使用 AD查询进行用户意识

本文概述了如何使用AD查询启用用户意识。

概览

用户意识可以让您轻松识别网络中的终端用户。 此外,使用分析功能可根据AD的名字和姓氏、主机名和IP地址显示流量和事件。

有关如何使用LDAP配置用户的更多信息,请参见使用LDAP配置用户

在AD中进行的更改,会自动与Cato 管理应用程序同步(每天在12:00 am UTC),或由管理员按需同步。

集成AD和Cato管理应用程序的高级概览

本节描述了配置Windows服务器的端到端工作流程,以允许PoPs通过AD查询进行用户意识集成。

  1. 为Cato目录服务和用户意识准备Windows服务器。 请参见配置Windows服务器以进行目录服务

    1. 创建属于分布式COM用户和事件日志读取器组的专用AD用户。 PoPs使用此用户连接到AD服务器。

    2. 为目录服务配置这些Windows设置:

      • Windows服务

      • DCOM设置

      • COM安全权限

    3. (为了用户意识) 配置WMI设置以允许PoPs查询用户登录事件:

      1. 配置服务器以允许使用WMI的远程连接。 (参见Microsoft文档,保护远程WMI连接)。

      2. 配置WMI用户访问设置。

      3. 配置WMI控制器注册表权限。

      4. 配置Windows防火墙以允许DCOM通信。

  2. 在Cato管理应用程序中配置目录服务设置。 请参见使用LDAP配置用户

    1. 将AD域添加到账户的目录服务中。

    2. 添加域控制器。

    3. 定义同步的AD组和同步设置。

  3. 在Cato管理应用程序中配置用户意识设置。 请参见用户意识文章。

    • 使用AD服务器进行用户意识:

      1. 将AD域添加到用户意识中。

      2. 添加实时同步域控制器。

      3. 定义参与用户意识的AD组。

    • 使用Cato身份代理进行用户意识:

      1. 为您的账户启用用户意识身份代理

      2. 在识别用户的设备上安装Cato客户端。

为用户提供有限访问

要使用WMI收集用户意识的EventLog信息,可以在您的活动目录中为某个用户提供有限访问权限,然后将此用户添加到实时域控制器中。

步骤1:向用户提供有限访问权限

在您的活动目录中创建一个具有有限访问权限的用户。

为用户提供有限访问权限:

  1. 在您的活动目录中,将用户添加到这些组中:

    • 分布式COM用户

    • 事件日志读取器

    • 服务器操作员

      在Windows 2003中,必须通过管理员组策略为服务帐户授予“审计和管理安全日志”用户权限。

  2. 在命令提示符中,运行以下命令以打开WMI控制台:

    wmimgmt.msc

  3. 右键单击WMI控制(本地)并选择属性

    WMI控制(本地)属性对话框打开。

  4. 安全性选项卡上,选择CIMV2文件夹并单击安全性

    Root\CIMV2的安全性对话框打开。

  5. 单击添加并选择您正在提供有限访问权限的用户。

  6. 选中允许启用账户远程启用复选框。

  7. 单击应用然后单击确定

  8. 对用作实时域控制器的每个域控制器重复步骤2-7。

步骤2:将用户添加为实时域控制器

将用户添加到实时域控制器。 有关更多信息,请参阅向目录服务添加用户意识

目录服务和用户意识的电子邮件通知和事件

有特定的电子邮件通知和事件用于目录服务和用户意识。

处理警报

您可以配置 Cato 管理应用程序发送目录服务同步操作和与 DC 的连接状态的电子邮件通知:

  • 与 AD 同步 - 成功,失败,手动或自动

  • 与 DC 的连接失败 - Cato 管理应用程序与 DC 之间存在连接问题,并且很可能会影响用户意识

有关配置警报的更多信息,请参见账户级别警报和系统通知

分析事件

事件发现窗口显示了您账户的所有目录服务和用户意识事件。 您可以在这里了解更多关于使用信息搜集的信息。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论