Aprovisionamiento de cuentas de usuario de Active Directory

En este artículo, se muestra cómo configurar el aprovisionamiento de usuarios y grupos entre Active Directory y tu cuenta de Cloud Identity o Google Workspace con Google Cloud Directory Sync (GCDS).

A fin de seguir esta guía, debes tener un usuario de Active Directory con permiso para administrar usuarios y grupos en Active Directory. Además, si aún no tienes una cuenta de Cloud Identity o Google Workspace, necesitarás acceso de administrador a tu zona DNS para verificar los dominios. Si ya tienes una cuenta de Cloud Identity o de Google Workspace, asegúrate de que tu usuario tenga privilegios de administrador avanzado.

Objetivos

  • Instalar GCDS y conectarlo a Active Directory, Cloud Identity o Google Workspace.
  • Configurar GCDS para aprovisionar usuarios y, de manera opcional, grupos a Google Cloud.
  • Registra una tarea programada para el aprovisionamiento continuo.

Costos

Si usas la edición gratuita de Cloud Identity, en esta guía no se usará ningún componente facturable de Google Cloud.

Antes de comenzar

Planifica la implementación de GCDS

Decide dónde implementar GCDS

GCDS puede aprovisionar usuarios y grupos de un directorio LDAP a Cloud Identity o Google Workspace. GCDS actúa como intermediario entre el servidor LDAP y Cloud Identity o Google Workspace y consulta el directorio LDAP a fin de recuperar la información necesaria del directorio y usa la API de directorio para agregar, modificar o borrar usuarios en la cuenta de Cloud Identity o Google Workspace.

Debido a que los servicios de dominio de Active Directory se basan en LDAP, GCDS es ideal para implementar el aprovisionamiento de usuarios entre Active Directory y Cloud Identity o Google Workspace.

Cuando conectas una infraestructura local de Active Directory con Google Cloud, puedes ejecutar GCDS de forma local o en una máquina virtual de Compute Engine en Google Cloud. En la mayoría de los casos, es mejor ejecutar GCDS de forma local:

  • Debido a que la información que administra Active Directory incluye información de identificación personal y, por lo general, se considera confidencial, es posible que no quieras que se acceda a Active Directory desde el exterior de la red local.
  • De forma predeterminada, Active Directory usa LDAP sin encriptar. Si accedes a Active Directory de forma remota desde Google Cloud, debes usar la comunicación encriptada. Si bien puedes encriptar la conexión mediante LDAP(s) o Cloud VPN, esto aumenta la complejidad de la configuración.
  • La comunicación de GCDS con Cloud Identity o Google Workspace se realiza a través de HTTPS y requiere pocos cambios, o ninguno, en la configuración de tu firewall.

Puedes ejecutar GCDS en Windows o Linux. Si bien es posible implementar GCDS en el controlador de dominio, es mejor ejecutarlo en una máquina distinta. Esta máquina debe satisfacer los requisitos del sistema y tener acceso LDAP a Active Directory. Aunque no es un requisito para que la máquina se una al dominio o ejecute Windows, en esta guía, se da por hecho que Cloud Directory Sync se ejecuta en una máquina con Windows unida al dominio.

Para facilitar la configuración del aprovisionamiento, GCDS incluye una interfaz gráfica de usuario (GUI) llamada Administrador de configuración. Si el servidor en el que quieres ejecutar GCDS tiene una experiencia de computadora de escritorio, puedes ejecutar el Administrador de configuración en el propio servidor. De lo contrario, debes ejecutar el Administrador de configuración de manera local y, luego, copiar el archivo de configuración resultante en el servidor, en el cual lo podrás usar a fin de ejecutar GCDS. En esta guía, se supone que ejecutas el Administrador de configuración en un servidor con una GUI.

Decide dónde recuperar datos

GCDS usa LDAP para interactuar con Active Directory y recuperar información sobre usuarios y grupos. Para hacer posible esta interacción, GCDS requiere que proporciones un nombre de host y un puerto en la configuración. En un entorno pequeño de Active Directory que solo ejecuta un único servidor de catálogo global, no es un problema proporcionar un nombre de host y un puerto, ya que puedes señalar GCDS directamente al servidor de catálogo global.

En un entorno más complejo que ejecuta servidores de catálogo global redundantes, no se hará uso de la redundancia si se apunta GCDS a un solo servidor, por lo que no se recomienda. Aunque es posible configurar un balanceador de cargas que distribuye consultas LDAP a través de múltiples servidores de catálogo global y realizar un seguimiento de los servidores que pueden no estar disponibles temporalmente, es preferible usar el mecanismo del Localizador de CC para ubicar los servidores de forma dinámica.

De forma predeterminada, GCDS requiere que especifiques de forma explícita el extremo de un servidor LDAP y no es compatible con el mecanismo del Localizador de CC. En esta guía, complementas GCDS con una secuencia de comandos de PowerShell pequeña que interactúa con el mecanismo del localizador de controles de dominio para que no tengas que configurar de manera estática los extremos de los servidores del catálogo global.

Prepara tu cuenta de Cloud Identity o Google Workspace

Crea un usuario para GCDS

Para permitir que GCDS interactúe con la API de Directory y la API de contactos compartidos con el dominio de Cloud Identity y Google Workspace, la aplicación necesita una cuenta de usuario que tenga privilegios administrativos.

Cuando te registras en Cloud Identity o Google Workspace, ya creaste un usuario de administrador avanzado. Aunque podrías usar este usuario para GCDS, es preferible crear un usuario independiente que Cloud Directory Sync usará de forma exclusiva:

  1. Abre la Consola del administrador y accede con el usuario del administrador avanzado que creaste cuando te registraste en Cloud Identity o Google Workspace.
  2. En el menú, haz clic en Directorio > Usuarios y, luego haz clic en Agregar usuario nuevo a fin de crear un usuario.
  3. Proporciona un nombre y una dirección de correo electrónico adecuados, como los que se muestran a continuación:

    1. Nombre: Google Cloud
    2. Apellido: Directory Sync
    3. Dirección de correo electrónico principal: cloud-directory-sync

    Conserva el dominio principal en la dirección de correo electrónico, incluso si el dominio no corresponde al bosque desde el que realizas el aprovisionamiento.

  4. Asegúrate de que la función Automatically generate a new password este establecida en Inhabilitada e ingresa una contraseña.

  5. Asegúrate de que la función Solicitar un cambio de contraseña en el siguiente inicio de sesión esté configurada como Inhabilitada.

  6. Haz clic en Agregar usuario nuevo.

  7. Haga clic en Listo.

Para permitir que GCDS cree, enumere y borre cuentas de usuario y grupos, el usuario necesitará privilegios adicionales. Además, es recomendable eximir el usuario del inicio de sesión único, de lo contrario, es posible que no puedas volver a autorizar GCDS cuando experimentes problemas con el inicio de sesión único. Ambos se pueden lograr mediante la conversión del usuario en un administrador avanzado:

  1. Ubica el usuario recién creado en la lista y ábrelo.
  2. En Funciones y privilegios de administrador, haz clic en Asignar funciones.
  3. Habilita la función de Administrador avanzado.
  4. Haz clic en Guardar.

Configura el aprovisionamiento de usuarios

Crea un usuario de Active Directory para GCDS

Para habilitar GCDS a fin de recuperar información sobre usuarios y grupos de Active Directory, GCDS también requiere un usuario de dominio con acceso suficiente. En lugar de volver a usar un usuario de Windows existente con este objetivo, debes crear un usuario dedicado para GCDS:

  1. Abre el complemento Active Directory Users and Computers.
  2. Navega hasta el dominio y la unidad organizativa en la que deseas crear el usuario. Si existen varios dominios en tu bosque, crea el usuario en el mismo dominio que la máquina de GCDS.
  3. Haz clic con el botón derecho en el panel de la ventana derecha y selecciona Nuevo > Usuario.
  4. Proporciona un nombre y una dirección de correo electrónico adecuados, como los que se muestran a continuación:
    1. Nombre: Google Cloud
    2. Apellido: Directory Sync
    3. Nombre de inicio de sesión del usuariogcds
    4. Nombre de inicio de sesión del usuario (anterior a Windows 2000)gcds
  5. Haz clic en Siguiente.
  6. Proporciona una contraseña que satisfaga tu política de contraseñas.
  7. Borra El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
  8. Selecciona Contraseña nunca vence.
  9. Haz clic en Siguiente y, luego, en Finalizar.

También puedes crear un usuario dedicado si ejecutas un comando de Windows PowerShell. A continuación, se muestra un ejemplo:

New-ADUser -Name "Google Cloud Directory Sync" -GivenName "Google Cloud" -Surname "Directory Sync" -SamAccountName "gcds" -UserPrincipalName "gcds@domain.com" -Path "OU=Users,DC=domain,DC=com" -AccountPassword(Read-Host -AsSecureString "Type password for User") -Enabled $true

Ahora tienes los requisitos previos para instalar GCDS.

Instala GCDS

En la máquina en la que ejecutarás GCDS, descarga y ejecuta el instalador de GCDS. En lugar de usar un navegador a fin de realizar la descarga, puedes usar el comando siguiente de PowerShell para descargar el instalador:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Una vez que se completa la descarga, puedes iniciar el asistente de instalación si ejecutas el comando siguiente:

.\dirsync-win64.exe

Si ya instalaste GCDS, puedes actualizar GCDS para asegurarte de usar la versión más reciente.

Crea una carpeta para la configuración de GCDS

GCDS almacena su configuración en un archivo XML. Debido a que esta configuración incluye un token de actualización de OAuth que GCDS usa a fin de autenticarse con Google, asegúrate de proteger de forma debida la carpeta que se usa para la configuración.

Además, dado que GCDS no requiere acceso a recursos locales que no sean de esta carpeta, debes configurar GCDS para que se ejecute como un usuario restringido, LocalService:

  1. En la máquina que instalaste GCDS, accede con un usuario de dominio o administrador local.
  2. Abre una consola de PowerShell que tenga privilegios administrativos.
  3. Ejecuta los siguientes comandos para crear una carpeta con el nombre $Env:ProgramData\gcds a fin de almacenar la configuración y aplicar una lista de control de acceso (LCA) para que solo GCDS y los administradores tengan acceso:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
    New-Item -ItemType directory -Path  $gcdsDataFolder
    &icacls "$gcdsDataFolder" /inheritance:r
    &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
    
  4. Para determinar la ubicación de la carpeta ProgramData, ejecuta el comando Write-Host $Env:ProgramData. En las versiones en inglés de Windows, esta ruta suele ser c:\ProgramData. Necesitarás esta ruta de acceso más adelante.

Conéctate a Google

Ahora, usarás el Administrador de configuración para preparar la configuración de GCDS. En estos pasos, se supone que ejecutas el Administrador de configuración en el mismo servidor en el que planeas ejecutar GCDS.

Si usas una máquina diferente para ejecutar el Administrador de configuración, asegúrate de copiar el archivo de configuración en el servidor GCDS posteriormente. Además, ten en cuenta que tal vez no sea posible probar la configuración en una máquina diferente.

  1. Inicia el Administrador de configuración. Puedes encontrar el Administrador de configuración en el menú de Inicio de Windows en Google Cloud Directory Sync (Google Cloud Directory Sync) > Administrador de configuración (Configuration Manager).
  2. Haz clic en la Google Domain Configuration > Configuración de conexión (Connection Settings).

    Google Domain Configuration > Configuración de conexión.

  3. Autoriza GCDS y configura los dominios

  4. En el menú, haz clic en Archivo > Guardar como

  5. En el cuadro de diálogo del archivo, ingresa PROGRAM_DATA\gcds\config.xml como nombre de archivo. Reemplaza PROGRAM_DATA por la ruta de acceso a la carpeta ProgramData que muestra el comando de PowerShell cuando lo ejecutaste antes.

  6. Haz clic en Guardar y, a continuación, haz clic en Aceptar.

Conéctate a Active Directory

El paso siguiente es configurar GCDS para que se conecte a Active Directory:

  1. En el administrador de configuración, haz clic en LDAP Configuration > Configuración de conexión
  2. Establece la configuración de conexión d LDAP:
    1. Server type: Selecciona MS Active Directory
    2. Tipo de conexión: Selecciona LDAP estándar o LDAP+SSL
    3. Nombre del host: ingresa el nombre de un servidor de catálogo global. Esta configuración solo se usa para la prueba. Más adelante, automatizarás el descubrimiento del servidor de catálogo global.
    4. Puerto: 3268 (catálogo global) o 3269 (catálogo global sobre SSL). El uso de un servidor de catálogo global en lugar de un controlador de dominio ayuda a garantizar que puedas aprovisionar a los usuarios de todos los dominios de tu bosque de Active Directory. Además, garantiza la autenticación después de la actualización de Microsoft ADV190023.
    5. Authentication Type: Simple
    6. Usuario autorizado: Ingresa el nombre principal del usuario (UPN) del usuario de dominio que creaste antes: gcds@UPN_SUFFIX_DOMAIN. Reemplaza UPN_SUFFIX_DOMAIN por el dominio de sufijo UPN adecuado para el usuario. Como alternativa, también puedes especificar el usuario mediante la sintaxis NETBIOS_DOMAIN_NAME\gcds.
    7. Base DN: Deja este campo vacío para asegurarte de que las búsquedas se realicen en todos los dominios del bosque.
  3. Para verificar la configuración, haz clic en Probar conexión. Si falla la conexión, comprueba que hayas especificado el nombre de host de un servidor de catálogo global, y que el nombre de usuario y la contraseña sean correctos. Ignora que el mensaje de error te pide que especifiques un DN base.
  4. Haz clic en Cerrar.
  5. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Decide qué aprovisionar

Ahora que conectaste correctamente GCDS, puedes decidir qué elementos aprovisionar:

  1. En el Administrador de configuración, haz clic en Configuración general.
  2. Asegúrate de que esté seleccionado Cuentas de usuario.
  3. Si deseas aprovisionar grupos, asegúrate de que Grupos esté seleccionado. De lo contrario, desmarca la casilla de verificación.
  4. La sincronización de unidades organizativas está fuera del alcance de esta guía, por lo que debes anular la selección de Unidades organizativas.
  5. Deja Perfiles del usuario y Esquemas personalizados sin seleccionar.
  6. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Aprovisiona usuarios

Configura asignaciones de usuarios

El siguiente paso es configurar cómo asignar usuarios entre Active Directory:

  1. En el administrador de configuración, haz clic en User Accounts > Additional User Attributes.
  2. Haz clic en Use defaults para propagar de forma automática los atributos de Nombre y Apellido con givenName y sn, respectivamente.

La configuración restante depende de si tienes la intención de usar la UPN o la dirección de correo electrónico para asignar Active Directory a los usuarios en Cloud Identity o Google Workspace, y de si necesitas aplicar sustituciones de nombre de dominio. Si no estás seguro de cuál es la mejor opción para tu caso, consulta el artículo sobre cómo extender la administración de identidades de Active Directory a Google Cloud.

UPN

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. Haz clic en Usar valores predeterminados.
  3. Cambia el atributo de dirección de correo electrónico a userPrincipalName
  4. Haz clic en proxyAddresses > Quitar si deseas no sincronizar la dirección de alias (opcional).
  5. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  6. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla coincide con todos los usuarios no inhabilitados, pero ignora las cuentas de servicio administradas y de computadora.

    3. Base DN: Déjalo en blanco para buscar en todos los dominios del bosque

  7. Haz clic en OK para crear la regla.

  8. Haz clic en la pestaña Exclusion Rules y, a continuación, haz clic en Add Exclusion Rule. A fin de asegurarte de que el usuario que usa GCDS para leer desde Active Directory no se aprovisione en Cloud Identity ni en Google Workspace, ingresa la siguiente configuración:

    1. Exclude type: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Concordancia exacta
    3. Regla de exclusión: gcds@UPN_SUFFIX_DOMAIN. Reemplaza UPN_SUFFIX_DOMAIN por el dominio de sufijo UPN que usaste en Active Directory
  9. Haz clic en Aceptar.

  10. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

UPN: Sustitución de dominio

  1. En el Administrador de configuración, haz clic en la pestaña Cuentas de usuario > User Attributes.
  2. Establece la siguiente configuración:
    1. Email Address Attribute: userPrincipalName
    2. Atributo del identificador de usuario: objectGUID
  3. Haz clic en Aceptar para crear la regla.
  4. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  5. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla coincide con todos los usuarios no inhabilitados, pero ignora las cuentas de servicio administradas y de computadora.

    3. Base DN: Déjalo en blanco para buscar en todos los dominios del bosque.

  6. Haz clic en Aceptar para crear la regla.

  7. Haz clic en la pestaña Exclusion Rules y, a continuación, haz clic en Add Exclusion Rule. A fin de asegurarte de que el usuario que usa GCDS para leer desde Active Directory no se aprovisione en Cloud Identity ni en Google Workspace, ingresa la siguiente configuración:

    1. Exclude type: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Concordancia exacta
    3. Regla de exclusión: gcds@PRIMARY_DOMAIN. Reemplaza PRIMARY_DOMAIN con el dominio principal de tu cuenta de Cloud Identity o de Google Workspace.
  8. Haz clic en Aceptar.

  9. Haz clic en Configuración del dominio de Google > Configuración de conexión y selecciona Reemplazar nombres de dominio en las direcciones de correo electrónico LDAP con este nombre de dominio.

  10. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. Establece la siguiente configuración:
    1. Email Address Attribute: mail
    2. Atributo del identificador de usuario: objectGUID
  3. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  4. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla hace coincidir todos los usuarios no inhabilitados con una dirección de correo electrónico que no está vacía, pero ignora las cuentas de servicio administradas y de computadora

    3. Base DN: Déjalo en blanco para buscar en todos los dominios del bosque

  5. Haz clic en Aceptar para crear la regla.

  6. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Email: domain substitution

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. Establece la siguiente configuración:
    1. Email Address Attribute: mail
    2. Atributo del identificador de usuario: objectGUID
  3. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  4. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla hace coincidir todos los usuarios no inhabilitados con una dirección de correo electrónico que no está vacía, pero ignora las cuentas de servicio administradas y de computadora

    3. Base DN: Déjalo en blanco para buscar en todos los dominios del bosque

  5. Haz clic en OK para crear la regla.

  6. Haz clic en Configuración del dominio de Google > Configuración de conexión y selecciona Reemplazar nombres de dominio en las direcciones de correo electrónico LDAP con este nombre de dominio.

  7. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Para obtener más detalles sobre cómo asignar atributos de usuario, consulta Cómo configurar la sincronización con el Administrador de configuración.

Política de eliminación

Hasta ahora, la configuración se centró en agregar y actualizar usuarios en Cloud Identity o Google Workspace. Sin embargo, también es importante que los usuarios inhabilitados o borrados en Active Directory se suspendan o borren de Cloud Identity o de Google Workspace.

Como parte del proceso de aprovisionamiento, GCDS genera una lista de usuarios en Cloud Identity o Google Workspace que no tienen coincidencias correspondientes en los resultados de las consultas de Active Directory LDAP. Debido a que la consulta LDAP incorpora la cláusula (!(userAccountControl:1.2.840.113556.1.4.803:=2), se incluirá en esta lista a cualquier usuario inhabilitado o borrado en Active Directory desde que se realizó el último aprovisionamiento. El comportamiento predeterminado de GCDS es borrar a estos usuarios en Cloud Identity o Google Workspace, pero puedes personalizarlo, para ello, sigue estos pasos:

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. En Google Domain Users Deletion/Suspension Policy, asegúrate de que la casilla de verificación Don't suspend or delete Google domain admins not found in LDAP esté marcada. Esta configuración garantiza que GCDS no suspenderá ni borrará el usuario administrador avanzado que usaste para configurar tu cuenta de Cloud Identity o de Google Workspace.
  3. De manera opcional, cambia la política de eliminación para los usuarios que no sean administradores.
  4. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Si usas varias instancias distintas de GCDS para aprovisionar dominios o bosques diferentes en una sola cuenta de Cloud Identity o de Google Workspace, asegúrate de que las diferentes instancias de GCDS no interfieran entre sí. De forma predeterminada, los usuarios de Cloud Identity o Google Workspace que se aprovisionaron desde una fuente diferente se identificarán por error como borrados en Active Directory. A fin de evitar esta situación, puedes configurar GCDS para ignorar a todos los usuarios que están fuera del alcance del dominio o bosque desde el que aprovisionas o mueves a todos estos usuarios en una sola unidad organizativa (UO) y, luego, excluye esa UO.

UPN

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$

      Reemplaza UPN_SUFFIX_DOMAIN por tu dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

UPN: Sustitución de dominio

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Reemplaza SUBSTITUTION_DOMAIN por el dominio que usas para reemplazar el dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en OK para crear la regla.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!MX_DOMAIN).*)$

      Reemplaza MX_DOMAIN por el nombre de dominio que usas en las direcciones de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Email: domain substitution

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Reemplaza SUBSTITUTION_DOMAIN por el dominio que usas para reemplazar el dominio de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en OK para crear la regla.

Para obtener más detalles sobre la configuración de eliminación y suspensión, consulta Obtén más información sobre las opciones del Administrador de configuración.

Aprovisionamiento de grupos

En el paso siguiente, se debe configurar cómo asignar grupos entre Active Directory y Cloud Identity o Google Workspace. Este proceso varía en función de si planeas asignar grupos por nombre de pila o por dirección de correo electrónico.

Configura asignaciones de grupos por nombre de pila

Primero, debes identificar los tipos de grupos de seguridad que planeas aprovisionar y, luego, crear una consulta LDAP adecuada. La siguiente tabla contiene consultas comunes que puedes usar.

Tipo Consulta LDAP
Grupos locales de dominio (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Grupos globales (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Grupos universales (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Grupos globales y universales (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))

La consulta para grupos globales también abarca grupos definidos por Active Directory, como los controladores de dominio. Puedes filtrar estos grupos mediante la restricción de la búsqueda por unidad organizativa (ou).

La configuración restante depende de si planeas usar UPN o una dirección de correo electrónico para asignar Active Directory a los usuarios en Cloud Identity o Google Workspace.

UPN

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Add Search Rule para agregar una regla que capture usuarios y membresías de grupo.
  3. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la consulta LDAP.
    3. Base DN: Déjalo vacío para consultar grupos en todos los dominios del bosque
  4. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: cn
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: userPrincipalName
  5. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco
  6. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  7. Haz clic en la pestaña Prefijo-sufijo.
  8. En el cuadro Dirección de correo electrónico del grupo, ingresa la configuración siguiente:

    1. Sufijo: @PRIMARY_DOMAIN, en el que se reemplaza @PRIMARY_DOMAIN por el dominio principal de tu cuenta de Cloud Identity o Google Workspace. Aunque la configuración parece redundante porque GCDS agregará el dominio de forma automática, debes especificar la configuración de forma explícita para evitar que varias instancias de Google Cloud Directory Sync borren los miembros del grupo que no habían agregado.

      Ejemplo: @example.com

    2. Haz clic en Aceptar.

  9. Haz clic en Agregar regla de búsqueda para agregar otra regla que capture las membresías de los grupos anidados.

  10. Establece la configuración siguiente:

    1. Alcance: subárbol
    2. Regla: ingresa la misma consulta LDAP.
    3. Base DN: deja vacío para consultar grupos en todos los dominios del bosque.
  11. En el cuadro Grupos, ingresa la configuración siguiente:

    1. Group Email Address Attribute: cn
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: cn
  12. En el cuadro Miembros, ingresa la configuración siguiente:

    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco
  13. En el cuadro Propietarios, ingresa la configuración siguiente:

    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  14. Haz clic en la pestaña Prefijo-sufijo.

  15. En el cuadro Dirección de correo electrónico del grupo, ingresa la configuración siguiente:

    • Sufijo: @PRIMARY_DOMAIN, en el cual reemplazas @PRIMARY_DOMAIN por el dominio principal de tu cuenta de Cloud Identity o Google Workspace.
  16. Haz clic en Aceptar.

  17. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco.

  18. En la ventana del símbolo del sistema, haz clic en Ir a la pestaña de simulación solo si la configuración está lista para probarla. De lo contrario, haz clic en Omitir simulación.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Add Search Rule para agregar una regla que capture las membresías de ambos grupos.
  3. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la consulta LDAP.
    3. Base DN: Déjalo vacío para consultar grupos en todos los dominios del bosque
  4. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: cn
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: mail
  5. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco
  6. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  7. Haz clic en Aceptar.
  8. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

La misma configuración también se aplica si usaste la sustitución de dominio cuando asignaste usuarios.

Configura asignaciones de grupo por dirección de correo electrónico

Primero, debes identificar los tipos de grupos de seguridad que planeas aprovisionar y, luego, crear una consulta LDAP adecuada. La siguiente tabla contiene consultas comunes que puedes usar.

Tipo Consulta LDAP
Grupos locales de dominio con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Grupos globales con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Grupos universales con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Grupos globales y universales con dirección de correo electrónico (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))

La configuración restante depende de si planeas usar UPN o una dirección de correo electrónico para asignar Active Directory a los usuarios en Cloud Identity o Google Workspace.

UPN

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Add Search Rule para agregar una regla que capture las membresías de ambos grupos.
  3. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la consulta LDAP.
    3. Base DN: Déjalo vacío para consultar grupos en todos los dominios del bosque
  4. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: mail
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: userPrincipalName
  5. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco
  6. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  7. Haz clic en Aceptar.
  8. Haz clic en Add Search Rule para agregar otra regla que capture las membresías de los grupos anidados.
  9. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la misma consulta LDAP.
    3. Base DN: Déjalo vacío para consultar grupos en todos los dominios del bosque
  10. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: mail
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: mail
  11. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco
  12. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  13. Haz clic en Aceptar.
  14. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco.
  15. En la ventana del símbolo del sistema, haz clic en Ir a la pestaña de simulación solo si la configuración está lista para probarla. De lo contrario, haz clic en Omitir simulación.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Usar valores predeterminados para agregar un par de reglas predeterminadas.
  3. Haz clic en el primer ícono de edición de reglas.
  4. En el cuadro Regla, cambia la consulta LDAP predeterminada.
  5. Haz clic en Aceptar.
  6. Haz clic en el segundo ícono de regla cruzada para quitar esta regla.
  7. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco.
  8. En la ventana del símbolo del sistema, haz clic en Ir a la pestaña de simulación solo si la configuración está lista para probarla. De lo contrario, haz clic en Omitir simulación.

La misma configuración también se aplica si usaste la sustitución de dominio cuando asignaste usuarios.

Política de eliminación

GCDS controla la eliminación de grupos de manera similar a la de usuarios. Si usas varias instancias distintas de GCDS para aprovisionar dominios o bosques diferentes en una sola cuenta de Cloud Identity o de Google Workspace, asegúrate de que las diferentes instancias de GCDS no interfieran entre sí.

De forma predeterminada, el usuario de Cloud Identity o Google Workspace que se aprovisionó desde una fuente diferente se identificará por error en Active Directory como borrado. A fin de evitar esta situación, debes configurar GCDS para ignorar a todos los usuarios que están fuera del alcance del dominio o bosque desde el que aprovisionas.

UPN

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$

      Reemplaza UPN_SUFFIX_DOMAIN por tu dominio de sufijo UPN, como en el siguiente ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

UPN: sustitución de dominio

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Reemplaza SUBSTITUTION_DOMAIN por el dominio que usas para reemplazar el dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en OK para crear la regla.

Correo electrónico

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!MX_DOMAIN).*)$

      Reemplaza MX_DOMAIN por el nombre de dominio que usas en las direcciones de correo electrónico, como en el siguiente ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico: sustitución de dominio

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Reemplaza SUBSTITUTION_DOMAIN por el dominio que usas para reemplazar el dominio de correo electrónico, como en el ejemplo siguiente:

      .*@((?!corp.example.com).*)$
    4. Haz clic en OK para crear la regla.

Para obtener más información sobre la configuración de grupo, consulta Más información sobre las opciones del Administrador de configuración.

Configura el registro y las notificaciones

Mantener a los usuarios sincronizados requiere que ejecutes GCDS de manera programada. Para poder realizar un seguimiento de la actividad de GCDS y posibles problemas, puedes configurar Google Cloud Directory Sync a fin de escribir un archivo de registro:

  1. En el Administrador de configuración, haz clic en Registro.
  2. Configura el Nombre del archivo como PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log. Reemplaza PROGRAM_DATA por la ruta de acceso a la carpeta ProgramData que muestra el comando de PowerShell cuando lo ejecutaste antes.
  3. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Además del registro, GCDS puede enviar notificaciones por correo electrónico. A fin de activar este servicio, haz clic en Notificaciones y proporciona información de conexión para tu servidor de correo.

Simula el aprovisionamiento de usuarios

Completaste la configuración de GCDS. Para verificar que la configuración funcione según lo previsto, te recomendamos que simules una ejecución de aprovisionamiento de los usuarios. Durante la simulación, GCDS no realizará ningún cambio en Cloud Identity, sino que informará qué cambios realizaría durante una ejecución de aprovisionamiento normal.

  1. En el Administrador de configuración, haz clic en Sincronizar.
  2. En la parte inferior de la pantalla, selecciona Clear cache y, luego, en Simulate sync.
  3. Una vez que se complete el proceso, revisa la sección Cambios propuestos del registro que se muestra en la mitad inferior del diálogo y verifica que se proponga crear o modificar al menos un usuario.

Aprovisionamiento inicial de usuarios

Ahora puedes activar el aprovisionamiento inicial de usuarios:

Advertencias

  • Activar el aprovisionamiento de usuarios hará cambios permanentes en los usuarios y grupos de tu cuenta de Cloud Identity o Google Workspace.
  • Si tienes que aprovisionar una gran cantidad de usuarios, considera cambiar de forma temporal la consulta LDAP para que coincida solo con un subconjunto de estos usuarios. Mediante este subconjunto de usuarios, puedes probar el proceso y ajustar la configuración si es necesario. Una vez que valides los resultados de forma correcta, vuelve a cambiar la consulta LDAP y aprovisiona los usuarios restantes.
  • Evita modificar o borrar una gran cantidad de usuarios de manera constante cuando realices pruebas, ya que estas acciones pueden marcarse como comportamiento abusivo.

Activa una ejecución de aprovisionamiento de la siguiente manera:

  1. En el Administrador de configuración, haz clic en Sincronizar.
  2. En la parte inferior de la pantalla, selecciona Clear cache y, luego, haz clic en Sync & apply changes.

    Aparecerá un cuadro de diálogo que muestra el estado.

  3. Una vez que se complete el proceso, verifica el registro que se muestra en la mitad inferior del diálogo:

    1. En Successful user changes, verifica que se haya creado, al menos, un usuario.
    2. En Errores, verifica que no haya fallas.

Si eliges aprovisionar grupos, el resto del registro puede contener varias advertencias que, por lo general, pueden ignorarse de manera segura.

Programación

Para garantizar que los cambios realizados en Active Directory se propaguen a Cloud Identity, configura una tarea programada que active una ejecución de aprovisionamiento cada hora:

  1. Abre una consola de PowerShell como administrador.
  2. Comprueba si el módulo de PowerShell de Active Directory está disponible en el sistema:

    import-module ActiveDirectory

    Si el comando falla, descarga e instala las herramientas de administración remota del servidor y vuelve a intentarlo.

  3. En Bloc de notas, crea un archivo, copia el siguiente contenido en él y guárdalo en %ProgramData%\gcds\sync.ps1. Cuando hayas terminado, cierra el archivo.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True, Position=1)]
        [string]$config,
    
        [Parameter(Mandatory=$True, Position=1)]
        [string]$gcdsInstallationDir
    )
    
    import-module ActiveDirectory
    
    # Stop on error.
    $ErrorActionPreference ="stop"
    
    # Ensure it's an absolute path.
    $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
    
    # Discover closest GC in current domain.
    $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
    Write-Host ("Using Global Catalog server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
    
    # Load XML and replace the endpoint.
    $dom = [xml](Get-Content $rawConfigPath)
    $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
    
    # Tweak the endpoint.
    $ldapConfigNode.hostname = [string]$dc.HostName
    $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
    $ldapConfigNode.port = "3268"   # Always use Global Catalog port
    
    # Tweak the tsv files location
    $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
    $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
    $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
    
    # Save resulting config.
    $targetConfigPath = $rawConfigPath + ".autodiscover"
    
    $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
    $dom.Save($writer)
    $writer.Close()
    
    # Start provisioning.
    Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
        -Wait -ArgumentList "--apply --loglevel INFO --config ""$targetConfigPath"""
    
  4. El Administrador de configuración creó una clave secreta para encriptar las credenciales en el archivo de configuración. Para asegurarte de que GCDS aún pueda leer la configuración cuando se ejecute como una tarea programada, ejecuta los siguientes comandos para copiar esa clave secreta de tu propio perfil al perfil de NT AUTHORITY\LOCAL SERVICE:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
    Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
        -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
    

    Si los comandos fallan, asegúrate de haber iniciado la consola de PowerShell como administrador.

  5. Crea una tarea programada mediante la ejecución de los siguientes comandos. La tarea programada se activará cada una hora e invocará la secuencia de comandos sync.ps1 como NT AUTHORITY\LOCAL SERVICE.

    $taskName = "Synchronize to Cloud Identity"
    $gcdsDir = "$Env:ProgramData\gcds"
    
    $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
      -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
      -WorkingDirectory $gcdsDir
    $trigger = New-ScheduledTaskTrigger `
      -Once `
      -At (Get-Date) `
      -RepetitionInterval (New-TimeSpan -Minutes 60) `
      -RepetitionDuration (New-TimeSpan -Days (365 * 20))
    
    $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
    Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
    
    $task = Get-ScheduledTask -TaskName "$taskName"
    $task.Settings.ExecutionTimeLimit = "PT12H"
    Set-ScheduledTask $task
    

Para obtener más información, consulta Cómo programar la sincronización automática.

Prueba el aprovisionamiento de usuarios

Completaste la instalación y la configuración de GCDS, y la tarea programada activará un aprovisionamiento cada hora.

Para activar una ejecución de aprovisionamiento de forma manual, cambia a la consola de PowerShell y ejecuta el siguiente comando:

$taskName = "Synchronize to Cloud Identity"
Start-ScheduledTask $taskName

Realice una limpieza

Para quitar GCDS, sigue estos pasos:

  1. Abre el Panel de control de Windows y haz clic en Programas > Desinstalar un programa.
  2. Selecciona Google Cloud Directory Sync y haz clic en Desinstalar/Cambiar para iniciar el asistente de desinstalación. Luego, sigue las instrucciones del asistente.
  3. Abre una consola de PowerShell y ejecuta el siguiente comando para quitar la tarea programada:

    $taskName = "Synchronize to Cloud Identity"
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
    
  4. Ejecuta el siguiente comando para borrar la configuración y los archivos de registro:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
    Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
    

¿Qué sigue?