ID Conseils de configuration de l’agent utilisateur

Exigences de ID l’utilisateur et de l’agent :

• Doit être en cours d’exécution Windows Server qui est un membre du domaine en question. Bien que ID l’utilisateur-agent peut être exécuté directement sur le AD serveur, il n’est pas recommandé.
• Le service doit être en cours d’exécution en tant que compte de domaine qui a des autorisations d’administrateur local sur le serveur ID utilisateur-agent.
• Le compte de service doit avoir l’autorisation de lire le journal de sécurité. En 2008 de Windows et des domaines plus tard, il y a un groupe prédéfini, « Lecteurs du journal des événements, » qui prévoit des droits suffisants pour l’agent. Dans les versions antérieures de Windows, le compte doit recevoir l’utilisateur « Audit and manage security log » directement par l’intermédiaire d’un policy groupe. Faire le compte membre du groupe administrateurs de domaine fournit des droits pour toutes les opérations.
• Si vous WMI utilisez des sondes, le compte de service doit avoir le droit de lire l’espace de nom CIMV2 sur le poste de travail du client. Le compte ID utilisateur-agent doit être ajouté aux « utilisateurs de bureau distants ». Administrateur de domaine a ceci par défaut.
• Si vous n’utilisez qu’un seul ID agent utilisateur, assurez-vous qu’il inclut tous les contrôleurs de domaine dans la liste de découverte.
• Le contrôleur de domaine DC () doit enregistrer les informations de connexion réussies.

IDL’utilisateur-agent surveille les contrôleurs de domaine pour les événements suivants :

• Windows 2003
  • 672 (authentification billet certes, qui se produit au moment de l’ouverture de session),
  • 673 (Ticket de Service accordée)
  • 674 (billet accordé renouvelé qui peut se produire plusieurs fois au cours de la session d’ouverture de session)
• Windows 2008
  • 4768 (Ticket d’authentification accordée)
  • 4769 (Ticket de service accordées)
  • 4770 (billet accordé renouvelé)
  • 4624 (succès d’ouverture de session)
• Pour le logon de compte, DC l’événement ID d’enregistrements 672 comme premier logon pour la demande de billet d’authentification.
• Aucun compte déconnexion événement n’est enregistré.
• Si NetBIOS sonder est activée, toute connexion à un fichier ou un service d’impression sur la liste des serveurs surveillés est également lu par l’agent. Ces connexions fournissent à l’agent des informations IP actualisées de l’utilisateur à la cartographie. Dans tous les cas, l’événement plus récent pour le mappage de l’utilisateur remplace les anciens événements.
• Si WMI l’enquête est activée, assurez-vous que l’intervalle de sondage est défini à une valeur raisonnable pour la quantité de postes de travail qu’il peut avoir besoin d’interroger. Par exemple, s’il y a 5 000 hôtes pour sonder, ne définissez pas un intervalle de détection de 10 minutes.Les deux paramètres sont sous identification de l'> configuration > client sonder sur ID l’utilisateur-agent :

  

• Dans certains cas, la WMI sonde échouera parce que le poste de travail peut être en cours d’exécution firewall d’un local ou il peut ne pas être un membre du domaine. Dans ce cas, le mappage peut être supprimé une fois le délai d’expiration du cache est dépassée, même si le poste de travail est en place et en passant le trafic. Pour tester, exécutez la commande suivante à partir de ID l’agent utilisateur.
  • système informatique de la ligne de commande WMI /node:workstationIPaddress que nom d’utilisateur
  • Il doit retourner l’utilisateur actuellement connecté à cet ordinateur.
  • Les pare-feu Windows peuvent être réglés à l’aide de ces commandes localement sur le poste de travail ou le serveur si la configuration à distance de la firewall n’est pas possible :
    • Pour Windows XP /Windows Server 2003:
      netsh firewall set service RemoteAdmin activer
    • Pour Windows Vista/Windows Server 2008 (notez que la ligne de commande doit être exécutée dans l’invite de commande élevée) :
      netsh advfirewall firewall set rule group="windows management instrumentation (wmi) » new enable=yes
  • Si vous n’êtes pas sûr que les postes de travail répondront WMI aux sondes, réglez le ID délai d’attente du cache utilisateur à une valeur plus élevée puisque la cartographie dépendra des événements de connexion des utilisateurs. Dans ce cas, si le délai d’expiration du cache est dépassée après l’événement de connexion initial, le mappage sera supprimé même si l’utilisateur est toujours connecté. Ce paramètre est sous l’identification de l'> configurer > cache sur ID l’agent utilisateur :

    

• Vérifiez que tous les contrôleurs de domaine sont dans la liste des serveurs à surveiller.Si ce n’est pas le cas, toutes les mappages utilisateur peuvent IP être incluses puisque n’importe quel contrôleur de domaine peut potentiellement authentifier les utilisateurs.
• Confirmer que la liste de contrôleur de domaine est exacte en exécutant la commande suivante à partir d’un contrôleur de domaine :
  • serveur dsquery -o rdn (qui imprime une liste de vos CD). Supprimer des contrôleurs de domaine qui n’existent plus.
• Confirmez que ID l’utilisateur est activé sur la zone où le trafic est source. Ce paramètre est sous réseau > Zones :