添加域

Active Directory

Active Directory (AD) 是微软开发的一项目录服务，提供基于域的网络中对用户、计算机、打印机和安全组等网络资源的集中管理。其旨在帮助IT管理员通过控制用户访问、执行策略和维护资源完整性，有效管理和保护组织的网络基础设施。

AD 核心功能是作为一个集中的数据库，存储所有关于网络资源的信息，使管理员能够高效组织访问权限，并通过单一界面管理这些资源，从而简化企业的IT操作。

目录

1. Active Directory 在 Endpoint Central 中的功能
2. 设置前提条件
3. 添加域的步骤
4. 配置同步选项
5. 管理 Active Directory 域
6. 解决域配置问题 Endpoint Central 中的功能

Active Directory 在 Endpoint Central 中的功能

计算机无缝入职/离职

通过 AD 集成，UEMS 中基于域的设备入职和离职变得更加简单。一旦配置域，您可以从集中控制台导入并管理所有 AD 关联设备。同时，UEMS 可根据 Active Directory 中计算机的添加或移除自动调整管理范围。

自动自定义组 (CG) 创建

AD 集成支持基于 AD 组织单元 (OU) 或其他条件自动创建自定义组（逻辑结构组）。这简化了动态分类和管理基于域的设备的过程，以便任务部署并为技术人员提供管理范围。

基于 Active Directory 的技术员登录

AD 集成支持基于 AD 用户的登录来访问 UEMS 服务器控制台。这样技术人员可使用单一密码访问 AD 资源和 UEMS 服务器。

基于 Active Directory 的报表

AD 集成支持生成 OU、组、域、用户、计算机和 GPO 等 AD 组件的洞察报告。

任务部署

AD 集成允许技术人员使用相同凭据部署任务，如代理部署、自定义脚本或软件安装到计算机上。

设置前提条件：

• 管理权限： 确保用于添加域的账户具有适当的 管理权限 ，覆盖域内所有客户端系统。此权限用于使用凭据进行 计算机入职及获取 AD 中所有对象 （计算机、用户、容器、组、GPO 和 OU）。

• 服务账户访问权限：

  为确保最佳功能， Endpoint Central 中的功能 服务账户需在 Active Directory 中具备特定权限：

  • 查看权限：授予对所有 AD 对象（包括计算机、用户、容器、组和组织单元（OU））的读取访问权限。确保能查看关键属性如`whenChanged`, `whenCreated`, `objectGUID`, `Name`, `distinguishedName`等。
  • 删除对象检索权限：提供访问 AD 回收站的凭据，以便检索已删除对象。请参阅 微软指南 了解详细权限要求. 

  凭据设置后，可以使用 Basic LDP 工具分析.

• 确认是否可以检索所有对象和 OU。
  • Run set L in Command Prompt to get the Domain Controller name (Logonserver = Domain Controller Name).
  • Run set U to retrieve the Domain Name and AD Domain Name (Userdomain = Domain Name, Userdnsdomain = AD Domain Name)

通过命令提示符收集数据：

1. 添加域的步骤： 导航至.
2. Agent > Domain > Add Domain Active Directory 从下拉菜单中选择
3. Enter the details collected from the Command Prompt (from the set L and set U commands) in the appropriate fields.

1. 从下拉菜单中选择 AD 连接器。AD 连接器作为中央服务器和域控制器之间的通信桥梁，用于获取 AD 对象。配置于域控制器所在位置的分发服务器可作为 AD 连接器。了解更多请点击 此处。您也可以刷新或添加新的 AD 连接器。

1. 启用 LDAP SSL 以加密 Endpoint Central 与 Active Directory 之间的通信。此操作需要向 Active Directory 上传 SSL 证书。默认情况下，LDAP SSL 使用端口636，可根据需求修改端口。
2. 点击 验证并继续.

配置同步选项：

AD 资源信息根据预设的计划进行同步。同步频率的更改将影响域、自动发现 - Active Directory 同步及自定义组功能。

域验证成功后，可为该域配置同步频率。

如何配置同步频率：

i. 同步频率

用户可选择域与服务器同步的频率：

• 一天一次 — 每 24 小时同步一次域数据。
• 一天两次 — 每 12 小时同步一次。
• 每 6 小时 — 每 6 小时同步一次域数据。

ii. 开始时间

• 输入24小时制的时间以启动同步。请注意，需根据域控制器的设置位置提供时区，以便正确启动同步。

• 点击 添加域

管理域于 Endpoint Central 中的功能:

添加域后，您可以通过操作菜单进行管理。

• 添加计算机： 要添加 AD 计算机，选择域，导航至操作菜单，点击 添加计算机.
• 立即同步：若要立即启动域同步，导航到对应域的操作菜单点击立即同步。
• 修改域： 若需编辑域详情，如域控制器或 AD 连接器，导航至对应域的操作菜单，点击修改域。
• 修改同步详情： 若需更新同步频率或开始时间，导航至对应域的操作菜单，点击修改同步详情。
• 删除： 若要删除域，导航至对应域的操作菜单，点击删除。请注意，删除域将清除该域的数据及相关的 Active Directory 报表数据。只有在所有计算机从管理范围移除后，域方可删除。
• 更改为工作组： 若要将基于域的设备更改为工作组，选择域，点击对应操作，选择 更改为工作组

注意

注意： 从工作组更改为 AD 域类型将禁用该 AD 配置的所有其他 AD 功能。

注意

When changing the Active Directory to Workgroup, the DNS Suffix will be required. To find the DNS Suffix, enter ipconfig /all in the command prompt and locate the data corresponding to 主 DNS 后缀.

相关文章：