从 Microsoft Active Directory 添加计算机组

不适用于趋势科技服务器深度安全防护系统即服务

趋势科技服务器深度安全防护系统可以使用诸如 Microsoft Active Directory 等 LDAP 服务器进行计算机查找，以及创建用户帐户及其联系人。趋势科技服务器深度安全防护系统管理中心将查询服务器，然后按照目录中的结构显示计算机组。

在导航面板中右键单击计算机，然后选择添加 Active Directory
键入已导入的目录的名称和描述（无需与 Active Directory 中的目录名称匹配），键入 Active Directory 服务器的 IP 和端口号，然后键入访问方法和凭证。
必须将域名和用户名包括在用户名文本框中。
单击下一步继续。
指定目录的架构。（如果尚未定制架构，您可以使用 Microsoft Active Directory 服务器的缺省值。）
趋势科技服务器深度安全防护系统管理中心内每个计算机的详细信息窗口均有一个“描述”文本框。要使用 Active Directory 的“计算机”对象类的属性填充“描述”文本框，请在计算机描述属性文本框中键入此属性名称。
如果希望此目录在趋势科技服务器深度安全防护系统管理中心中自动与 Active Directory 服务器保持同步，请选择创建预设任务以同步此目录。完成添加目录后，将显示预设任务向导。（您可以稍后使用预设任务向导进行设置：管理 > 预设任务。）
单击下一步继续。
管理中心已导入目录后，它会显示已添加的计算机的列表。单击完成。

目录结构将显示在计算机页面上。

其他 Active Directory 选项

右键单击 Active Directory 结构可显示以下选项，这些选项对非目录计算机组不可用：

移除目录
立即同步

移除目录

从趋势科技服务器深度安全防护系统管理中心移除目录时，可以使用以下选项：

从 DSM 中移除目录和所有从属计算机/组: 移除目录的所有跟踪。
移除目录但保留计算机数据和组层次结构： 将导入的目录结构转换为以相同方式组织的常规计算机组，不再与 Active Directory 服务器相关联。
移除目录，保留计算机数据，但展平层次结构: 移除指向 Active Directory 服务器的链接，丢弃目录结构，并将所有计算机放到同一计算机组中。

立即同步

可以手动触发趋势科技服务器深度安全防护系统管理中心与 Active Directory 服务器的同步，以刷新有关计算机组的信息。

可以通过创建预设任务来使此过程自动化。

服务器证书用法

如果尚未启用，请在 Active Directory 服务器上启用 SSL。

计算机查找可以使用 SSL、TLS 或未加密明文，但导入用户帐户（包括密码和联系人）要求认证和SSL 或 TLS。

SSL 或 TLS 要求 Active Directory 服务器上具有服务器证书。在 SSL 或 TLS 握手期间，服务器会将该证书提供给客户端以证明其身份。该证书可以是自签名证书，也可以由证书颁发机构 (Certificate Authority, CA) 签名。如果不确定您的服务器是否具有证书，请在 Active Directory 服务器上打开 Internet 信息服务 (Internet Information Services, IIS) 管理器，然后选择服务器证书。如果该服务器不具有已签名的服务器证书，您必须安装此证书。

过滤 Active Directory 对象

导入 Active Directory 对象时，可使用搜索过滤器管理将返回的对象。缺省情况下，向导仅显示组。可以向过滤器中添加其他参数，以进一步细化选择。有关搜索过滤器语法的其他信息，请参考 http://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx

导入用户和联系人

趋势科技服务器深度安全防护系统可以从 Active Directory 导入用户帐户信息，并创建相应的趋势科技服务器深度安全防护系统用户或联系人。这提供了以下优势：

用户可以使用其在 Active Directory 中定义的网络密码。
管理员可以从 Active Directory 内集中禁用帐户。
通过利用 Active Directory 中已有的信息，简化了联系人信息的维护工作（例如，电子邮件、电话号码等等）。

用户和联系人均可从 Active Directory 导入。用户对趋势科技服务器深度安全防护系统管理中心具有配置权限。联系人只能接收趋势科技服务器深度安全防护系统管理中心通知。通过同步向导，可以选择哪些 Active Directory 对象要作为用户导入，哪些对象要作为联系人导入。

要成功将 Active Directory 用户帐户作为趋势科技服务器深度安全防护系统用户或联系人导入到趋势科技服务器深度安全防护系统，Active Directory 用户帐户必须具有 userPrincipalName 属性值。（userPrincipalName 属性对应于 Active Directory 帐户持有者的“用户登录名”。）

要导入用户或联系人，请执行以下操作：

单击管理 > 用户管理，然后单击用户或联系人。
单击与目录同步。
如果是首次导入用户或联系人信息，将显示服务器信息页面。否则，将显示“与目录同步”向导。
选择适当的访问选项，提供登录凭证，然后单击下一步。
选择要同步的组（方法是从左列中选择组并单击 >> 将其添加到右列中），然后单击下一步。

按住 Shift 或 Ctrl 键并单击可选择多个组。
选择要向所有目录组成员分配相同的趋势科技服务器深度安全防护系统角色还是根据目录组成员身份分配趋势科技服务器深度安全防护系统角色，然后从列表中选择一个缺省角色并单击下一步。
如果根据目录组成员身份分配了趋势科技服务器深度安全防护系统角色，请指定每个组的同步选项，然后单击下一步。
同步后，向导将生成报告，显示已导入的对象数量。
完成同步之前，可以选择创建用于定期同步用户和联系人的预设任务。
单击完成。

导入后，您将能区分基本（非导入的）趋势科技服务器深度安全防护系统帐户和导入的帐户，因为无法更改这些帐户的任何常规信息。

保持 Active Directory 对象同步

导入后，Active Directory 对象必须不断与其 Active Directory 服务器同步，以反映这些对象的最新更新。例如，这样可确保在 Active Directory 中删除的计算机也已在趋势科技服务器深度安全防护系统管理中心中删除。要使已导入到趋势科技服务器深度安全防护系统管理中心的 Active Directory 对象与 Active Directory 保持同步，需要设置用于同步目录数据的预设任务。主机导入向导包含用于创建这些预设任务的选项。

也可以使用“预设任务”向导创建此任务。可以根据需要使用立即同步选项（适用于主机）和与目录同步按钮（适用于用户和联系人）执行同步。

保持用户和联系人同步不需要创建预设任务。登录时，趋势科技服务器深度安全防护系统管理中心将检查用户是否存在于 Active Directory 中。如果用户名和密码有效，且用户属于已启用同步的组，则该用户会添加到趋势科技服务器深度安全防护系统管理中心中并且可以进行登录。

禁用 Active Directory 同步

可以阻止趋势科技服务器深度安全防护系统管理中心与 Active Directory 进行计算机组同步和用户帐户同步。

从 Active Directory 同步中移除计算机组

转至计算机。
右键单击该目录，然后选择移除目录。
选择移除选项：
- 从趋势科技服务器深度安全防护系统管理中心中移除目录和所有从属计算机/组：所有主机记录都将从“计算机”列表中移除
- 移除目录但保留计算机数据和组层次结构：将保留现有 Active Directory 结构，但不再与 Active Directory 同步。由于结构未受影响，因此用户和角色对文件夹和主机的访问权限将保留
- 移除目录，保留计算机数据，但展平层次结构：主机记录将从其原始层次结构中去除，但所有这些记录都将存储在以该目录命名的组中。目录的用户和角色访问权限将转移到此组，因此您仍可以访问这些主机。
确认该操作。

删除 Active Directory 用户和联系人

与移除计算机组的查询不同，如果删除用户和联系人的查询，所有帐户将从趋势科技服务器深度安全防护系统管理中心中删除。因此，当使用从目录服务器导入的用户帐户登录到趋势科技服务器深度安全防护系统管理中心时，不能删除用户和联系人。执行此操作将产生错误。

在用户或联系人上，单击与目录同步。
选择停止同步，然后单击确定。
单击完成。