Unités organisationnelles Active Directory dans Symantec Endpoint Protection 11.0

Close X

Le présent document est une traduction d'un document en anglais qui peut avoir été effectuée entièrement par traduction automatique. Des mises à jour ont pu avoir été apportées à la version originale en anglais après la réalisation de cette traduction, c'est pourquoi il est possible que ces mises à jour n'apparaissent pas dans le présent document. Symantec ne garantit ni l'exactitude, ni l'exhaustivité de la présente traduction. Pour obtenir des informations plus récentes, vous pouvez vous référer à la version anglaise d'origine de cet article de la base de données.

Article:TECH102546  |  Créé le: 2008-01-18  |  Mis à jour: 2008-01-03  |  URL de l'article http://www.symantec.com/docs/TECH102546
Type d'article
Technical Solution


Environnement

Problem



Présentation de la fonctionnalité d'intégration d'Active Directory dans Symantec Endpoint Protection 11.0


Solution



Intégration d'Active Directory

Présentation
En tant que fonctionnalité facultative, Symantec Endpoint Protection Manager peut être intégré à Active Directory. Symantec Endpoint Protection Manager peut importer l'unité organisationnelle et les données de compte et synchroniser ces données avec Active Directory automatiquement. L'administrateur peut alors utiliser l'unité organisationnelle existante comme unité à laquelle attribuer la politique de groupe, comme avec un groupe.

Une unité organisationnelle est traitée comme un type de groupe spécial parce que l'unité organisationnelle importée et les comptes dans cette unité ne peuvent pas être modifiés. Cependant, l'unité organisationnelle, avec ses données, peut être totalement supprimée par l'administrateur. Des groupes ne peuvent pas être créés sous Unité organisationnelle. Le parent d'une unité organisationnelle peut être le groupe ou l'unité organisationnelle. L'administrateur peut sélectionner des comptes d'une unité organisationnelle et les déplacer vers un groupe spécifié, par exemple, l'administrateur peut créer un groupe pour des utilisateurs distants, déplacer tous les utilisateurs distants à partir de leur unité organisationnelle actuelle vers un groupe de création récente et attribuer une politique de groupe qui est conçue spécialement pour les utilisateurs distants de ce groupe.

Remarque : Le même utilisateur peut exister dans le groupe et l'unité organisationnelle. Dans cette situation, la priorité du groupe est plus haute que celle de l'unité organisationnelle. Par exemple, en assumant qu'un groupe distant et une unité organisationnelle d'ingénierie contiennent le compte utilisateur "james", le compte utilisateur "james" utilise la politique de groupe du groupe distant.

Synchronisation avec Active Directory
Les unités organisationnelles sont en lecture seule. Les données dans l'unité organisationnelle ne peuvent pas être modifiées manuellement. Les unités organisationnelles secondaires ne peuvent pas être supprimées. Cependant, la racine de l'unité organisationnelle dans son ensemble peut être supprimée du système manuellement parce que ceci n'a pas lieu une fois la synchronisation effectuée. L'administrateur doit décider quelles unités organisationnelles sont importées et si des unités organisationnelles existantes doivent être supprimées. Seules les données de l'unité organisationnelle sont synchronisées avec Active Directory. La période d'intervalle de la synchronisation est définie dans le panneau de serveur. Par exemple, si une unité organisationnelle ou un utilisateur est supprimé de l'unité organisationnelle QG , cette unité ne sera pas supprimée pendant une synchronisation. Cependant, cet utilisateur sera supprimé de son unité organisationnelle importée dans Symantec Endpoint Protection Manager après un certain temps. Le temps d'attente dépend de la période d'intervalle de la synchronisation. Les utilisateurs du groupe qui ont été copiés à partir de l'unité organisationnelle ne seront pas synchronisés automatiquement. Par exemple, l'utilisateur "james" est dans l'unité organisationnelle d'ingéniérie et est copié dans le groupe d'utilisateurs distants. Si "james" est supprimé du serveur Active Directory, alors l'utilisateur "james" dans l'unité organisationnelle importée sera également supprimé, mais il ne sera pas supprimé automatiquement du groupe d'utilisateurs distants. Parfois, quand les clients s'enregistrent avant qu'une synchronisation d'Active Directory ait lieu, ils s'enregistrent dans le groupe temporaire. Pendant le processus de synchronisation d'Active Directory, les clients devront être déplacés dans le groupe correct.

Ajout d'unités organisationnelles à Symantec Endpoint Protection Manager
    • Avant qu'une unité organisationnelle puisse être importée, un serveur de répertoire dans de "Propriétés de serveur" doit être ajouté :
    • S'il y a des domaines enfant et des domaines enfant imbriqués, un serveur de répertoires pour chacun de ces domaines devra être ajouté également.
    • Une fois que le serveur de répertoire a été ajouté, une unité organisationnelle ou n'importe quel niveau de groupe peut être importé.
    • Sélectionnez l'unité organisationnelle de votre choix :
    • Pour sélectionner des unités organisationnelles à partir d'un domaine enfant, utilisez le menu déroulant "Domaine" pour les modifier en domaines supplémentaires.
    • Une fois importée, l'unité organisationnelle apparaît en tant que groupe :


Déplacement des utilisateurs et des ordinateurs
L'administrateur peut sélectionner un ou plusieurs utilisateurs et/ou ordinateurs d'un groupe et déplacer ces utilisateurs et ordinateurs sélectionnés dans un autre groupe.
Si l'utilisateur ou l'ordinateur sélectionné est dans une unité organisationnelle, le déplacement équivaut à une copie. L'utilisateur/ordinateur sélectionné sera déplacé vers le groupe cible et les critères de cet utilisateur/ordinateur seront conservés dans l'unité organisationnelle.

Remarque : Si le client est en mode ordinateur, déplacer le nom de l'ordinateur du client vers un autre groupe obligera le client à commuter vers le nouveau groupe et d'obtenir le nouveau profil de ce groupe.
Si l'agent est en mode utilisateur, le déplacement du nom d'utilisateur de connexion du client à un autre groupe fait que le client passe au nouveau groupe et obtenir le nouveau profil.

Priorité de groupe et d'unité organisationnelle
La structure d'Unité organisationnelle et tous les comptes dans cet Unité organisationnelle peuvent être importés de et synchronisés avec Active Directory. L'unité organisationnelle sera placée dans le groupe comme élément du groupe comme un ordinateur ou un compte utilisateur. Une unité organisationnelle peut être considérée comme un type de groupe spécial. Des profils de politique de groupe peuvent être appliqués à l'unité organisationnelle. Le nom de l'unité organisationnelle et de l'ordinateur/compte utilisateur dans cette unité ne peuvent pas être modifiés. L'ordinateur/compte utilisateur dans l'unité organisationnelle peut être copié dans un groupe seulement. La reproduction d'un ordinateur/compte utilisateur n'est pas autorisée dans les groupes. L'ordinateur/compte utilisateur peut exister dans un groupe et dans une unité organisationnelle en même temps. Puisque le groupe a une priorité plus élevée que l'unité organisationnelle, le client utilisera le profil du groupe au lieu de l'unité organisationnelle si l'ordinateur ou l'utilisateur de connexion de l'agent existe dans le groupe et l'unité organisationnelle.

Remarque : Le groupe temporaire a une priorité plus basse que l'unité organisationnelle. C'est une exception.






Legacy ID



20080318094740935


URL de l'article http://www.symantec.com/docs/TECH102546


Les conditions d'utilisation de cette information se trouvent dans Mentions légales