跳至主内容

Microsoft Active Directory

与Active Directory集成

该集成允许 GravityZone 从本地Active Directory导入计算机清单。通过这种方式,您可以轻松部署并管理Active Directory终端上的防护。集成通过名为Active Directory Integrator的托管终端实现。

注意

您可以选择集成Active Directory或VMware vCenter,但无法同时集成两者。

要管理Active Directory集成,您可以执行以下操作:

  • 设置Active Directory集成器

  • 移除Active Directory集成器

  • 移除集成

设置Active Directory集成器

您可以为同一域定义多个Active Directory集成器,也可为每个可用域分别定义。

先决条件

Active Directory集成器需满足以下条件:

  • 运行Windows操作系统

  • 已加入Active Directory

  • Bitdefender端点安全工具 .

  • 始终保持在线状态。若离线可能影响与Active Directory的同步。

重要提示

若您继承了 Active Directory 集成前分配给文件夹的策略,所有在 Active Directory 域中发现的端点将从当前文件夹移至 Active Directory 文件夹,并分配默认设置的策略。

Active Directory 同步完成后,您可分配新策略。

设置Active Directory集成器的步骤

  1. 登录 GravityZone 控制中心 .

  2. 前往 网络 页面(通过左侧菜单栏)。

  3. 在网络资产目录中导航至终端所在的分组并选中该分组。

    注意

    如需定义多个集成器,需逐个选择终端。

  4. 在操作菜单中,选择 设为Active Directory集成器 .

  5. 点击 以确认操作。

    数分钟后,您将能在网络网格中查看 Active Directory 树状结构。对于大型Active Directory网络,同步过程可能需要更长时间。与Active Directory集成器同域的终端将从 计算机与分组 转移至Active Directory容器。

与Active Directory同步

GravityZone 仅支持自动同步Active Directory,该过程每小时重复一次。

GravityZone 在以下情况发生时将无法与Active Directory域同步:

  • 所有Active Directory集成器角色已被移除

  • Active Directory集成器与 GravityZone 失去连接超过2小时

  • 同域内所有Active Directory集成器均无法与域控制器通信

  • 未在作为AD集成器的终端上登录域账户。若无域用户登录,将无缓存凭证,导致AD服务器查询失败。

上述任一情况发生时,系统将在 通知区域 。更多信息,请参阅 通知 .

Active Directory集成器报告的实体

Active Directory集成器会报告计算机、组织单位、用户、容器和安全组。

要使计算机能被Active Directory集成器发现并报告,以下属性必须非空:

  • distinguishedName(可分辨名称)

  • dnshostname(DNS主机名)

  • objectGUID(对象GUID)

  • name(名称)

  • samaccountname(SAM账户名)

  • objectSid(对象SID)

可通过在域控制器上以管理员权限执行以下PowerShell命令获取计算机的详细信息: 

Get-ADComputer -Identity {machine_hostname} -Properties *

要使用户能被Active Directory集成器发现并报告,以下属性必须非空:

  • distinguishedName(可分辨名称)

  • name(名称)

  • objectGUID(对象GUID)

  • objectClass(对象类)

可通过在域控制器上以管理员权限执行以下PowerShell命令获取用户的详细信息: 

Get-ADUser -Identity {username} -Properties *

注意

  • 报告的实体列表不包含已禁用的实体(如计算机和/或用户)。如果某个已存在于报告列表中的实体被禁用,在下一次计划运行时,该禁用实体将不再被报告。

  • 当将实体(如用户、计算机、安全组)从一个组织单位移动到另一个时,Active Directory集成器将在下一次计划运行时报告此变更。

  • 当将实体(如用户、计算机)移入或移出安全组时,由于不跟踪安全组成员关系,Active Directory集成器不会报告此变更。对于用户,此类变更由策略的用户感知规则跟踪。详见 配置用户规则

  • 当更新用户详细信息(如部门、职务、姓氏、名字、邮箱、邮件别名)时,Active Directory集成器将在下一次计划运行时报告此变更。

  • 无论是否包含成员,安全组都会被报告。

移除Active Directory集成器

此操作将移除连接系统与Active Directory的实体,影响同步和自动化管理。AD清单中可能发生的任何变更将不会显示在 GravityZone 清单中

注意

若要移除集成配置,需先移除所有Active Directory集成器。

从终端移除Active Directory集成器角色的步骤:

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 网络 页面。

  3. 在网络清单中导航至包含Active Directory集成器的分组并选中该终端。

    注意

    如需移除多个集成器,需逐个选择终端操作。

  4. 在操作菜单中选择 移除Active Directory集成器 .

  5. 系统将显示确认信息。

    • 若同一域中无其他终端担任Active Directory集成器角色,确认信息还会提示当前域将不再与 GravityZone .

    • 若终端处于离线状态,其Active Directory集成器角色将在重新上线后被移除。

您可通过以下筛选条件在 用户活动 版块中检查是否有集成器从托管网络移除:

  • 区域 : Active Directory

  • 操作 :移除AD集成器

更多信息请参阅 用户活动日志 .

移除Active Directory集成

这将使系统与Active Directory完全断开连接。库存项目将被移至计算机和组文件夹,保留所有项目但不保留原有结构。

您可以选择从Active Directory文件夹中移除一个或多个域,操作如下:

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 网络 页面。

  3. 在左侧面板的 网络 树状图中,选择 Active Directory 文件夹。

  4. 转到右侧面板,选择要移除的域文件夹。

  5. 在操作菜单中选择 移除Active Directory集成 .

    将出现确认信息。该信息提供选项供您选择是否从网络清单中删除未托管终端,此选项默认启用,点击 确认 继续操作。

    所选域下的所有终端将被移至 计算机和组 文件夹(或其原始组),且该域已分配终端的Active Directory集成器角色将被移除。

    原分配给Active Directory文件夹或终端的所有策略将被取消分配。

    所有终端将被移至 计算机与群组 且目标文件夹所关联的策略也将自动应用于这些终端。

    注意

    若目标文件夹未关联任何策略,所有终端将恢复为默认策略。

Active Directory集成与Azure Active Directory集成的区别

与可从本地Active Directory导入计算机清单的 GravityZone Active Directory集成不同,Azure AD集成无法用于在 GravityZone 安全解决方案中导入计算机清单,仅支持单点登录认证连接。

注意

有关如何配置 GravityZone 云SSO与Azure AD的更多信息,请访问此 页面 .

本节内容 :