EDR支持树形组织结构对资产进行管理。终端分组包括新建分组、导入分组、LDAP同步、用户选择上线分组和终端管理。

3.2.1.1.新建分组

适用场景

当分组数量较少时，可以手动创建分组，终端上线时根据IP自动分组。

配置思路

提前梳理业务分组及IP地址规划，根据业务属性建好分组、启用根据IP自动分组，当终端Agent安装时根据终端地址自动上线至所属分组。

打开[终端管理/终端分组管理]，点击<新增>增加分组，并启用自动分组、配置自动分组IP地址段，如下图。

创建组织结构效果图如下。

3.2.1.2.导入分组

适用场景

当分组数量很多时，可以按照模板用excel表格制作好分组一次导入。

配置思路

打开[终端管理/终端分组管理]，点击<导入分组>下载示例模板，用excel编辑好分组后一次性导入。

3.2.1.3.LDAP同步

适用场景

客户内网已有AD域控服务器，内网资产在AD域控服务器统一管理。管理员需要一种方式，能够自动同步AD域服务器指定范围的OU和用户到EDR，实现用户信息统一管理。

LDAP同步配置

打开[系统管理/系统设置/LDAP同步设置]，如下图。

1.基本配置

     

基本配置：配置AD域控服务器地址、端口、管理员帐号和密码及Base DN。其中，管理员帐号需要用以下格式，如administrator@domain.com

2.组织架构同步配置

组织架构同步配置：配置组织架构路径和本地组织架构创建模式，其它保持默认即可。

3.用户信息同步

用户信息同步：将域用户属性映射至EDR终端管理信息，保持默认配置即可，如下图。

4.自动分组配置

自动分组配置：根据终端帐号名所在OU在EDR管理端实现自动分组。终端已经通过域账号登录，触发ldap同步时，才能触发自动分组。

触发LDAP同步

可以通过手动同步或定时同步触发LDAP同步。

1.手动同步

打开[终端管理/终端分组管理]，点击<更多>下拉菜单，如下图。点击<LDAP同步>手动触发立即同步。

2.定时同步

参考LDAP同步配置章节，启用定时同步，同步时间范围为1到1000小时，如下图。

LDAP同步效果

域OU同步至终端分组管理页面，如下图，当安装Agent终端以域帐号登录时会在管理端自动上线至域控OU所在分组。

查看[日志报表/运维日志]查看LDAP同步详情，如下图。

3.2.1.4.用户选择上线分组

适用场景

多分支场景下，不同分支之间终端存在IP冲突，即终端不能根据IP自动上线至所属分组；也没有AD域控环境。此时可以由终端用户选择其所属分组。

配置思路

1、新建或导入分组

打开[终端管理/终端分组管理]，禁用根据IP自动分组，如下图。

2、开启终端资产信息登记

打开[终端管理/策略中心/基本策略]，开启终端资产信息登记，“部门”列选中终端显示和终端必填，如下图。

3、用户选择上线分组

终端首次安装Agent进行资产登记时，或安装后进行资产信息修改，可以设置其所属部门组织，如下图。