AD域账号的同步方式

失控小歪

1. 同步组织架构

将AD服务器上的组织架构和账号同步到Panabit。组织单位即地址池名称，用户即为地址池的账号。

a) 安装【AD域同步APP】，打开组织架构页面。

b) 开启组织架构同步，填写AD域的对应参数。

2. 同步在线IP与账号的对应关系

方法1：adlog域控脚本

通过在域控服务器上编辑默认域策略添加用户登录/注销脚本程序，当PC开机登录域时，登录脚本自动执行，主动将AD域账号与IP的对应关系发送到Panabit数据口IP:7777默认端口；当PC关机或者注销时，注销脚本自动运行，发送注销信息给Panabit进行下线。

方法2：kbr5sniff嗅探

Panabit 被动接收经过设备的AD域认证流量，识别登录账号与IP的对应关系。适用于AD域流量经过Panabit或者通过镜像的方式将AD域认证的东西向流量发送到Panabit，这种是比较理想的拓扑；还有一种是二层部署不具备镜像能力或者有多个域控的情况下，这种就需要域控安装kbrsniff程序来发送实时捕获到的AD域认证报文到Panabit数据口IP。

、

方法3：ADMonitor监听

通过监听域控服务器Windows日志的方式将域用户与域控认证日志中的IP与账号对应关系发送到Panabit。

a) Web终端开启功能 floweye adauth  config enable=1

b) 运行ADMonitor程序，输入Panabit数据口IP，嗅探端口7777

AD域控制器将用户活动和行为记录保存在安全监控日志，ADMonitor程序将AD域控制器收到用户验证AD域账号登录的Logon日志识别解析用户账户、登录IP等字段信息，通过UDP协议发送到Panabit数据口IP:7777端口。

ADMonitor程序下载： ADMonitor_231023_1.rar (47.63 MB, 下载次数: 59)

2023-11-23 16:34 上传

点击文件名下载附件

3. AD同步账号实现方式总结

方式	ADMonitor监听域控	adlog脚本	Kbrsniff镜像
优点	成功率高，客户普遍选用的方式    可以实现历史缓存读取	可以实现在线登录/注销	不需要改动域的配置
缺点	需要在域控制器安装监听程序    会对域控有一定的资源消耗	需要修改域控策略     离线登录、历史缓存机制无法解决	对基础环境要求比较高     (需要具备镜像能力)     离线登录、历史缓存机制无法解决
适用场景	优先选择的主要方案     适用所有场景	最早版本方案     适用域控制器可以修改的场景	比较传统的方案     适用域控制器不易改动的场景