Unità organizzative da Active Directory in Symantec Endpoint Protection 11.0

Close X

Il presente documento è una traduzione dall'originale in lingua inglese e potrebbe essere stato creato automaticamente. Dopo la pubblicazione della presente traduzione, potrebbero essere stati introdotti aggiornamenti al testo inglese originale, che potrebbero non essere presenti nel documento tradotto. Symantec non garantisce la precisione né la completezza della presente traduzione. Per informazioni più aggiornate, redatte in lingua originale, è possibile consultare la versione in inglese di questo documento della knowledge base.

Articolo:TECH102546  |  Creato: 2008-01-18  |  Aggiornato: 2008-01-03  |  URL dell'articolo http://www.symantec.com/docs/TECH102546
Tipo di articolo
Technical Solution


Ambiente

Problem



Una panoramica delle funzionalità di integrazione di Active Directory in Symantec Endpoint Protection 11.0


Solution



Integrazione di Active Directory

Informazioni generali
Come funzione facoltativa, Symantec Endpoint Protection Manager può essere integrato con Active Directory. Symantec Endpoint Protection Manager può importare i dati relativi all'unità organizzativa e all'account e sincronizzare automaticamente tali dati con Active Directory. L'amministratore può quindi utilizzare l'unità organizzativa esistente come unità per assegnare la politica di gruppo, proprio come con un gruppo.

Un'unità organizzativa viene trattata come un tipo speciale di gruppo perché l'unità organizzativa importata e gli account di tale unità non possono essere modificati. Tuttavia, l'unità organizzativa con i propri dati può essere completamente eliminata dall'amministratore. Nell'unità organizzativa non è possibile creare i gruppi. Il genitore di un'unità organizzativa può essere un Gruppo o un'Unità organizzativa. L'amministratore può selezionare gli account da un'unità organizzativa e spostarli in un gruppo specificato, ad esempio, l'amministratore può creare un gruppo per gli utenti remoti, spostarli tutti dalla loro attuale unità organizzativa in un nuovo gruppo e assegnare una politica di gruppo personalizzata per gli utenti remoti in tale gruppo.

Nota: lo stesso utente può esistere sia nel gruppo che nell'unità organizzativa. In questa situazione, la priorità del gruppo è più alta di quella dell'unità organizzativa. Ad esempio, supponendo che sia un gruppo remoto che un'unità organizzativa di progettazione contenga l'account utente "james", tale account utente utilizzerà la politica del gruppo remoto.

Sincronizzazione con Active Directory
Le unità organizzative importate sono di sola lettura. I dati nell'unità organizzativa non possono essere modificati manualmente. Le unità organizzative secondarie non possono esser eliminate. Tuttavia, L'unità organizzativa principale può essere complessivamente eliminata manualmente dal sistema perché ciò non avviene una volta sincronizzata. L'amministratore deve decidere quali unità organizzative vengono importate e se una delle unità organizzative attuali deve essere eliminata. Soltanto i dati dell'unità organizzativa sono sincronizzati con Active Directory. L'intervallo di tempo di sincronizzazione è impostato nel pannello del server. Ad esempio, se un'unità organizzativa o un utente viene eliminato dall'unità organizzativa HQ, tale unità non verrà eliminata durante la sincronizzazione. Tuttavia, dopo poco l'utente verrà eliminato dall'unità organizzativa importata in Symantec Endpoint Protection Manager. La latenza dipende dall'intervallo di sincronizzazione. Gli utenti nel gruppo copiati dall'unità organizzativa non verranno sincronizzati automaticamente. Ad esempio, un utente "james" si trova nell'unità organizzativa Engineering e viene copiato nel gruppo degli utenti remoti. Se "james" viene rimosso dal server di Active Directory, verrà eliminato anche l'utente "james" nell'unità organizzativa importata, ma non verrà eliminato automaticamente dal gruppo degli utenti remoti. In alcuni casi, quando i client si registrano prima dell'esecuzione di una sincronizzazione di Active Directory, verranno registrati nel gruppo provvisorio. Durante il processo di sincronizzazione di Active Directory, i client dovranno esser spostati nel gruppo corretto.

Aggiunta di unità organizzative in Symantec Endpoint Protection Manager
    • Prima di importare un'unità organizzativa, è necessario aggiungere un server di directory in "Proprietà del server":
    • Se sono presenti domini secondari e domini secondari nidificati sarà necessario aggiungere anche un server di directory per ciascuno di tali domini.
    • Una volta aggiunto il server di directory, è possibile importare un'unità organizzativa a qualsiasi livello del gruppo:
    • Selezionare l'unità organizzativa desiderata:
    • Per selezionare le unità organizzative da un dominio secondario utilizzare il menu a discesa "Dominio" per modificare i domini aggiuntivi.
    • Una volta importato, l'unità organizzativa verrà visualizzata come gruppo:

Spostamento di utenti e computer
L'amministratore può selezionare uno o più utenti e/o computer da un gruppo e spostare gli utenti e computer selezionati in un altro gruppo.
Se l'utente o il computer selezionato si trova in un'unità organizzativa, lo spostamento significa una copia. L'utente/computer selezionate si sposterà nel gruppo di destinazione e i criteri di tale utente/computer verranno mantenuti nell'unità organizzativa.

Nota: se il client è in modalità Computer, lo spostamento del nome del computer in un altro gruppo forzerà il cambiamento del client al nuovo gruppo e l'associazione del nuovo profilo di tale gruppo.
Se l'agente è in modalità Utente, lo spostamento dell nome utente di accesso del client in un altro gruppo provocherà il cambiamento del client al nuovo gruppo e l'associazione del nuovo profilo.

Priorità di gruppo e di unità organizzativa
La struttura dell'unità organizzativa e di tutti gli account di tale unità organizzativa può essere importata e sincronizzata con Active Directory. Un'unità organizzativa verrà collocata nel gruppo come elemento del gruppo, come un computer o un account utente. Un'unità organizzativa può essere considerata come un tipo speciale di gruppo. I profili delle politiche di gruppo possono esser applicati all'unità organizzativa. Il nome dell'unità organizzativa e il computer/account utente all'interno di tale unità non possono essere modificati. Il computer/account utente nell'unità organizzativa può essere copiato soltanto in un gruppo. (La duplicazione di un computer/account utente non è permessa all'interno dei gruppi). Il computer/account utente può esistere contemporaneamente in un gruppo e in un'unità organizzativa. Poiché il gruppo ha una priorità più alta dell'unità organizzativa, il client utilizzerà il profilo del gruppo anziché l'unità organizzativa se il computer o l'accesso utente dell'agente esiste sia nel gruppo che nell'unità organizzativa.

Nota: il gruppo temporaneo ha una priorità più bassa rispetto all'unità organizzativa. Ciò è un'eccezione.






Legacy ID



20080318105854935


URL dell'articolo http://www.symantec.com/docs/TECH102546


Termini di utilizzo di queste informazioni sono disponibili in Note legali