Здравствуйте, девочки и мальчики. Меня зовут Лана.
И я хочу рассказать о некоторых хитростях при работе с некоторым ПО.
Начну с вопроса, который часто мне задают по продукту Dr.Web Enterprise Security Suite.
Вопрос рассмотрим такой: как в Центр Управления (web-интерфейс управления ESS) прикрутить пользователя Активного Каталога?

Для этой операции нам понадобятся:

Dr.Web Enterprise Security Suite
Полноценная или Демо-лицензия на него (демо можно запросить у Dr.web тут)
Реальный сервер или виртуальная машина с сервером (2000, 2003, 2008 или 2008 R2) с поднятым Активным Каталогом
Расширение схемы AD для Dr.Web (поставляется в комплекте дистрибутива ESS)
Расширение свойств контейнеров AD для Dr.Web (DrWeb Enterprise Extension for Active Directory Users and Computers Snap-in скачать можно отсюда)
И данная инструкция.

Надеюсь, что учить установке Dr.Web ESS Вас не нужно? Там ничего сложного.

В итоге мы имеем:
1) Установленный Dr.Web Enterprise Security Suite Server
2) Полноценную или Демо-лицензию в виде серийного номера и файлов enterprise.key и agent.key
3) Файлик drwschema-modify.exe (находим его в подкаталоге \bin каталога установки ESS)
4) Файлик drweb-esuite-aduac-603-201111300-windows-nt-x86.msi (для версии 6.0.3 в данном случае)
5) Настроенный Активный Каталог, пользователь с правами Админа, командная строка и MMC-консоль.

Показываю на примере 2003 R2.
Напоминаю, что для полноценного функционала самого Dr.Web ESS сервера обязательно нужно при установке задать ключи, выбрать тип дазы банных (СУБД) и провести хотя бы одно полноценное обновление репозитория.
Для безглючной и расширенной работы вёб-интерфейса ЦУ – установить Dr.Web Browser Plugin (ссылка на него прямо в интерморде центра управления или в каталоге установки его ищите.

ШАГ 1
Идём в подкаталог \bin каталога установки (например c:\Program Files\DrWeb Enterprise Server\bin\) и запущаем drwschema-modify.exe

Нажимаем сетап и ждйм окончания установки расширения:

ШАГ 2
В командной строке запущаем “regsvr32 schmmgmt.dll”

Ждём окончания регистрации компонента в системе, об этом нас известит сообщение на экране:

ШАГ 3
Регистрируем подкласс для классов user и group.
Для этого запускаем с командной строки консоль mmc (mmc.exe)

В MMC консоль добавляем оснастку “Схема Active Directory”

В списке находим класс user и открываем его свойства:

Мотаем во вкладку Отношения и в разделе Вспомогательные классы, нажимаем “Добавить”

добавляем DrWebEnterpriseUser

Подтверждаем (Ok) и тоже самое проделываем для класса group:

Подтверждаем (Ok) и закрываем всё это дело (MMC), при желании, можно сохранить оснастку, чтобы потом не добавлять, хотя более она нам не понадобится.

ШАГ 4
Запускаем вёб-интерфейс ЦУ (http://имя_сервера:9080/ если кто забыл)
Открываем раздел Администрирование. В подразделе Конфигурация, нажимаем на Авторизация.
Мы там увидим три способа авторизации юзвера – внутренняя (всегда сверху, не изменить), внешняя через LDAP-звервер и внешняя через MS AD.
Нам надо MS AD повысить в звании, то есть повыше в списке:

А также, нажав на эту строчку, включить галочку “Использовать эту бла-бла”

Не забудьте!!! Почти после любого изменения настроек надо нажимать кнопычку “Сохранить”, сейчас это тоже надо сделать.
Однако на вопрос перезапуска сервера отвечать не стоит, перезапустим позже.
Закрываем вёб-интерморду.

ШАГ 5
Установим расширение консоли управления пользователями AD.
Если вы забыли, это файлик с именем drweb-esuite-aduac-603-201111300-windows-nt-x86.msi (ну или 64-бит), который мы скачали с сайта Dr.Web.
Не путаем его с файликом установки агента! В их именах разница после esuite – у файла расширения консоли пользователей там стоит -aduac, в установщике агента там стоит agent.

Дожидаемся окончания установки.

ШАГ 6
Назначаем в AD одного из пользователей (или группу) – юзвером для DrWeb ESS.
Запускаем для этого оснастку Users and Computers (Пользователи и компьютеры) (кто не помнит, она находится в Пуск – Панель управления – Администрирование)

Отрываем свойства юзвера, которому мы хотим дать права входить в вёб-интерфейс ЦУ DrWeb ESS.
Там мы замечаем, что появилась вкладочка Dr.Web Authentication (Аутентификация в Dr.Web).

Там у нас три поля.
Как мы помним (если не помним, живо все сюда, глава 5.3), админы у нас могут быть в ЦУ четырёх типов.
Это полноценные админы всей АВ-сети (как наш admin, пароль которого мы задаём при установке DrWeb ESS), админы всей сети но с правами только для чтения, админы выбранных групп и админы выбранных групп для чтения.
Именно принадлежность к одной из этих групп определяется лоточками во вкладке на скрине выше.
Если непонятно, поясню:
User is administrator – является ли пользователь админом АВ-сети (то есть вообще дано ему право лезть в вёб-интерфейс ЦУ или нет)
User is read-only administrator – а вдруг это админ с правами только для чтения? (если no – значит полноценные права)
Inherit permissions from groups – админ это для всей сети или только для выбранных групп (если yes – только для групп)
Установили параметры для юзвера? Подтверждаем (Ok) и закрываем оснастку.

ШАГ 7
Перезапускаем наш ESS-звервер и проверяем, что усё работает.
Перезапуск можно произвести в командной строке (drwcsd -restart), сервис перезапустить или воспользоваться ярлычком в Пуск (Программы – Dr.Web Enterprise Security Suite – утилиты – Перезапуск)

Ярлычок утилитки хорош тем, что покажет вам кукиш, когда операция звершена.
Ну и теперь входим в вёб-интерфейс ЦУ, но уже с применением авторизации AD.

Мы можем пользователя указать разными способами:
◆ username,
◆ domain\username,
◆ username@domain,
◆ LDAP DN пользователя.
где username – имя пользователя (например на скринах это User), domain – домен (полноценный типа drw.ru или сокращённый типа DRW), LDAP DN – полное имя пользователя в терминах LDAP-представления (CN=, DN= и тп, удобно для копирования с LDAP-оснасток, но неудобно для AD).
Собственно, в вёб-интерфасе мы увидим, что юзвер у нас из AD, что и требовалось получить.

Я видела тут, что в соцсети и всякие ЖЖи статьи отсюда кроссятся без указания автора, все от имени админа сайта.
Так вот, автор статейки я, (с) Лана.
Просьба, если перепощиваете себе, не стирать моё авторство и ссылку на первоисточник на сайте Sabantica.com.