29 ответов в этой теме

[katbert]

Включил машинку с сервером ES 13.00.1 (12-01-2024) в домен, пробую настроить синхронизацию с AD

В задании планировщика пробовал задавать имя контроллера домена в формате dc.mydomain.local с пустым логином-паролем, пробовал не задавать имя контроллера домена. Судя по документации - это не обязательно для сервера ES на Windows

https://cdn-download.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/index.html?server_schedule.htm

 

Однако в журнале выполнения заданий - оба раза ошибка "произошла ошибка синхронизации с Active Directory"

 

Есть ли с этой задачей известные проблемы, и как получить более подробный лог неудачной синхронизации

[katbert]

Если в любой непонятной ситуации смотреть в drwcsd.log, видно код ошибки:

 

20240515.125301.37 wrn [01492 0ed4] wwr:7  [Srv/ADS] Unable to open of LDAP://DC=domain,DC=ru because of произошла ошибка операции (code=2147950624)
20240515.125301.37 inf [01492 0600] log:1  [Logger] Last message repeated once
20240515.125301.37 ERR [01492 0ed4] wwr:7  [Srv/Scheduler] Job "Synchronize groups with Microsoft Active Directory" (00.015) failed because of Synchronization error 31 occured

 

Документирована ли ошибка 31?

[katbert]

2147950624=0x80072020, соответствует LDAP_OPERATIONS_ERROR, т.е. ошибка операции, как и пишет сервер в логе

[Kirill Polubelov]

Добрый день.

domain.ru --- это реальный ваш домен, используемый в ADS, или замена для паблика?

[Afalin]

Думается, подробности если где-то и есть, то в журналах самой винды. Более вероятно даже на контроллере домена.

Можно ради интереса таки указать какого-либо существующего пользователя и пароль.

[katbert]

Добрый день.

domain.ru --- это реальный ваш домен, используемый в ADS, или замена для паблика?

domain - замена, ru реальный суффикс

[katbert]

Можно ради интереса таки указать какого-либо существующего пользователя и пароль.

Спасибо за наводку - имя контроллера домена оставил пустым, и указал логин и пароль пользователя без админских прав в домене. После этого задача синхронизации отработала

[katbert]

Остается понять, почему документация утверждает обратное:

https://cdn-download.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/index.html?server_schedule.htm

 

 

Для Серверов Dr.Web под ОС Windows настройки не обязательны. В качестве регистрационных данных по умолчанию используются данные пользователя, от имени которого запущен процесс Сервера Dr.Web (как правило LocalSystem).

Для Серверов Dr.Web под ОС семейства UNIX настройки должны быть обязательно заданы.

 

 

И вот этот момент с шифрованием подключения к контроллеру домена - явно копи-паста про почтовик, а не про LDAP:

 

В выпадающем списке Защита соединения выберите тип шифрованного обмена данными:

STARTTLS — переключение на защищенное соединение осуществляется через команду STARTTLS. По умолчанию для соединения предусматривается использование 25 порта.

SSL/TLS — открыть отдельное защищенное шифрованное соединение. По умолчанию для соединения предусматривается использование 465 порта.

Нет — не использовать шифрование. Обмен данными будет происходить по незащищенному соединению.

[katbert]

Синхронизацией с AD озадачился, чтобы в веб-фильтре задать особые правила для некоторых групп

 

Список доменных групп в настройках веб-фильтра теперь появился. Сделал правило - для всех запрет категории Социальные сети, а для группы Администраторы домена - без ограничений. После этого зашел на машину администратором домена - но соцсети для него по-прежнему блокируются.

 

Работает ли описанный мною сценарий?

[katbert]

Опытным путем вижу, что есть учетной записи пользователя создать особые настройки - это работает.

А если такие же настройки применить к группе - конкретно Администраторы домена - то нет.

[Afalin]

Остается понять, почему документация утверждает обратное:

https://cdn-download.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/index.html?server_schedule.htm

Возможно, есть какие-то условия, когда с тем контекстом, в котором работает служба сервера, либо можно, либо нельзя проходить авторизацию на контроллере домена.

 

И вот этот момент с шифрованием подключения к контроллеру домена - явно копи-паста про почтовик, а не про LDAP:

Нет, не копипаста, LDAP это всё тоже умеет, только по моим наблюдениям, этим мало кто пользуется.

[Afalin]

Опытным путем вижу, что есть учетной записи пользователя создать особые настройки - это работает.

А если такие же настройки применить к группе - конкретно Администраторы домена - то нет.

В "Офисном контроле" поюзерные настройки сделаны, скажем так, топорно. В отличие от "Контроля приложений", где оно сделано уже поинтереснее.

Внутри настроек для станций и групп станций можно указать какие-то отдельные ограничения для пользователей и групп пользователей.

Но вот если что-то выбирать внутри иерархии AD, то настроить удастся либо сами станции, либо контейнеры/OU, в которые эти станции входят. И то при условии, что эти контейнеры/OU назначаются первичными группами для станций.

[katbert]

Удобства - да, маловато. Плоский список всех доменных групп и пользователей без возможности фильтрации.

Если для кого-то заданы настройки - меняется иконка, но в большом списке ее глазками искать не удобно.

 

И непонятно, почему для учетных записей пользователя срабатывают особые настройки, а для групп - нет

[Irina Nikolaevna]

> Для пользователей, не имеющих персональных настроек и состоящих в одной или нескольких группах, объединяются все настройки для групп и общие настройки с приоритетом запрета.

Вот такое у нас есть в доке.

 

На Ваших примерах: считаем, что у станции для Офисного контроля нет персональных настроек. Теперь для Всех блокируем Социальные сети, для группы пользователей Администраторы - без ограничений. Суммируем настройки в сторону ужесточения и получается, что у Администратора заблокируются соц. сети. Если зайти в групповые настройки и для Администратора заблокировать Вакансии, то Администратор не сможет попасть на сайты вакансий, но сможет попасть в соц. сети.

[katbert]

Настройки для нескольких групп AD я пока не применял, индивидуальных настроек для станции тоже нет

 

Было 2 набора настроек:

1 Для everyone запрещены соцсети, для доменной группы  Администраторы домена веб-фильтр= без ограничений. т.е. ничего не блокирует. В итоге у администратора домена доступа к соцсетям нет.

2 Для everyone запрещены соцсети, для доменной учетки админа веб-фильтр= без ограничений. т.е. ничего не блокирует. В итоге у администратора доступа к соцсетям есть. Так что не похоже, что тут дело в ужесточении

[katbert]

Смог увидеть эффект суммирования на другом примере:

- для everyone запрещаю соц. сети

- для группы AD Администраторы домена - запрещаю анонимайзеры

В результате администратор домена получает запрет по обоим категориям.

Итоговые запреты можно увидеть в локальном интерфейсе в настройках офисного контроля для нужной учетки пользователя

[Irina Nikolaevna]

> Было 2 набора настроек:
> 1 Для everyone запрещены соцсети, для доменной группы  Администраторы домена веб-фильтр= без ограничений. т.е. ничего не блокирует. В итоге у администратора домена доступа к соцсетям нет.
Настройки Everyone соц.сети (блок) + настройки доменной группы Администраторы домена (без ограничений) = у Администратора домена соц. сети блокируются, поскольку групповые настройки суммируются в сторону ужесточения.

> 2 Для everyone запрещены соцсети, для доменной учетки админа веб-фильтр= без ограничений. т.е. ничего не блокирует. В итоге у администратора доступа к соцсетям есть. Так что не похоже, что тут дело в ужесточении
В этом случае у Администратора появляются персональные настройки, групповые настройки на него не работают.

Сообщите, пожалста, какую задачу решаете, составим условие, с учетом текущей реализации.

[katbert]

Задача простая - запрет по умолчанию соцсетей для everyone, и разрешение для конкретной группы.

Сейчас, как понимаю, можно только наоборот сделать - разрешено для всех, и запрет для конкретной группы

[Irina Nikolaevna]

Да, текущая реализация такова, что красиво и удобно сделать нельзя, пока могу предложить такой вариант: создать группу, в которую поместить станции (группа должна быть первичной для станций), в которых хочется что-то разрешить. Далее уже для Everyone заблокировать соц. сети.

[katbert]

Тогда мы вовсе откатимся назад, когда была избирательность только на уровне компьютеров. Пока буду иметь в виду особенности использования доменных групп в веб-контроле