Active Directory 同步處理常見問題
有關 Active Directory 的常見問題解答,請參閱 Sophos Central Admin。
Active Directory 同步處理允許管理員實施將使用者和群組從 Active Directory 對應到 Sophos Central Admin 並使它們同步的服務。您可以使用 Active Directory 同步處理設定來對其進行設定。
Active Directory 常見問題分爲兩部分。
- 此頁面包含有關 Sophos Central Admin 中 Active Directory 同步的一般資訊。
- 如需有關 Active Directory 同步設定、安裝、支援的平台、同步錯誤、變更目錄服務和刪除 Active Directory 同步的一般資訊,請參閱 Active Directory 同步安裝常見問題。
我可以在何處設定代理?
您可透過 Active Directory 同步處理設定(版本 4.0)設定代理。您可在 Sophos Credentials 中進行此項操作。請參閱設定從 Active Directory 進行同步處理。
如果您有試用帳戶,請使用 Sophos Central AD Sync Utility(版本 3.5.4)。您無法在此版本中設定代理詳細資訊。
在 Sophos Central AD Sync Utility 中,此服務使用本地服務帳戶執行,預設情況下,該帳戶無權透過任何代理進行驗證。處理代理連線問題時出現以下錯誤:
Active Directory 同步處理失敗。原因:System.Net.Http.HttpRequestException
---> CommandLib.HttpRequestCommand+HttpStatusException: 已發生類型 'CommandLib.HttpRequestCommand+HttpStatusException' 的意外狀況。
如果您需要建立具有存取權限的帳戶,則此帳戶必須能夠透過以下方式登入:
- 作為服務。
- 以互動方式。
- 以批次方式。
帳戶還必須擁有讀取要同步的網域控制器上的組織單位 (OU) 的權限。
帳戶還必須具有 C:\ProgramData\Sophos\Sophos Cloud AD Sync
的 NTFS 完全權限。
注意
每次變更用於與 Active Directory 同步的服務帳戶時,都需要重新配置 Sophos Central AD Sync Utility。
另外還有一個 Active Directory 同步處理代理的因應措施。請參閱如何設定 AD Sync Utility 以使用代理伺服器?。
什麼是 LDAP 篩選器?
使用 LDAP 查詢 (&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(!userAccountControl:1.2.840.113556.1.4.803:=2))
篩選使用者。
群組的群組 LDAP 篩選器爲 (&(objectCategory=group)(objectClass=group))
。
您可以根據每個網域擴展這些篩選器。有關篩選和 LDAP 查詢的更多資訊,請參閱 Sophos Central Admin AD Sync Utility 篩選器。
建議您移除非使用中的使用者及裝置,而不要依賴篩選器。請參閱篩選非使用中的 AD 使用者。
在何處可以找到記錄檔?
請參閱 Active Directory Sync Utility 記錄位置。
注意
如果需要開啟支援案例,則需要從記錄檔中盡可能多地提供 Sophos Support 資訊。
同步處理如何將 Active Directory 使用者與現有使用者匹配?
我們透過網域登入(Domain/user
)或電子郵件位址(使用 mail
)匹配 Active Directory 使用者。
如果有匹配項,此選項將更新或取代與 Active Directory 中的資料匹配之 Sophos Central Admin 使用者。使用者圖示從 Sophos Central Admin 使用者圖示 變更爲 Active Directory 使用者圖示 。
如果電子郵件位址或 Sophos Central Admin 使用者不同,我們會建立新使用者。
如有需要,您可以在 Sophos Central Admin 中更新使用者登入。例如,您可以編輯與裝置關聯的登入詳細資料。請參閱如何指派或移除使用者的現有登入。
在同步之前,您可以看到匹配的帳戶。按一下預覽和同步...以執行此操作。
如果有匹配項,您會在需修改的使用者索引標籤上看到此項目。
如果沒有匹配項,您會在需修改的使用者索引標籤上看到該使用者。您可以選擇拒絕變更。
有關解決Sophos Central Admin用戶和Microsoft Entra ID之間鍊接問題的資訊,請參閱 為什麼某些Azure AD同步用戶未鍊接到設備創建的用戶並顯示為重複項。
如果刪除 Active Directory 中的使用者會發生什麼情況?
同步處理也會導致使用者從 Sophos Central 中被移除。具體取決於他們的角色。
如果使用者具有 Sophos Central 系統管理員角色,例如管理員、超級管理員或自訂,或是擁有相關裝置或登入,我們不會自動移除使用者。您仍然可以在人員頁面中看到使用者,但他們的圖示會從 AD 同步使用者圖示 變更為常規 Sophos Central 使用者圖示 。
然而,如果使用者具有使用者角色,或沒有相關裝置或登入,我們會自動將其移除。
爲什麼 Active Directory 中的變更未在 Sophos Central Admin 中反映?
我們不會自動移除同時擁有 Sophos Central Admin 管理員角色和 Active Directory 使用者角色的使用者。這也適用於具有 Sophos Central Admin 角色之使用者的主要電子郵件位址變更。
要刪除具有管理員角色的使用者(在 Active Directory 中刪除使用者之後)或變更關聯的電子郵件地址,您需要降級該使用者(Sophos Central Admin 中)並移除其管理員角色。下次您與 Active Directory 同步時,我們會根據需要移除他們的帳戶或更新他們的電子郵件。如果您更新了他們的電子郵件位址,則可以爲他們指派管理員角色。
爲什麼同步後使用者名稱會發生變更?
當使用者被授予其他使用者的裝置登入資訊時,可能會發生這種情況。這意味著 Active Directory 中的使用者記錄具有兩個不同人員的裝置登入。
例如,使用者 A 同時具有 userA/domain 和 userB/domain 的裝置登入。使用者 B 具有 userB/domain 的裝置登入。
我們首先同步使用者 A ,並將兩個裝置登入與使用者 A 相關聯。當同步處理程序觸達使用者 B 並嘗試建立使用者 B 時,它會在使用者 A 下找到使用者 B 的裝置登入。這將使使用者 B 與使用者 A 相匹配。然後我們將使用者 A 的名稱變更爲使用者 B。
若要修復此問題,請依照以下步驟操作:
- 在 Sophos Central Admin 中查找使用者。
- 檢查他們的登入並刪除不屬於他們的任何登入。
- 同步。
爲什麼無法將角色指派給 Active Directory 管理的使用者?
如果存在重複的使用者,通常會發生這種情況。要解決此問題,請執行以下操作:
- 移至 Sophos Central Admin 中的人員 > 管理使用者和群組 > 使用者。
-
搜尋使用者的電子郵件位址。
- 如果您收到使用者傳回的多個結果,請移至步驟 3。
- 如果只有一個使用者,請移至步驟 7。
-
確定要將角色指派給哪個重複使用者帳戶。
-
按一下每個您不想指派角色的重複使用者,然後執行以下操作:
- 按一下編輯登入。
- 記錄使用者的登入認證。
- 從使用者移除所有相關登入認證。
- 按一下儲存。
-
按一下您想指派角色的使用者,然後執行以下操作:
- 按一下編輯登入。
- 新增您從重複使用者移除的所有認證。
- 按一下儲存。
-
將角色指派給使用者。請檢查您是否可將其儲存,以及使用者是否收到設定電子郵件。
-
如果您仍然收到無法編輯或儲存使用者的錯誤訊息,這通常表示電子郵件地址已在 Sophos Central 中使用。如需發佈電子郵件位址以便再次使用,請按照無法修改使用者角色中的步驟進行操作。
為什麼使用者會連結至他們未加入的群組?
我們在 Sophos Central Admin 中使用者頁面的群組區域中將巢狀 Active Directory 群組顯示爲連結的群組。
在下列螢幕擷取畫面中,Sophos Central Admin 中的使用者顯示有四個群組。
使用者只是一個群組的直接成員。其他三個群組是連結至此使用者的巢狀群組。使用者不是這些連結群組的成員。
爲什麼網域使用者群組的成員數與 Active Directory 不匹配?
請參閱無法建立群組或反映正確使用者數量。
為什麼 Mac 未與同步處理的使用者建立關聯?
Active Directory 同步處理設定將以 [NetBIOSDomainName]\[User]
匯入登入名稱。Mac 將使用者名稱報告爲 [MacComputerName]\[User]
。因此,Mac 不會與同步處理的使用者關聯,並且會根據 [MacComputerName]\[User]
登入名稱建立新使用者。
如需將 Mac 對應至 Sophos Central Admin 使用者,您可以刪除自動生成的使用者([MacComputerName]\[User]
),然後將登入(例如 [MacComputerName]\[User]
)對應至 AD Sync 建立的使用者。
您可以在本機覆寫此資訊。請參閱如何為報告的使用者啟用網域覆寫。
爲什麼同步後出現空郵箱?
如果 **** 在同步選項中關閉了“排除已禁用的用戶帳戶”設置,則會顯示空郵箱。關閉此設定時,您將在Sophos Central中為您的共享電子信箱獲得重複的電子信箱。
若要避免這種情況,建議您開啟[ 排除停用的使用者帳戶 ]設定。
如果打開此設定,則不會同步具有空代理人列表的電子信箱。這意味著如果禁用的用戶未同步,其他共享電子信箱將不會同步,並顯示在儀表板中。
為什麼中央稽核記錄中的AD同步處理事件會將修飾符身分顯示為全域唯一識別碼(GUID)?
從AD SYNC用戶端版本5開始,AD目錄同步處理活動的稽核記錄項目將不再使用用戶端認證的識別碼進行同步驗證。這包括目錄對象創建,更新,删除審計和其他同步事件。相反,審計事件修飾符欄位顯示向Sophos注冊的AD SYNC客戶端的GUID。