Cet article fournit un aperçu de la façon de permettre la Sensibilisation des Utilisateurs avec la requête AD.
La Sensibilisation des Utilisateurs vous permet d'identifier facilement les utilisateurs finaux de votre réseau. De plus, utilisez les fonctions d'Analytics pour afficher le trafic et les événements selon le prénom et le nom AD, le nom de l'hôte et l'adresse IP.
Pour plus d'informations sur la façon de fournir des utilisateurs avec LDAP, voir Approvisionnement des Utilisateurs avec LDAP.
Les modifications apportées dans l'AD sont automatiquement synchronisées avec l'Application de Gestion de Cato (à 12:00 am UTC chaque jour), ou à la demande par l'administrateur.
Cette section décrit le flux de travail de bout en bout pour configurer le serveur Windows afin de permettre aux PoPs de s'intégrer pour la Sensibilisation des Utilisateurs avec la requête AD.
-
Préparez le serveur Windows pour les services d'annuaire Cato et la Sensibilisation des Utilisateurs. Voir Configuration du Serveur Windows pour les Services d'Annuaire.
-
Créez un utilisateur AD dédié qui appartient aux groupes Utilisateurs de COM Distribué et Lecteurs de Journaux d'Événements. Les PoPs utilisent cet utilisateur pour se connecter au serveur AD.
-
Configurez ces paramètres Windows pour les Services d'Annuaire :
-
Services Windows
-
Paramètres DCOM
-
Permissions de sécurité COM
-
-
(Pour la Sensibilisation des Utilisateurs) Configurez les paramètres WMI pour permettre aux PoPs de consulter les événements de connexion utilisateur :
-
Configurez le serveur pour permettre les connexions à distance en utilisant WMI. (Consulte la documentation Microsoft, Sécuriser une connexion WMI à distance).
-
Configurez les paramètres d'accès utilisateur WMI.
-
Configurez les permissions du registre du contrôleur WMI.
-
Configurez le pare-feu Windows pour permettre les communications DCOM.
-
-
-
Configurez les paramètres des Services d'Annuaire dans l'Application de Gestion de Cato. Voir Approvisionnement des Utilisateurs avec LDAP.
-
Ajoutez le domaine AD aux Services d'Annuaire pour le compte.
-
Ajoutez les contrôleurs de domaine.
-
Définissez les groupes AD qui sont synchronisés et les paramètres de synchronisation.
-
-
Configurez les paramètres de Sensibilisation des Utilisateurs dans l'Application de Gestion de Cato. Consultez les articles de Sensibilisation des Utilisateurs.
-
Sensibilisation des Utilisateurs avec un serveur AD :
-
Ajoutez le domaine AD à la Sensibilisation des Utilisateurs.
-
Ajoutez les contrôleurs de domaine de synchronisation en temps réel.
-
Définissez les groupes AD qui participent à la Sensibilisation des Utilisateurs.
-
-
Sensibilisation des Utilisateurs avec le Cato Identity Agent :
-
Activez l'Agent d'Identité pour la Sensibilisation des Utilisateurs pour votre compte.
-
Installez le Client Cato sur les appareils où vous identifiez les utilisateurs.
-
-
Pour collecter des informations EventLog pour la Sensibilisation des Utilisateurs en utilisant WMI, vous pouvez fournir un accès limité à un utilisateur dans votre Annuaire Actif puis ajouter cet utilisateur aux contrôleurs de domaine en temps réel.
Dans votre Annuaire Actif, créez un utilisateur avec un accès limité.
Pour fournir un accès limité à un utilisateur :
-
Dans votre Annuaire Actif, ajoutez l'utilisateur à ces groupes :
-
Utilisateurs de COM Distribué
-
Lecteurs de Journaux d'Événements
-
Opérateurs de Serveur
Dans Windows 2003, le compte de service doit recevoir le droit utilisateur « Auditer et gérer le journal de sécurité » via une stratégie de groupe.
-
-
Dans l'invite de commandes, exécutez la commande suivante pour ouvrir la console WMI :
wmimgmt.msc -
Cliquez avec le bouton droit sur WMI Control (Local) et sélectionnez Propriétés.
La boîte de dialogue Propriétés de WMI Control (Local) s'ouvre.
-
Sous l'onglet Sécurité, sélectionnez le dossier CIMV2 et cliquez sur Sécurité.
La boîte de dialogue Sécurité pour Root\CIMV2 s'ouvre.
-
Cliquez sur Ajouter et sélectionnez l'utilisateur auquel vous fournissez un accès limité.
-
Cochez la case Permettre pour Activer le Compte et Activation à Distance.
-
Cliquez sur Appliquer puis OK.
-
Répétez les étapes 2 à 7 pour chaque contrôleur de domaine utilisé comme contrôleur de domaine en temps réel.
Ajoutez l'utilisateur aux contrôleurs de domaine en temps réel. Pour plus d'informations, voir Ajout de la Sensibilisation des Utilisateurs aux Services d'Annuaire.
Notifications par Email et Événements pour les Services d'Annuaire et la Sensibilisation des Utilisateurs
Il existe des notifications par email et des événements spécifiques pour les Services d'Annuaire et la Sensibilisation des Utilisateurs.
Vous pouvez configurer l'Application de Gestion de Cato pour envoyer des notifications par email pour les actions de synchronisation des Services d'Annuaire et le statut de connectivité avec le DC :
-
Synchronisation avec l'AD : succès, échec, manuel ou automatique
-
Échec de connectivité avec le DC : il y a un problème de connectivité entre l'Application de Gestion de Cato et le DC, ce qui impacte vraisemblablement la Sensibilisation des Utilisateurs
Pour en savoir plus sur la configuration des alertes, voir Alertes au Niveau du Compte et Notifications du Système.
La fenêtre de Découverte d'Événements affiche tous les événements des Services d'Annuaire et de Sensibilisation des Utilisateurs pour votre compte. Vous pouvez en apprendre plus sur l'utilisation de la Découverte d'Événements ici.
0 commentaire
Cet article n'accepte pas de commentaires.