在 Active Directory 中也是如此。 |
若要查看 Active Directory 掃描器說明,請使用下列其中一個參數:-? -h --help。
出於疑難排解目的,可以檢視位於 C:\ProgramData\ESET\ActiveDirectoryScanner\Logs 中的防護記錄。
|
|
如果您從 Active Directory 刪除電腦,該電腦也將從 ESET PROTECT Web 主控台中刪除。
|
|
1.在 ESET PROTECT Web 主控台中,移至 [更多] > [電腦使用者],然後選取您想要同步 Active Directory 結構的使用者群組。
2.按一下所選使用者群組旁的齒輪 圖示,然後選取 Active Directory 掃描器,並複製所產生的存取權杖。
3.按一下 [產生] 以取得存取權杖。
|
|
每個使用者群組都有一個權杖。該權杖識別將同步 Active Directory 的使用者群組。
若為了安全性因素要將當前權杖判定為無效,請按一下 [重新產生] 以建立新權杖。如果與 ESET PROTECT 的 Active Directory 同步已在執行中,則變更安全性權杖後將停止同步。必須使用新權杖執行 Active Directory 掃描器,才能重新啟用 Active Directory 同步。
由於安全性原因,若要刪除權杖,按一下 [停用權杖]。若要確認權杖停用,按一下 [停用]。
|
4.執行 Active Directory 掃描器 (用您在上一步驟中複製的權杖取代 token_string)。
ActiveDirectoryScanner.exe --user-token token_string --user-config config.json
|
|
--user-token 和 --token 可同時使用。然後,該工具將會同步化電腦和使用者。
|
|
|
使用者設定檔 (config.json) 建議
按照建議配置 config.json 檔案 (位於與 ActiveDirectoryScanner.exe 相同的資料夾中):
•使用 "Include" 和 "Exclude" 欄位包含或排除組織單位;確定到特定單元的路徑,例如:"Users\\Bratislava\\TechDepartment"。此路徑必須僅由組織單位名稱組成。
•使用 "ExcludeByID" 排除特定使用者;指定他們的 objectSid。
•語法範例:
"Include": [
"path1", "path2", ...
],
"Exclude": [
"path1","path2", ...
],
"ExcludeByID": [
"objectSid1", "objectSid2"...
],
•範例:"Include": ["Users\\Bratislava\\TechDepartment"] TechDepartment 具有更多子單位,您可以使用 "Exclude": ["Users\\Bratislava\\TechDepartment\\Test"] 來排除任何子單位 |
5.系統要求時,輸入 Active Directory 使用者密碼。
6.在 Active Directory 掃描器完成同步化後,您的 Active Directory 結構 (電腦/使用者的組織單位) 將在 ESET PROTECT Web 主控台顯示電腦/電腦使用者作為具有電腦的靜態群組和/或在電腦使用者中具有使用者的使用者群組。
|
|
Active Directory 掃描器在 Windows 任務排程器中建立 Active Directory 同步任務,並將觸發重複間隔設定為 1 小時。您可以根據自己的偏好調整任務排程器中的 Active Directory 同步間隔。將來對 Active Directory 結構所做的任何變更將在下一次同步後反映在 ESET PROTECT Web 主控台中。
|
|
|
Active Directory 同步化限制:
•Active Directory 掃描器僅同步化包含使用者的 Active Directory 組織單位。將不會同步化不包含任何使用者的組織單位。
•如果您刪除 Active Directory 中的組織單位,將從 ESET PROTECT Web 主控台中對應的使用者群組中移除該單位中的所有使用者。同時移除空白的同步化群組。
•如果您從 ESET PROTECT Web 主控台中刪除同步化的 Active Directory 使用者,它不會在下一次同步化之後重新出現,即使將其保留在 Active Directory 中,直到來源 Active Directory 中的某些同步化屬性已變更。 |
若要查看 Active Directory 掃描器說明,請使用下列其中一個參數:-? -h --help。
出於疑難排解目的,可以檢視位於 C:\ProgramData\ESET\ActiveDirectoryScanner\Logs 中的防護記錄。
|
或者,您可以使用下面的權變措施解決方案之一:
•從 Active Directory 匯出電腦清單,並將其匯入到 ESET PROTECT
•使用群組原則物件將 ESET Management 代理程式部署到 Active Directory 電腦
從 Active Directory 匯出電腦清單,並將其匯入到 ESET PROTECT
|
|
此解決方案僅提供一次性 Active Directory 同步,不會同步任何將來的 Active Directory 變更。
|
1.從 Active Directory 匯出電腦清單。您可以使用各種工具,具體取決於您管理 Active Directory 的方式。例如,開啟 [Active Directory 使用者和電腦],然後在您的網域下用滑鼠右鍵按一下 [電腦],然後選取 [匯出清單]。
2.將匯出的 Active Directory 電腦清單儲存為 .txt 檔案。
3.修改電腦清單以使其格式可供 ESET PROTECT 匯入接受。確保每一行包含一台電腦,並且具有以下格式:
\GROUP\SUBGROUP\Computer name
4.將更新後的 .txt 檔案與電腦清單一起儲存。
5.將 Active Directory 電腦清單匯入 ESET PROTECT Web 主控台。按一下 [電腦] > 按一下 [全部] 靜態群組旁邊的齒輪圖示,然後選擇 [匯入]。
使用群組原則物件將 ESET Management 代理程式部署到 Active Directory 電腦
1.建立伺服器代理程式 GPO 部署指令碼。
2.使用群組原則物件 (GPO) 部署 ESET Management 代理程式 - 從我們知識庫文章中的步驟 3 開始。
3.透過 GPO 成功部署 ESET Management 代理程式後,ESET Management 代理程式將安裝在 Active Directory 電腦上,且電腦將顯示在 ESET PROTECT Web 主控台的 [電腦] 畫面中。
將來每當您將新電腦新增到 Active Directory 時,它都將顯示在 ESET PROTECT Web 主控台的 [電腦] 畫面中。
|
