跳至主要内容

Microsoft Active Directory

与Active Directory集成

该集成允许 GravityZone 从本地Active Directory导入计算机清单。通过这种方式,您可以轻松部署和管理Active Directory终端上的防护。集成通过名为Active Directory集成器的托管终端实现。

注意

企业可集成Active Directory或VMware vCenter,但无法同时集成两者。

要管理Active Directory集成,您可以执行以下操作:

  • 设置Active Directory集成器

  • 移除Active Directory集成器

  • 移除集成

设置Active Directory集成器

您可以为同一域定义多个Active Directory集成器,也可为每个可用域分别定义。

先决条件

Active Directory集成器需满足以下条件:

  • 运行Windows操作系统。

  • 已加入Active Directory。

  • Bitdefender端点安全工具 .

  • 始终保持在线状态。若离线可能影响与Active Directory的同步。

重要提示

若您在 Active Directory 集成前继承了文件夹上分配的策略,所有在 Active Directory 域中发现的所有端点将从当前文件夹移至 Active Directory 文件夹,并分配默认设置的策略。

Active Directory 同步完成后,您可重新分配策略。

设置Active Directory集成器的步骤

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 网络 页面。

  3. 在网络清单中导航至目标端点所在分组并选中。

    注意

    如需定义多个集成器,请每次仅选择一个终端。

  4. 在操作菜单中,选择 设为Active Directory集成器 .

  5. 点击 确认操作。

    数分钟后,您将能在网络网格中查看 Active Directory 树状结构。对于大型Active Directory网络,同步过程可能需要更长时间完成。与Active Directory集成器同域的终端将从 计算机和群组 迁移至Active Directory容器。

与Active Directory同步

GravityZone 仅支持自动同步Active Directory,该过程每小时重复一次。

GravityZone 在以下情况发生时无法与Active Directory域同步:

  • 所有Active Directory集成器角色已被移除

  • Active Directory集成器与 GravityZone 断开连接超过2小时

  • 同域内所有Active Directory集成器均无法与域控制器通信

  • 未在作为AD集成器的终端上登录域账户。若无域用户登录,将无缓存凭据,导致AD服务器查询失败。

上述任一情况发生时,系统将在 通知区域 触发Active Directory问题警报。详情请参阅 通知 .

Active Directory集成器报告的实体

Active Directory集成器可报告计算机、组织单元、用户、容器及安全组。

要使计算机能被Active Directory集成器发现并报告,以下属性必须非空:

  • distinguishedName

  • dnshostname

  • objectGUID

  • name

  • samaccountname

  • objectSid

可通过在域控制器上以管理员权限执行以下PowerShell命令获取计算机的详细信息: 

Get-ADComputer -Identity {machine_hostname} -Properties *

要使用户能被Active Directory集成器发现并报告,以下属性必须非空:

  • distinguishedName

  • name

  • objectGUID

  • objectClass

可通过在域控制器上以管理员权限执行以下PowerShell命令获取用户的详细信息: 

Get-ADUser -Identity {username} -Properties *

注意

  • 报告实体列表不包含已禁用的实体(如计算机和/或用户)。若列表中已有实体被禁用,在下一次计划运行时将不再报告该实体。

  • 当将实体(如用户、计算机、安全组)从一个组织单位移至另一个时,变更将在下一次计划运行时由Active Directory集成器报告。

  • 当实体(如用户、计算机)加入或移出安全组时,由于不跟踪安全组成员关系,Active Directory集成器不会报告此类变更。对于用户,此类变更由策略中的用户感知规则跟踪。详见 配置用户规则 获取更多信息。

  • 当更新用户详细信息(如部门、职务、姓氏、名字、邮箱、邮件别名)时,变更将在下一次计划运行时由Active Directory集成器报告。

  • 无论是否包含成员,安全组都会被报告。

移除Active Directory集成器

此操作将移除连接系统与Active Directory的实体,影响同步和自动化管理。AD清单中的任何变更将不会显示在 GravityZone 清单中

注意

要移除集成功能,需先移除所有Active Directory集成器。

要从终端移除Active Directory集成器角色:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 网络 页面。

  3. 在网络资产中导航至包含Active Directory集成器的群组并选中该终端。

    注意

    如需移除多个集成器,需逐个选择终端。

  4. 在操作菜单中选择 移除Active Directory集成器 .

  5. 系统将显示确认信息。

    • 若同域内无其他Active Directory集成器终端,确认信息会同时提示该域将不再与 GravityZone .

    • 若终端处于离线状态,其集成器角色将在重新上线后被移除。

您可通过以下筛选条件,在 用户活动 版块查看被移除的集成器记录:

  • 区域 :Active Directory

  • 操作 :移除AD集成器

更多详情请参阅 用户活动日志 .

移除Active Directory集成

这将使系统与Active Directory完全断开连接。所有库存项目将被移至“计算机和组”文件夹,保留全部条目但不再维持原有结构。

您可按以下步骤从Active Directory文件夹移除一个或多个域:

  1. 登录至 GravityZone 控制中心 .

  2. 通过左侧菜单进入 网络 页面。

  3. 在左侧面板的 网络 树状图中选择 Active Directory 文件夹。

  4. 在右侧面板选择需要移除的域文件夹。

  5. 在操作菜单中选择 移除Active Directory集成 .

    系统将显示确认信息。该信息提供选项供您选择是否从网络清单删除未托管终端,此选项默认启用,点击 确认 即可继续。

    选定域下的所有终端将被转移至 计算机和组 文件夹(或其原始组),且该域已分配终端的Active Directory集成器角色将被移除。

    原分配给Active Directory文件夹或终端的所有策略将被取消分配。

    所有终端将移至 计算机和组 文件夹,其所在文件夹的关联策略也将同步应用。

    注意

    若目标文件夹未分配策略,所有终端将恢复为默认策略。

Active Directory集成与Azure Active Directory集成对比

与允许 GravityZone 从本地Active Directory导入计算机清单的Active Directory集成不同,Azure AD集成不能用于在 GravityZone 安全解决方案中导入计算机清单,因为它仅能用于通过单点登录认证进行连接。

注意

如需了解如何配置 GravityZone 与Azure AD的云单点登录,请访问此 页面 .

本节内容 :