Preguntas frecuentes sobre la sincronización de Active Directory

Encuentre respuestas a preguntas habituales sobre la sincronización de Active Directory en Sophos Central Admin.

La sincronización de Active Directory permite a los administradores implementar un servicio que asigna usuarios y grupos de Active Directory a Sophos Central Admin y los mantiene sincronizados. Puede configurarla con el programa de configuración de sincronización de Active Directory.

Las preguntas frecuentes de Active Directory se dividen en dos partes.

  • Esta página contiene información general acerca de la sincronización de Active Directory en Sophos Central Admin.
  • Para obtener información general acerca del programa de configuración de sincronización de Active Directory, la instalación, plataformas compatibles, errores de sincronización, el cambio de servicios de directorio y la eliminación de la sincronización de Active Directory, consulte Preguntas frecuentes sobre la instalación de la sincronización de Active Directory.

¿Dónde puedo configurar un proxy?

El programa de configuración de sincronización de Active Directory (versión 4.0) permite configurar un proxy. Puede hacerlo en Credenciales de Sophos. Consulte Configurar la sincronización con Active Directory.

Área de configuración de proxy en el programa de configuración de sincronización de Active Directory

Si tiene una cuenta de prueba, utilice la Utilidad de sincronización con AD de Sophos Central (versión 3.5.4). No puede configurar detalles de proxy en esta versión.

En la Utilidad de sincronización con AD de Sophos Central, el servicio se ejecuta mediante una cuenta de servicio local que, de forma predeterminada, no tiene acceso para autenticarse a través de ningún proxy. Aparece el siguiente error al encontrarse un problema de conexión de proxy:

Sincronización de Active Directory fallida. Razón: System.Net.Http.HttpRequestException 
---> CommandLib.HttpRequestCommand+HttpStatusException: Se ha producido una excepción del tipo 'CommandLib.HttpRequestCommand+HttpStatusException'.

Si necesita crear una cuenta que tenga acceso, esta cuenta debe poder iniciar sesión de las siguientes maneras:

  • Como un servicio.
  • De forma interactiva.
  • Como un lote.

La cuenta también debe tener derechos para leer unidades organizativas (OU) en el controlador de dominio que desea sincronizar.

La cuenta también debe tener permisos completos NTFS en C:\ProgramData\Sophos\Sophos Cloud AD Sync.

Nota Cada vez que cambie la cuenta de servicio utilizada para la sincronización con Active Directory, deberá volver a configurar la Utilidad de sincronización con AD de Sophos Central.

También hay una solución alternativa adicional para el proxy de sincronización de Active Directory. Consulte ¿Cómo configurar la Utilidad de sincronización con AD para utilizar un servidor proxy?.

¿Qué son los filtros LDAP?

Los usuarios se filtran con la consulta LDAP (&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(!userAccountControl:1.2.840.113556.1.4.803:=2)).

El filtro LDAP de grupo para grupos es (&(objectCategory=group)(objectClass=group)) .

Puede ampliar estos filtros por dominio. Para obtener más información acerca del filtrado y las consultas LDAP, vea Filtros de la Utilidad de sincronización con AD de Sophos Central Admin.

Se recomienda eliminar los usuarios inactivos y sus dispositivos en lugar de depender de filtros. Consulte Filtrar usuarios de AD inactivos.

¿Cómo importa la sincronización nombres de usuario?

Utilizamos Nombre para mostrar al importar usuarios de Active Directory.

Ejemplo de nombre para mostrar

¿Cómo importa la sincronización una dirección de alias de correo electrónico?

Utilizamos proxyAddresses para el alias.

Direcciones de proxy

¿Dónde se encuentran los archivos de registro?

Consulte Ubicaciones de registro de la Utilidad de sincronización de Active Directory.

Nota Si necesita abrir un caso de soporte, debe proporcionar a Soporte de Sophos toda la información posible de los archivos de registro.

¿Cómo hace coincidir la sincronización los usuarios de Active Directory con los usuarios existentes?

Hacemos coincidir los usuarios de Active Directory por inicio de sesión de dominio (dominio/usuario) o por dirección de correo electrónico (mediante correo).

Ejemplo de inicio de sesión de dominio Ejemplo de dirección de correo electrónico

Si hay una coincidencia, se actualiza o reemplaza el usuario de Sophos Central Admin con el que coincide con los datos de Active Directory. El icono de usuario cambia del icono de usuario de Sophos Central Admin icono de usuario de Sophos Central al icono de usuario de Active Directory icono de usuario de Active Directory.

Creamos un nuevo usuario si la dirección de correo electrónico o el usuario de Sophos Central Admin son diferentes.

Si es necesario, puede actualizar los inicios de sesión de los usuarios en Sophos Central Admin. Por ejemplo, puede editar los detalles de inicio de sesión de un usuario asociado a un dispositivo. Consulte Cómo asignar o eliminar un inicio de sesión existente para un usuario.

Puede ver las cuentas que coinciden antes de sincronizar. Para ello, haga clic en Previsualizar y sincronizar...

Opción Previsualizar y sincronizar...

Si hay una coincidencia, lo verá en la pestaña Usuarios para modificar.

Si no hay ninguna coincidencia, verá al usuario en la pestaña Usuarios para añadir. Puede optar por rechazar los cambios.

Para obtener información acerca de cómo resolver problemas relacionados con la vinculación entre usuarios de Sophos Central Admin y Azure AD, vea Azure AD.

¿Qué ocurre si elimino usuarios en Active Directory?

Si el usuario tiene un inicio de sesión de dispositivo, un buzón de correo o un rol de administrador de Sophos Central Admin, mantenemos al usuario en Sophos Central Admin.

El icono de usuario cambia del icono de usuario de Active Directory Icono de usuario de Active Directory al icono de usuario de Sophos Central Admin Icono de usuario de Sophos Central.

Si el usuario no tiene un inicio de sesión de dispositivo, un buzón de correo o un rol de administrador de Sophos Central Admin, se elimina el usuario.

¿Por qué los cambios en Active Directory no se reflejan en Sophos Central Admin?

No quitamos automáticamente a un usuario que tiene un rol de administrador en Sophos Central Admin que también es usuario de Active Directory. Esto también se aplica a los cambios en las direcciones de correo electrónico principales de los usuarios que tienen un rol de Sophos Central Admin.

Para quitar un usuario con un rol de administrador (después de que se haya eliminado en Active Directory) o cambiar la dirección de correo electrónico asociada, debe rebajar de nivel a ese usuario (en Sophos Central Admin) y quitar su rol de administrador. La próxima vez que sincronice con Active Directory, eliminaremos su cuenta o actualizaremos su correo electrónico según corresponda. Si ha actualizado su dirección de correo electrónico, luego puede asignarle un rol de administrador.

¿Por qué cambió el nombre de un usuario después de la sincronización?

Esto puede suceder cuando un usuario ha recibido un inicio de sesión en el dispositivo de otro usuario. Esto significa que un registro de usuario en Active Directory tiene los inicios de sesión del dispositivo para dos personas diferentes.

Por ejemplo, el usuario A tiene inicios de sesión de dispositivo tanto para el usuarioA/dominio como para el usuarioB/dominio. El usuario B tiene un inicio de sesión de dispositivo para el usuarioB/dominio.

Sincronizamos primero el usuario A y asociamos ambos inicios de sesión de dispositivo con el usuario A. Cuando el proceso de sincronización llega al usuario B e intenta crear el usuario, encuentra el inicio de sesión de dispositivo del usuario B en el usuario A. Así coincide el usuario B con el usuario A. Luego cambiamos el nombre del usuario A por el usuario B.

Para solucionar esto, haga lo siguiente:

  1. Busque el usuario en Sophos Central Admin.
  2. Compruebe sus inicios de sesión y elimine los que no le pertenezcan.
  3. Sincronice.

¿Por qué no puedo asignar un rol a un usuario administrado de Active Directory?

Esto suele ocurrir si hay usuarios duplicados. Para resolver el problema, haga lo siguiente:

  1. Vaya a Descripción general > Personas en Sophos Central Admin
  2. Busque la dirección de correo electrónico principal del usuario.
    • Si obtiene más de un resultado devuelto para el usuario, vaya al paso 3.
    • Si solo tiene un usuario, vaya al paso 7.
  3. Determine a qué cuenta de usuario duplicada desea asignar un rol.
  4. Haga clic en cada uno de los usuarios duplicados a los que no desea asignar ningún rol y haga lo siguiente:
    1. Haga clic en Editar inicios de sesión.
    2. Anote las credenciales de inicio de sesión del usuario.
    3. Quite todas las credenciales de inicio de sesión asociadas del usuario.
    4. Haga clic en Guardar.
  5. Haga clic en el usuario al que desea asignar un rol y haga lo siguiente:
    1. Haga clic en Editar inicios de sesión.
    2. Añada todas las credenciales que quitó de los usuarios duplicados.
    3. Haga clic en Guardar.
  6. Asigne el rol al usuario. Compruebe que puede guardar esto y que el usuario recibe el correo electrónico de configuración.
  7. Si sigue apareciendo un error que indica que el usuario no se puede editar ni guardar, normalmente significa que la dirección de correo electrónico ya se ha utilizado en Sophos Central Admin. Para liberar la dirección de correo electrónico y poder utilizarla de nuevo, siga los pasos de No se puede modificar el rol de un usuario.

¿Por qué los usuarios están vinculados a grupos de los que no son miembros?

Los grupos anidados de Active Directory se muestran como grupos vinculados en el área Grupos de la página del usuario en Sophos Central Admin.

En la siguiente captura de pantalla, se muestran cuatro grupos para el usuario en Sophos Central Admin.

Ejemplo de grupos anidados en Sophos Central Admin

El usuario solo es miembro directo de un grupo. Los otros tres grupos son grupos anidados que están vinculados a este usuario. El usuario no es miembro de estos grupos vinculados.

Grupos anidados de Active Directory vinculados a un usuario

¿Por qué el número de miembros del grupo Usuarios de dominio no coincide con Active Directory?

Consulte Error al crear un grupo o reflejar el número correcto de usuarios.

¿Por qué un Mac no está asociado a un usuario sincronizado?

El programa de configuración de sincronización de Active Directory importa los nombres de inicio de sesión como [NetBIOSdomainName]\[User]. Un Mac informa del nombre de usuario como [MacComputerName]\[User]. Como resultado, un Mac no se asocia con el usuario sincronizado y se crea un nuevo usuario basado en el nombre de inicio de sesión [MacComputerName]\[User] .

Para asignar el Mac al usuario de Sophos Central Admin, puede eliminar el usuario generado automáticamente ([MacComputerName]\[User]) y, a continuación, asignar el inicio de sesión, por ejemplo, [MacComputerName]\[User] al usuario creado por Sincronización de AD.

Puede anular esta información localmente. Vea Cómo habilitar las anulaciones de dominio para los usuarios informados.