Desde la versión 8.0 existe la posibilidad de importar grupos de usuario y usuarios existentes en el Directorio Activo de Windows de la organización que esté usando DataCycle.
Existen dos modalidades diferenciadas de realizar este intercambio de datos entre Directorio Activo y DataCycle:
- Método manual, se hace de forma puntual y permite controlar los ítems que se van a actualizar en el sistema.
- Método automático, se realiza diariamente por ejecución del DataCycle Server, no hay visibilidad on-line de los datos afectados y los resultados se conocen siempre a posteriori.
Por otro lado el criterio que se aplica en ambos métodos es el que la importación de usuarios sirve para sincronizar los datos particulares de usuario y que la importación de grupos es utilizada para establecer la pertenencia de usuarios a grupos. Por lo cual el orden lógico de la sincronización deberá ser primero Usuarios y después Grupos.
MÉTODO MANUAL IMPORTACIÓN DE USUARIOS
Desde la configuración de usuarios, se accede a la opción de importación de Directorio Activo:
PASO 1 – LISTAR USUARIOS
Es necesario informar un usuario con credenciales de un usuario válido para acceder al Directorio Activo de Windows de la organización.
Antes de listar los usuarios se pueden aplicar algunas restricciones (Botón Opciones Avanzadas):
Si se colocan diferentes restricciones en los valores para los uno o varios campos de Windows, estas actuarán en la futura consulta. Un ejemplo sería:
Por ejemplo esta combinación de restricciones nos devolvería todos los usuarios que pertenecen a un departamento de Marketing y que tienen el mail informado.
Otra forma de definir la consulta al AD es aplicar directamente una cadena de interrogación a AD (Marcar “Usar Cadena” y editar la cadena –botón “?”):
La sintaxis para esta interrogación es:
<GC:// + UO=unidad_organizativa,DC=dominio,DC=subdominio + >; (&(objectCategory=+categoria+)(Restriccion_i);userAccountControl +,campo_i,…,campo_n+;subtree
Es obligatorio poner el campo de control de cuenta en primer lugar para que DataCycle pueda interpretar el estado de los elementos a retornar, también se recomienda acabar la cadena con la opción subtree para obtener elementos de los diferentes niveles de organización que haya en el dominio.
Por otro lado se pueden usar operadores lógicos en el apartado de restricciones como
& -> AND,|-> OR y !-> NEGACIÓN y el uso de comodines “*” o “?” en los filtros.
Cuando se haya determinado la forma de hacer la consulta, se pueden pedir los resultados pulsando el botón “Listar usuarios Directorio Activo” y se obtiene la información en cada lista:
Los botones de flecha se usarán para escoger los usuarios que se desea sincronizar en DataCycle.
En el cuadro de Altas: todos los elementos susceptibles de incorporación a DataCycle, siempre que cumplan las restricciones definidas y el valor del atributo SamAccountName en AD de Windows sea igual al valor del atributo login de DataCycle. En la parte izquierda se muestran los candidatos a dar de alta o actualizar. Y es el usuario quien debe decidir que usuarios se someterán a la sincronización traspasándolos a la lista de la derecha.
En el cuadro de Bajas: todos los elementos susceptibles de desvincular en DataCycle, ya que en Windows estén marcados como baja y en DataCycle aun estén como usuarios activos. Aparecerán siempre que cumplan las restricciones definidas y el valor del atributo SamAccountName en AD de Windows sea igual al valor del atributo login de DataCycle.
PASO 2 – SINCRONIZAR USUARIOS
Después de visualizar los resultados de la consulta y validar visualmente que tanto en los usuarios activos e inactivos los resultados son coherentes, es el momento de revisar la forma en que los nuevos usuarios serán incorporados a DataCycle.
Asignación de valores de Windows a atributos DataCycle.
-Si se ha usado la opción asistida se ha de usar el segundo apartado de las Opciones Avanzadas que hemos usado para lanzar la consulta. Allí hay una lista donde podemos indicar el mapping o correspondencia entre atributos DataCycle y valores de atributos de Windows.
-Si se ha usado la cadena de interrogación libre, se ha de tener en cuenta que la correspondencia entre los campos de retorno y los atributos de DataCycle es la siguiente:
1 – [SIN CORRESPONDENCIA] Campo de control de cuenta
2- LOGIN y PASSWORD
3-CORREO ELECTRONICO
4-NOMBRE DE USUARIO
5-[SIN CORRESPONDENCIA ]
6-DNI y OBSERVACIONES
7-TELEFONO
Baja de usuarios en DataCycle
Los usuarios mostrados como inactivos se darán de baja en DataCycle siempre y cuando no sean usuarios con alguna de estas condiciones:
-Es un usuario propietario de algún objeto como consultas o procesos.
-No es el último usuario con perfil de administración técnica
-No es el último usuario con perfil para administrar usuarios.
Si los resultados propuestos tanto para el cuadro de ACTIVOS como el de INACTIVOS es correcto, es el momento de realizar el traspaso de información entre AD y DataCycle mediante el botón “Iniciar el proceso”. Tras hacerlo debe aparecer un mensaje de confirmación.
METODO MANUAL IMPORTACIÓN DE GRUPOS DE USUARIOS
PASO 1 – LISTAR GRUPOS DE USUARIOS
Desde la configuración de grupos de usuarios, se accede a la opción de importación de Directorio Activo.
Esta pantalla nos permite consultar al AD de Windows y obtenemos (opción Listar):
Aplicar restricciones (Botón Opciones Avanzadas):
Aplicar una cadena de interrogación a AD directamente (Marcar “Usar Cadena” y editar la cadena –botón “?”)
Si se usa esta opción en la configuración de grupos lo normal será restringir por ObjectCategory=Group, y habrá que describir al menos 6 campos de retorno.
Cuando se hayan determinado la forma de hacer la consulta, se pueden pedir los resultados mediante el botón “Listar grupos de usuarios” y se obtiene:
En el cuadro de Altas: todos los elementos susceptibles de incorporación a DataCycle, siempre que cumplan las restricciones definidas y el valor del atributo DistinguisedName en AD de Windows sea igual al valor del atributo Nombre de grupo en DataCycle. En la parte izquierda se muestran los candidatos a dar de alta o actualizar. Y es el usuario quien debe decidir que grupos de usuarios se someterán a la sincronización traspasándolos a la lista de la derecha.
PASO 2 – SINCRONIZAR GRUPOS DE USUARIOS
Después de visualizar los resultados de la consulta y validar visualmente que los grupos de usuarios de alta son coherentes es el momento de realizar el traspaso de información entre AD y DataCycle mediante el botón “Iniciar el proceso”. Esta acción comportará recomponer los grupos ya existentes en DataCycle y dar de alta o baja a los usuarios miembros de los grupos afectados. Si bien hay que tener en cuenta dos cosas:
- Los usuarios no existentes aun en DC se darán de alta con los datos básicos de login y Nombre de usuario.
- Los grupos hijos contenidos en los grupos implicados no se tendrán en cuenta. Por lo que se puede considerar que solo sincroniza una jerarquía de dos niveles: Grupo-Usuarios.
Tras hacerlo debe aparecer un mensaje de confirmación. “Importación finalizada correctamente”
METODO DE SINCRONIZACIÓN DE GRUPOS Y USUARIOS DE FORMA AUTOMATICA
Este método se basa en una ejecución programada diariamente del proceso conjunto de consulta y actualización de elementos. Para que se ejecute dicho proceso es imprescindible que este arrancado DataCycle Server.
A la configuración se accede por el Menú Herramientas >Configuración Avanzada > Pestaña Directorio Activo. Para activar la ejecución diaria se debe marcar la casilla de importación automática y definir la hora deseada para que se inicie el proceso.
Este proceso actúa con las mismas reglas y criterios de interrogación, búsqueda y actualización que los métodos manuales. Y por tanto actúa también bajo las credenciales del usuario que se haya informado con el comando “Credenciales”
Después se deben indicar las definiciones para importar usuarios/grupos. En las dos definiciones con asistente se puede marcar la opción de “Alias” para importar los usuarios con el prefijo de Alias + \SamAccountName como valor de Login en DCR.
A continuación se han de definir las restricciones y la correspondencia de información para las consultas de usuarios o grupos, tal y como se hace en los métodos manuales.
El orden de ejecución siempre será el siguiente:
- Definiciones para importar usuarios, de manera asistida.
- Definiciones para importar grupos de usuarios, de manera asistida.
- Definiciones para importar usuarios usando cadena concreta de interrogación a LDAP.
Opciónes:
-Vincular las restricciones para usuarios (1) a la definición de importación de grupos. De forma que solo se importarán los usuarios que cumplan con la especificación de grupos(2) si esos usuarios también cumplen las restricciones exigidas en la definición para usuarios.
-También es posible definir un directorio donde se guardará un log de actividad de cada ejecución de este proceso y es posible indicar que se renueve o se acumule la información. El fichero es nombrado como LogImportLDAP.txt
Ejemplo:
Anexo 1. Atributos de LDAP más significativos
LDAP Attribute |
Example |
CN - Common Name |
CN=Juan Taso. Actually, this LDAP attribute is made up from givenName joined to SN. |
description |
What you see in Active Directory Users and Computers. Not to be confused with displayName on the Users property sheet. |
displayName |
displayName = Juan Taso. If you script this property, be sure you understand which field you are configuring. DisplayName can be confused with CN or description. |
DN - also distinguishedName |
DN is simply the most important LDAP attribute. |
givenName |
Firstname also called Christian name |
homeDrive |
Home Folder : connect. Tricky to configure |
name |
name = Juan Taso. Exactly the same as CN. |
objectCategory |
Defines the Active Directory Schema category. For example, objectCategory = Person |
objectClass |
objectClass = User. Also used for Computer, organizationalUnit, even container. Important top level container. |
physicalDeliveryOfficeName |
Office! on the user's General property sheet |
profilePath |
Roaming profile path: connect. Trick to set up |
sAMAccountName |
sAMAccountName = juant. Old NT 4.0 logon name, must be unique in the domain. Can be confused with CN. |
SN |
SN = Thomas. This would be referred to as last name or surname. |
userAccountControl |
Used to disable an account. A value of 514 disables the account, while 512 makes the account ready for logon. |
userPrincipalName |
userPrincipalName = juant@CP.com Often abbreviated to UPN, and looks like an email address. Very useful for logging on especially in a largeForest. Note UPN must be unique in the forest. |
0 Comentarios