Unidades organizacionais do Active Directory no Symantec Endpoint Protection 11.0

Close X

Este documento é uma tradução de um documento em inglês e pode ter sido realizada por uma máquina. A versão original em inglês pode ter sido atualizada após a publicação desta tradução, de maneira que poderá não corresponder ao conteúdo deste documento traduzido. A Symantec não garante que essa tradução seja precisa e completa. Você também pode consultar a versão em inglês deste artigo da base de conhecimento para obter as informações mais atuais, conforme elaboradas originalmente.

Artigo:TECH102546  |  Criado em: 2008-01-17  |  Atualizado: 2008-01-07  |  URL do artigo http://www.symantec.com/docs/TECH102546
Tipo de artigo
Technical Solution


Ambiente

Problem



Uma visão geral da funcionalidade de integração do Active Directory no Symantec Endpoint Protection 11.0


Solution



Integração do Active Directory

Visão geral
Como recursos opcional, o Symantec Endpoint Protection Manager pode ser integrado com o Active Directory. O Symantec Endpoint Protection Manager pode importar a unidade organizacional e os dados da conta e sincronizar esses dados com o Active Directory automaticamente. O administrador pode então usar a unidade organizacional existente como uma unidade para atribuir a política de grupo, assim como em um grupo.

A unidade organizacional é tratada como um tipo especial de grupo porque a unidade organizacional importada e as contas nessa unidade não podem ser modificadas. Porém, a unidade organizacional, juntamente com seus dados, pode ser totalmente excluída pelo administrador. Grupos não podem ser criados na unidade organizacional. O pai da unidade organizacional pode ser o grupo ou a unidade organizacional. O administrador pode selecionar contas da unidade organizacional e movê-las para um grupo especificado, por exemplo, o administrador pode criar um grupo para usuários remotos, mover todos os usuários remotos de sua unidade organizacional atual para um grupo recém-criado e atribuir uma política de grupo personalizada para os usuários remotos nesse grupo.

Nota: O mesmo usuário pode existir no grupo e na unidade organizacional. Nesta situação, a prioridade do grupo é mais elevada do que aquela da unidade organizacional. Por exemplo, supondo que um grupo remoto e uma unidade organizacional de planejamento contenha a conta de usuário “james”, esta conta usará a política de grupo do grupo remoto.

Sincronização com o Active Directory
As unidades organizacionais importadas são somente leitura. Os dados na unidade organizacional não podem ser alterados manualmente. As unidades organizacionais secundárias não podem ser excluídas. Porém, a raiz da unidade organizacional como um todo pode ser excluída do sistema manualmente porque a exclusão não ocorre na sincronização. O administrador deve decidir que unidades organizacionais serão importadas e se alguma das unidades organizacionais existentes precisa ser excluída. Somente os dados da unidade organizacional são sincronizados com o Active Directory. O intervalo da sincronização é definido no painel do servidor. Por exemplo, se uma unidade organizacional ou usuário for excluído da unidade organizacional principal, essa unidade não será excluída durante uma sincronização. Porém, esse usuário será excluído de sua unidade organizacional importada no Symantec Endpoint Protection Manager após um tempo. A latência depende do intervalo da sincronização. Os usuários do grupo que forem copiados da unidade organizacional não serão sincronizados automaticamente. Por exemplo, um usuário “james” está na unidade organizacional de planejamento e é copiado no grupo de usuários remotos. Se “james” for removido do servidor do Active Directory, o usuário “james” na unidade organizacional importada também será excluído, mas não será excluído do grupo dos usuários remotos automaticamente. Em alguns casos, quando os clientes se registrarem antes de ocorrer uma sincronização do Active Directory, eles serão registrados no grupo temporário. Durante o processo de sincronização do Active Directory, os clientes precisarão ser movidos para o grupo correto.

Adicionando unidades organizacionais no Symantec Endpoint Protection Manager
    • Antes de importar uma unidade organizacional, um servidor de diretório precisará ser adicionado em “Propriedades do servidor”:
    • Se houver domínios filho e domínios filho aninhados, deverá ser adicionado um servidor de diretório para cada um desses domínios.
    • Uma vez que os servidores de diretório forem adicionados, uma unidade organizacional poderá ser importada em qualquer nível de grupo.
    • Selecione a unidade organizacional de sua escolha:
    • Para selecionar unidades organizacionais de um domínio filho, use o menu suspenso “Domínio” para mudar para os domínios adicionais.
    • Uma vez importada, a unidade organizacional aparecerá como um grupo.


Movendo usuários e computadores
O administrador pode selecionar um ou mais usuários e/ou computadores de um grupo e movê-los para outro grupo.
Se o usuário ou o computador selecionado estiverem em uma unidade organizacional, a movimentação significará Cópia. O usuário/computador selecionado será movido para o grupo de destino e os critérios desse usuário/computador serão mantidos na unidade organizacional.

Nota: Se o cliente estiver no modo baseado em computador, mover o nome de computador do cliente para outro grupo forçará o cliente a alternar para o novo grupo e a obter o novo perfil desse grupo.
Se o agente estiver no modo baseado em usuário, mover o nome de usuário de login do cliente para um outro grupo fará com que o cliente seja alternado para um novo grupo e obtenha um novo perfil.

Prioridade do grupo e da unidade organizacional
A estrutura e as contas da unidade organizacional podem ser importadas e sincronizadas com o Active Directory. A unidade organizacional será colocada como um elemento do grupo do mesmo modo que um computador ou uma conta de usuário. Uma unidade organizacional pode ser considerada um tipo especial de grupo. Os perfis da política de grupo podem ser aplicados à unidade organizacional. O nome da unidade organizacional e o computador/conta de usuário nessa unidade não podem ser modificados. O computador/conta de usuário na unidade organizacional pode ser copiado em somente um grupo. (Não é permitido duplicar um computador/conta de usuário nos grupos). O computador/conta de usuário podem existir em um grupo e em uma unidade organizacional ao mesmo tempo. Se o computador ou o usuário do login do agente existir no grupo e na unidade organizacional, o cliente deve usar o perfil do grupo em vez do da unidade, já que o grupo tem prioridade mais elevada que a unidade organizacional.

Nota: O grupo temporário tem prioridade mais baixa do que a unidade organizacional. Isto é uma exceção.






Legacy ID



20080317100721935


URL do artigo http://www.symantec.com/docs/TECH102546


Os termos de uso destas informações encontram-se em Avisos legais