Pular para o conteúdo

Perguntas frequentes sobre sincronização do Active Directory

Encontre respostas para perguntas comuns sobre a sincronização do Active Directory no Sophos Central Admin.

A sincronização do Active Directory permite que administradores implementem um serviço que mapeia usuários e grupos do Active Directory para o Sophos Central Admin e os mantêm sincronizados. Para isso, use o Active Directory Synchronization Setup.

As Perguntas frequentes do Active Directory são divididas em duas partes.

  • Esta página contém informações gerais sobre a sincronização do Active Directory no Sophos Central Admin.
  • Para obter informações gerais sobre o Active Directory Synchronization Setup, instalação, plataformas suportadas, erros de sincronização, alteração de serviços de diretório e remoção do Active Directory Synchronization, consulte Perguntas frequentes sobre a instalação da sincronização do Active Directory.
Onde posso configurar um proxy?

O Active Directory Synchronization Setup (versão 4.0) permite configurar um proxy. Você pode fazer isso em Credenciais Sophos. Consulte Configurar sincronização com o Active Directory.

Área das configurações de proxy no Active Directory Synchronization Setup.

Se você tiver uma conta de avaliação, use o Sophos Central AD Sync Utility (versão 3.5.4). Não é possível configurar nos detalhes de proxy nesta versão.

No Sophos Central AD Sync Utility, o serviço é executado usando uma conta de serviço local que, por padrão, não tem acesso à autenticação por meio de proxies. Você recebe o seguinte erro ao lidar com um problema de conexão de proxy:

Falha de sincronização do Active Directory. Razão: System.Net.Http.HttpRequestException
---> CommandLib.HttpRequestCommand+HttpStatusException: A exceção do tipo 'CommandLib.HttpRequestCommand+HttpStatusException' foi lançada.

Se você precisar criar uma conta que tenha acesso, essa conta deverá ser capaz de fazer logon das seguintes maneiras:

  • Como um serviço.
  • Interativamente.
  • Como um lote.

A conta também deve ter direitos de leitura de Unidades organizacionais (OU) no Controlador de Domínio que você deseja sincronizar.

A conta também deve ter permissões NTFS completas para C:\ProgramData\Sophos\Sophos Cloud AD Sync.

Nota

Sempre que você alterar a conta de serviço usada para sincronização com o Active Directory, será necessário reconfigurar o Sophos Central AD Sync Utility.

Há também uma solução alternativa adicional de proxy de sincronização do Active Directory. Consulte How to configure AD Sync Utility to use a proxy server?.

Quais são os filtros LDAP?

Os usuários são filtrados com a consulta LDAP (&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(!userAccountControl:1.2.840.113556.1.4.803:=2)).

O filtro LDAP do grupo para grupos é (&(objectCategory=group)(objectClass=group)).

Você pode estender esses filtros por domínio. Para obter mais informações sobre filtragem e consultas LDAP, consulte Sophos Central Admin AD Sync Utility filters.

Recomendamos que você remova usuários e dispositivos inativos em vez de depender de filtros. Veja Filtrar usuários do AD inativos.

Como a sincronização importa nomes de usuário?

Usamos o Nome de exibição para importar usuários do Active Directory.

Exemplo de nome de exibição.

Como a sincronização importa um endereço de alias de e-mail?

Usamos proxyAddresses para o alias (codinome).

Endereços proxy.

Onde posso encontrar os arquivos de log?

Consulte Active Directory Sync Utility logging locations.

Nota

Se você precisar abrir um caso de suporte, será necessário fornecer ao suporte da Sophos o máximo possível de informações dos arquivos de log.

Como a sincronização faz a correspondência entre os usuários do Active Directory e os usuários existentes?

A correspondência dos usuários do Active Directory é feita por Login de Domínio (Domain/user) ou por endereço de e-mail (usando mail).

Exemplo de logon de domínio. Exemplo de endereço de e-mail.

Se houver uma correspondência, os dados do usuário do Sophos Central Admin serão atualizados ou substituídos pelos dados no Active Directory. O ícone de usuário muda do ícone de usuário do Sophos Central Admin Ícone de usuário do Sophos Central. para o ícone de usuário do Active Directory ícone de usuário do Active Directory..

Criamos um novo usuário se o endereço de e-mail ou o usuário do Sophos Central Admin for diferente.

Se necessário, você pode atualizar os logins de usuário no Sophos Central Admin. Por exemplo, você pode editar os detalhes do login associado a um dispositivo. Consulte How to assign or remove an existing login for a user.

Você pode ver as contas correspondentes antes de sincronizar. Clique em Visualizar e Sincronizar... para fazer isso.

Opção Visualizar e Sincronizar...

Se houver uma correspondência, você a verá na guia Usuários a serem modificados.

Se não houver correspondência, você verá o usuário na guia Usuários a serem adicionados. Você pode optar por rejeitar as alterações.

Para obter informações sobre como resolver problemas de vinculação entre usuários do Sophos Central Admin e do Microsoft Entra ID, consulte Why are some Azure AD synced users not linked to a device-created user and show as duplicates.

O que acontece se eu remover um usuário no Active Directory?

A sincronização também pode fazer com que o usuário seja removido do Sophos Central. Isso depende da função dele.

Não removemos automaticamente um usuário se ele tiver uma função de administrador do Sophos Central, como Administrador, Super Admin ou Personalizado, ou se ele tiver um dispositivo ou login associado. Você ainda vê o usuário na página Pessoas, mas o ícone dele muda do ícone de usuário sincronizado do AD ícone de usuário do Active Directory. para um ícone de usuário regular do Sophos Central Ícone de usuário do Sophos Central..

No entanto, se um usuário tiver a função Usuário, ou não tiver um dispositivo associado ou login, nós o removeremos automaticamente.

Por que as alterações no Active Directory não são refletidas no Sophos Central Admin?

Nós não removemos automaticamente um usuário que tem uma função de administrador no Sophos Central Admin e que também é um usuário do Active Directory. Isso também se aplica a alterações de endereço de e-mail primário para usuários com uma função do Sophos Central Admin.

Para remover um usuário com uma função de administrador (depois que ele tiver sido removido no Active Directory) ou alterar o endereço de e-mail associado, será necessário rebaixar esse usuário (no Sophos Central Admin) e remover sua função de administrador. Na próxima vez que você sincronizar com o Active Directory, removeremos a conta dele ou atualizaremos seu e-mail conforme apropriado. Se você atualizou o endereço de e-mail do usuário, poderá atribuir-lhe uma função de administrador.

Por que o nome de um usuário mudou após a sincronização?

Isso pode acontecer quando um usuário recebe um login de dispositivo de um usuário diferente. Isso significa que um registro de usuário no Active Directory tem os logins de dispositivo para duas pessoas diferentes.

Por exemplo, o usuário A tem logins de dispositivo para userA/domain e userB/domain. O usuário B tem um login de dispositivo para userB/domain.

Sincronizamos o usuário A primeiro e associamos os dois logins do dispositivo ao usuário A. Quando o processo de sincronização atinge o usuário B e tenta criar o usuário, ele encontra o login do dispositivo do usuário B no usuário A. Isso corresponde o usuário B com o usuário A. Então, alteramos o nome do usuário A para usuário B.

Para corrigir isso, siga este procedimento:

  1. Localize o usuário no Sophos Central Admin.
  2. Verifique seus logins e remova os que não pertençam a ele.
  3. Sincronize.
Por que não consigo atribuir uma função a um usuário gerenciado do Active Directory?

Isso normalmente acontece se houver usuários duplicados. Para corrigir o problema, faça o seguinte:

  1. Và para Pessoas > Gerenciar usuários e grupos > Usuários no Sophos Central Admin.
  2. Procure o endereço de e-mail primário do usuário.

    • Se você receber mais de um resultado para o usuário, vá para a etapa 3.
    • Se você tiver apenas um usuário, vá para a etapa 7.
  3. Determine a qual das contas de usuário duplicadas você gostaria de atribuir uma função.

  4. Clique em cada um dos usuários duplicados aos quais você não deseja atribuir uma função e faça o seguinte:

    1. Clique em Editar logins.
    2. Anote as credenciais de login do usuário.
    3. Remova todas as credenciais de login associadas do usuário.
    4. Clique em Salvar.
  5. Clique no usuário ao qual deseja atribuir uma função e faça o seguinte:

    1. Clique em Editar logins.
    2. Adicione todas as credenciais que você removeu dos usuários duplicados.
    3. Clique em Salvar.
  6. Atribua a função ao usuário. Confirme se você consegue salvar e se o usuário recebe o e-mail de configuração.

  7. Se você continuar a receber um erro dizendo que o usuário não pode ser editado ou salvo, isso geralmente significa que o endereço de e-mail já foi usado no Sophos Central. Para liberar o endereço de e-mail para que você possa usá-lo novamente, siga as etapas em Unable to modify a user's role.

Por que os usuários estão vinculados a grupos dos quais não são membros?

Mostramos grupos aninhados do Active Directory como grupos vinculados na área Grupos da página do usuário no Sophos Central Admin.

Na captura de tela a seguir, você vê quatro grupos para o usuário no Sophos Central Admin.

Exemplo de grupos aninhados no Sophos Central Admin.

O usuário é membro direto de apenas um grupo. Os outros três grupos são grupos aninhados vinculados ao usuário. O usuário não é membro desses grupos vinculados.

Grupos aninhados do Active Directory vinculados a um usuário.

Por que o número de membros do grupo Usuários do Domínio não corresponde ao Active Directory?

Consulte Failure to create a group or reflect the correct number of users.

Por que o Mac não é associado a um usuário sincronizado?

O Active Directory Synchronization Setup importa nomes de login como [NetBIOSDomainName]\[User]. Um Mac relata o nome de usuário como [MacComputerName]\[User]. Como resultado, o Mac não se associa ao usuário sincronizado e um novo usuário é criado com base no nome de login [MacComputerName]\[User].

Para mapear o Mac para o usuário do Sophos Central Admin, você pode deletar o usuário gerado automaticamente ([MacComputerName]\[User]) e, em seguida, mapear o login, por exemplo, [MacComputerName]\[User] para o usuário criado do AD Sync.

Você pode substituir essas informações localmente. Consulte How to enable domain overrides for reported users.