Domande frequenti sulla sincronizzazione con Active Directory

Questo articolo indica come trovare risposte alle domande più comuni sulla sincronizzazione con Active Directory in Sophos Central Admin.

La sincronizzazione con Active Directory consente agli amministratori di implementare un servizio per la mappatura e la sincronizzazione regolare di utenti e gruppi da Active Directory a Sophos Central Admin. Può essere configurato con l'Impostazione della Sincronizzazione con Active Directory.

Le domande frequenti su Active Directory sono suddivise in due parti.

  • Questa pagina contiene informazioni generali sulla Sincronizzazione con Active Directory in Sophos Central Admin.
  • Per informazioni generali sull'impostazione della Sincronizzazione con Active Directory, sulla sua installazione, sulle piattaforme supportate, sugli errori di sincronizzazione, su come cambiare servizi directory e su come rimuovere la Sincronizzazione con Active Directory, vedere Domande frequenti sull'installazione della Sincronizzazione con Active Directory.

Dove posso configurare un proxy?

L'Impostazione della sincronizzazione con Active Directory (versione 4.0) offre l'opzione di configurare un proxy. Questa operazione può essere svolta nella scheda Sophos Credentials (Credenziali Sophos). Vedere Impostazione della sincronizzazione con Active Directory.

Area delle impostazioni proxy dell'Impostazione della sincronizzazione con Active Directory

Gli account di prova gratuita usano l'Utilità di Sincronizzazione con AD di Sophos Central (versione 3.5.4). Questa versione non permette di configurare i dettagli del proxy.

Nell'Utilità di Sincronizzazione con AD di Sophos Central, il servizio si esegue utilizzando un account di servizio locale che, per impostazione predefinita, non ha accesso all'autenticazione tramite proxy. Se si verifica un problema di connessione proxy, viene visualizzato il seguente errore:

Failed active directory synchronization. Reason: System.Net.Http.HttpRequestException 
---> CommandLib.HttpRequestCommand+HttpStatusException: Exception of type 'CommandLib.HttpRequestCommand+HttpStatusException' was thrown.

Se si desidera creare un account che abbia questo tipo di accesso, l'account deve essere in grado di accedere nei seguenti modi:

  • Accesso come servizio.
  • Accesso interattivo.
  • Accesso batch.

L'account deve inoltre avere diritti per la lettura delle Unità organizzative (OU) sul controller di dominio che si desidera sincronizzare.

L'account deve anche avere autorizzazioni NTFS complete per C:\ProgramData\Sophos\Sophos Cloud AD Sync.

Nota Ogni volta che si modifica l'account di servizio utilizzato per la sincronizzazione con Active Directory, è necessario riconfigurare l'Utilità di Sincronizzazione con AD di Sophos Central.

Esiste un'altra soluzione alternativa per il proxy di sincronizzazione con Active Directory. Vedere l'articolo Come configurare l'Utilità di Sincronizzazione con AD in modo che utilizzi un server proxy.

Quali sono i filtri LDAP?

Gli utenti vengono filtrati con la query LDAP (&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(!userAccountControl:1.2.840.113556.1.4.803:=2)).

Il filtro gruppo LDAP per i gruppi è (&(objectCategory=group)(objectClass=group)).

È possibile estendere questi filtri in base al dominio. Per maggiori informazioni sui filtri e sulle query LDAP, vedere Filtri dell'Utilità di Sincronizzazione con AD per Sophos Central Admin.

Si consiglia di rimuovere gli utenti e i dispositivi inattivi, invece di utilizzare i filtri. Vedere Filtro degli utenti AD inattivi.

In che modo vengono importati i nomi utente con la sincronizzazione?

Per importare utenti da Active Directory, utilizziamo il Nome visualizzato.

Esempio di Nome visualizzato

Come viene importato un indirizzo alias e-mail con la sincronizzazione?

Utilizziamo proxyAddresses per l'alias.

Attributo proxyAddresses

Dove posso trovare i file di log?

Vedere Percorsi dei log dell'Utilità di Sincronizzazione con AD.

Nota Per aprire un caso di supporto, bisogna fornire al Supporto Sophos il maggior numero possibile di informazioni tratte dai file di log.

Come viene effettuata l'associazione di utenti di Active Directory a utenti esistenti durante la sincronizzazione?

Associamo gli utenti di Active Directory in base all'accesso al dominio (Domain/user) o all'indirizzo e-mail (utilizzando E-mail).

Esempio di accesso al dominio Esempio con E-mail

Se viene individuata una corrispondenza, l'utente di Sophos Central Admin che ha trovato corrispondenza con i dati in Active Directory verrà aggiornato o sostituito. L'icona dell'utente cambierà, passando dall'icona di un utente di Sophos Central Admin Icona utente di Sophos Central all'icona di un utente di Active Directory Icona utente di Active Directory.

Se l'indirizzo e-mail o l'utente di Sophos Central Admin è diverso, creeremo un nuovo utente.

Se richiesto, è possibile aggiornare gli accessi degli utenti in Sophos Central Admin. Ad esempio, è possibile modificare i dettagli di accesso di un utente associato a un dispositivo. Vedere Come assegnare o rimuovere un accesso esistente per un utente.

È possibile visualizzare gli account che trovano corrispondenza prima di eseguire la sincronizzazione, cliccando su Preview and Sync... (Visualizza anteprima e sincronizza...).

Opzione Preview and Sync...

Se viene individuata una corrispondenza, sarà visualizzata nella scheda Users to Modify (Utenti da modificare).

Se si trova una corrispondenza, l'utente sarà visualizzato nella scheda Users to add (Utenti da aggiungere). Le modifiche possono essere rifiutate.

Per informazioni sulla risoluzione dei problemi relativi all'associazione di utenti di Sophos Central Admin e di Azure AD, consultare questo articolo relativo ad Azure AD.

Cosa succede se si rimuovono utenti in Active Directory?

Se l'utente ha un accesso dispositivo, una casella di posta o un ruolo di amministratore in Sophos Central Admin, l'utente viene conservato in Sophos Central Admin.

L'icona dell'utente cambierà, passando dall’icona di un utente di Active Directory Icona utente di Active Directory all'icona di un utente di Sophos Central Admin Icona utente di Sophos Central.

Se l'utente non ha un accesso dispositivo, una casella di posta o un ruolo di amministratore in Sophos Central Admin, l'utente viene eliminato.

Perché Sophos Central Admin non riflette le modifiche in Active Directory?

Se un utente con ruolo di amministratore in Sophos Central Admin è anche un utente di Active Directory, non viene rimosso automaticamente. Questo vale anche per le modifiche degli indirizzi e-mail principali di utenti che hanno un ruolo Sophos Central Admin.

Per rimuovere un utente che ha un ruolo di amministratore (dopo la sua rimozione da Active Directory) o per modificarne l'indirizzo e-mail a cui è associato, occorrerà eliminare l'utente (in Sophos Central Admin) e rimuoverne il ruolo di amministratore. Alla successiva sincronizzazione con Active Directory, ne rimuoveremo l'account o ne aggiorneremo l'indirizzo e-mail in base a quanto specificato. Se ne è stato aggiornato l'indirizzo e-mail, sarà poi possibile assegnare un ruolo di amministratore a quell'utente.

Perché il nome di un utente è cambiato dopo la sincronizzazione?

Questo può accadere quando un utente riceve l'accesso dispositivo di un altro utente. Ciò significa che un record utente in Active Directory ha accessi dispositivo per due persone diverse.

Ad esempio: l'utente A ha accessi dispositivo sia per utenteA/dominio che per utenteB/dominio. L'utente B ha un accesso dispositivo per utenteB/dominio.

Prima viene sincronizzato l'utente A ed entrambi gli accessi dispositivo vengono associati all'utente A. Quando il processo di sincronizzazione raggiunge l'utente B e tenta di creare l'utente, trova l'accesso dispositivo dell'utente B sotto l'utente A. Di conseguenza, l'utente B trova corrispondenza con l'utente A e a questo punto il nome dell'utente A viene modificato e diventa quello dell'utente B.

Per risolvere questo problema, procedere come segue:

  1. Trovare l'utente in Sophos Central Admin.
  2. Controllarne gli accessi e rimuovere quelli che non appartengono a questo utente.
  3. Sincronizzare.

Perché non riesco ad assegnare un ruolo a un utente gestito di Active Directory?

In genere questo avviene se ci sono utenti duplicati. Per risolvere il problema, procedere come segue:

  1. Aprire Panoramica > Persone in Sophos Central Admin
  2. Cercare l'indirizzo e-mail dell'utente.
    • Se viene restituito più di un risultato per l'utente, passare al punto 3.
    • Se c'è un solo utente, passare al punto 7.
  3. Stabilire a quale degli account utente duplicati si desidera assegnare un ruolo.
  4. Cliccare su ciascuno degli utenti duplicati a cui non si desidera assegnare un ruolo e procedere come segue:
    1. Cliccare su Edit logins (Modifica accessi).
    2. Annotare le credenziali di accesso dell'utente.
    3. Rimuovere tutte le credenziali di accesso associate all'utente.
    4. Cliccare su Salva.
  5. Cliccare sull'utente a cui si desidera assegnare un ruolo e procedere come segue:
    1. Cliccare su Edit logins (Modifica accessi).
    2. Aggiungere tutte le credenziali rimosse dagli utenti duplicati.
    3. Cliccare su Salva.
  6. Assegnare il ruolo all'utente. Verificare che sia stato salvato e che l'utente abbia ricevuto l'e-mail di configurazione.
  7. Se si continua a ricevere un messaggio di errore che indica che l'utente non può essere modificato o salvato, di solito questo significa che l'indirizzo e-mail è già stato utilizzato in Sophos Central Admin. Per rilasciare l'indirizzo e-mail in modo da poterlo utilizzare di nuovo, seguire la procedura descritta nell'articolo Modifica del ruolo di un utente non consentita.

Perché ci sono utenti collegati a gruppi di cui non sono membri?

I gruppi nidificati di Active Directory vengono visualizzati come gruppi collegati nell'area Gruppi della pagina dell'utente in Sophos Central Admin.

Nel seguente screenshot vengono visualizzati quattro gruppi per l'utente in Sophos Central Admin.

Esempio di gruppi nidificati in Sophos Central Admin

L'utente è membro diretto di un solo gruppo. Gli altri tre gruppi sono gruppi nidificati che sono collegati a questo utente. L'utente non è membro di questi gruppi collegati.

Gruppi nidificati di Active Directory collegati a un utente

Perché il numero di membri del gruppo Domain Users non corrisponde a quello in Active Directory?

Vedere Impossibile creare un gruppo o riflettere il numero corretto di utenti.

Perché un Mac non è associato a un utente sincronizzato?

L'Impostazione della sincronizzazione con Active Directory importa i nomi di accesso come [NomeDiDominioNetBIOS]\[Utente]. Un Mac indica il nome utente come [NomeComputerMac]\[Utente]. Di conseguenza, un Mac non si associa all'utente sincronizzato e viene creato un nuovo utente in base al nome di accesso [NomeComputerMac]\[Utente].

Per mappare il Mac all'utente di Sophos Central Admin, è possibile eliminare l'utente generato automaticamente ([NomeComputerMac]\[Utente]) e successivamente mappare l'accesso, ad esempio [NomeComputerMac]\[Utente] all'utente creato con la Sincronizzazione con AD.

Queste informazioni possono essere sovrascritte localmente. Vedere Come attivare la sovrascrittura del dominio per gli utenti indicati.