Federación de Google Cloud con Active Directory: Aprovisionamiento de cuentas de usuario

En este artículo, se muestra cómo configurar el aprovisionamiento de usuarios y grupos entre Active Directory y tu cuenta de Cloud Identity o G Suite mediante Google Cloud Directory Sync (GCDS).

A fin de seguir esta guía, debes tener un usuario de Active Directory con permiso para administrar usuarios y grupos en Active Directory. Además, si aún no tienes una cuenta de Cloud Identity o G Suite, necesitarás acceso de administrador a la zona DNS para verificar los dominios. Si ya tienes una cuenta de Cloud Identity o G Suite, asegúrate de que el usuario tenga privilegios de administrador avanzado.

Objetivos

  • Instala Cloud Directory Sync y conéctalo a Active Directory y Cloud Identity o G Suite.
  • Configura Cloud Directory Sync para aprovisionar usuarios y, de forma opcional, grupos a Google Cloud.
  • Registra una tarea programada para el aprovisionamiento continuo.

Costos

Si usas la edición gratuita de Cloud Identity, en esta guía no se usará ningún componente facturable de Google Cloud.

Antes de comenzar

Planifica la implementación de Cloud Directory Sync

Decide dónde implementar Cloud Directory Sync

Cloud Directory Sync puede aprovisionar usuarios y grupos de un directorio LDAP a Cloud Identity o G Suite. Cloud Directory Sync actúa como intermediario entre el servidor LDAP y Cloud Identity o G Suite: consulta el directorio LDAP a fin de recuperar la información necesaria del directorio y usa la API de directorio para agregar, modificar o borrar usuarios en la cuenta de Cloud Identity o G Suite.

Debido a que los servicios de dominio de Active Directory se basan en LDAP, Cloud Directory Sync es ideal para implementar el aprovisionamiento de usuarios entre Active Directory y Cloud Identity o G Suite.

Cuando conectas una infraestructura local de Active Directory a Google Cloud, puedes ejecutar Cloud Directory Sync de manera local o en una máquina virtual de Compute Engine en Google Cloud. En la mayoría de los casos, es mejor ejecutar Cloud Directory Sync de forma local:

  • Debido a que la información que administra Active Directory incluye información de identificación personal y, por lo general, se considera confidencial, es posible que no quieras que se acceda a Active Directory desde el exterior de la red local.
  • De forma predeterminada, Active Directory usa LDAP sin encriptar. Si accedes a Active Directory de forma remota desde Google Cloud, debes usar la comunicación encriptada. Si bien puedes encriptar la conexión mediante LDAP/S o Cloud VPN, esto aumenta la complejidad de la configuración.
  • La comunicación de Cloud Directory Sync a Cloud Identity o G Suite se realiza a través de HTTPS y requiere pocos cambios, o ninguno, en la configuración del firewall.

Puedes ejecutar Cloud Directory Sync en Windows o Linux. Aunque es posible implementar Cloud Directory Sync en el controlador de dominio, es mejor ejecutar Cloud Directory Sync en una máquina distinta. Esta máquina debe satisfacer los requisitos del sistema y tener acceso LDAP a Active Directory. Aunque no es un requisito para que la máquina se una al dominio o ejecute Windows, en esta guía, se da por hecho que Cloud Directory Sync se ejecuta en una máquina con Windows unida al dominio.

Para facilitar la configuración del aprovisionamiento, Cloud Directory Sync incluye una interfaz gráfica de usuario (GUI) llamada Administrador de configuración. Si el servidor en el que quieres ejecutar Cloud Directory Sync tiene una experiencia de computadora de escritorio, puedes ejecutar el Administrador de configuración en el propio servidor. De lo contrario, deberás ejecutar el Administrador de configuración de forma local y, luego, copiar el archivo de configuración resultante en el servidor, donde puedes usarlo para ejecutar Cloud Directory Sync. En esta guía, se supone que ejecutas el Administrador de configuración en un servidor con una GUI.

Decide dónde recuperar datos

Cloud Directory Sync usa LDAP para interactuar con Active Directory y recuperar información sobre usuarios y grupos. Para hacer posible esta interacción, Cloud Directory Sync necesita que proporciones un nombre de host y un puerto en la configuración. En un entorno pequeño de Active Directory que solo ejecuta un único servidor de catálogo global, no es un problema proporcionar un nombre de host y un puerto, ya que puedes apuntar Cloud Directory Sync directamente al servidor de catálogo global.

En un entorno más complejo que ejecuta servidores de catálogo global redundantes, no se hará uso de la redundancia si se apunta Cloud Directory Sync a un solo servidor, por lo que no se recomienda. Aunque es posible configurar un balanceador de cargas que distribuye consultas LDAP a través de múltiples servidores de catálogo global y realizar un seguimiento de los servidores que pueden no estar disponibles temporalmente, es preferible usar el mecanismo del Localizador de CC para ubicar los servidores de forma dinámica.

Por sí mismo, Cloud Directory Sync no admite, por el momento, el uso del mecanismo del Localizador de CC. En esta guía, debes complementar Cloud Directory Sync con una pequeña secuencia de comandos de PowerShell que usa el mecanismo del localizador de CC para que no tengas que configurar de manera estática los extremos de los servidores del catálogo global.

Prepara la cuenta de Cloud Identity o G Suite

Crea un usuario para Cloud Directory Sync

Para permitir que Cloud Directory Sync interactúe con la API de Cloud Identity y G Suite, la aplicación necesita una cuenta de usuario que tenga privilegios administrativos.

Cuando te registraste en Cloud Identity o G Suite, ya creaste un usuario administrador avanzado. Aunque podrías usar este usuario para Cloud Directory Sync, es preferible crear un usuario diferente que Cloud Directory Sync use de forma exclusiva:

  1. Abre la Consola del administrador y accede mediante el usuario administrador avanzado que creaste cuando te registraste en Cloud Identity o G Suite.
  2. En el menú, haz clic en Directorio > Usuarios y, luego haz clic en Add new user a fin de crear un usuario.
  3. Proporciona un nombre y una dirección de correo electrónico adecuados, como los que se muestran a continuación:

    1. Nombre: Google Cloud
    2. Apellido: Directory Sync
    3. Dirección de correo electrónico principal: cloud-directory-sync

    Conserva el dominio principal en la dirección de correo electrónico, incluso si el dominio no corresponde al bosque desde el que realizas el aprovisionamiento.

  4. Asegúrate de que la función Automatically generate a new password este establecida en Inhabilitada e ingresa una contraseña.

  5. Asegúrate de que la función Solicitar un cambio de contraseña en el siguiente inicio de sesión esté configurada como Inhabilitada.

  6. Haz clic en Agregar usuario nuevo.

  7. Haz clic en Listo.

Para permitir que Cloud Directory Sync cree, enumere y borre cuentas de usuario y grupos, el usuario necesita privilegios adicionales. Además, se recomienda eximir al usuario del inicio de sesión único; de lo contrario, es posible que no puedas volver a autorizar Cloud Directory Sync cuando tengas problemas de inicio de sesión único. Ambos se pueden lograr mediante la conversión del usuario en un administrador avanzado:

  1. Ubica el usuario recién creado en la lista y ábrelo.
  2. En Funciones y privilegios de administrador, haz clic en Asignar funciones.
  3. Habilita la función de Administrador avanzado.
  4. Haz clic en Guardar.

Configura el aprovisionamiento de usuarios

Crea un usuario de Active Directory para Cloud Directory Sync

Para habilitar Cloud Directory Sync a fin de recuperar información sobre usuarios y grupos de Active Directory, Cloud Directory Sync también requiere un usuario de dominio con acceso suficiente. En lugar de volver a usar un usuario de Windows existente con este objetivo, crea un usuario dedicado para Cloud Directory Sync:

  1. Abre el complemento Active Directory Users and Computers.
  2. Navega hasta el dominio y la unidad organizativa en la que deseas crear el usuario. Si existen varios dominios en tu bosque, crea el usuario en el mismo dominio que la máquina de Cloud Directory Sync.
  3. Haz clic con el botón derecho en el panel de la ventana derecha y selecciona Nuevo > Usuario.
  4. Proporciona un nombre y una dirección de correo electrónico adecuados, como los que se muestran a continuación:
    1. Nombre: Google Cloud
    2. Apellido: Directory Sync
    3. Nombre de inicio de sesión del usuariogcds
    4. Nombre de inicio de sesión del usuario (anterior a Windows 2000)gcds
  5. Haz clic en Siguiente.
  6. Proporciona una contraseña que satisfaga tu política de contraseñas.
  7. Borra El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
  8. Selecciona Contraseña nunca vence.
  9. Haz clic en Siguiente y, luego, en Finalizar.

Ahora tienes los requisitos previos para instalar Cloud Directory Sync.

Instala Cloud Directory Sync

En la máquina en la que ejecutarás Cloud Directory Sync, descarga y ejecuta el instalador de Cloud Directory Sync. En lugar de usar un navegador a fin de realizar la descarga, puedes usar el comando siguiente de PowerShell para descargar el instalador:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Una vez que se completa la descarga, puedes iniciar el asistente de instalación si ejecutas el comando siguiente:

.\dirsync-win64.exe

Crea una carpeta para la configuración de Cloud Directory Sync

Cloud Directory Sync almacena tu configuración en un archivo XML. Debido a que esta configuración incluye un token de actualización de OAuth que Cloud Directory Sync usa a fin de autenticarse con Google, asegúrate de proteger de forma debida la carpeta que se usa para la configuración.

Además, dado que Cloud Directory Sync no requiere acceso a recursos locales que no sean de esta carpeta, debes configurar Cloud Directory Sync para que se ejecute como un usuario restringido, LocalService:

  1. En la máquina en la que instalaste Cloud Directory Sync, accede mediante un dominio o un usuario administrador local.
  2. Abre una consola de PowerShell que tenga privilegios administrativos.
  3. Ejecuta los siguientes comandos con el objetivo de crear una carpeta con el nombre $Env:ProgramData\gcds a fin de almacenar la configuración y aplicar una lista de control de acceso (LCA) para que solo Cloud Directory Sync y los administradores tengan acceso:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
    New-Item -ItemType directory -Path  $gcdsDataFolder
    &icacls "$gcdsDataFolder" /inheritance:r
    &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
    
  4. Para determinar la ubicación de la carpeta ProgramData, ejecuta el comando Write-Host $Env:ProgramData. En las versiones en inglés de Windows, esta ruta suele ser c:\ProgramData. Necesitarás esta ruta más adelante.

Conéctate a Google

Ahora puedes usar el Administrador de configuración para preparar la configuración de Cloud Directory Sync. En estos pasos, se supone que ejecutas el Administrador de configuración en el mismo servidor en el que planeas ejecutar Cloud Directory Sync.

Si usas una máquina diferente para ejecutar el Administrador de configuración, asegúrate de copiar el archivo de configuración en el servidor de Cloud Directory Sync posteriormente. Además, ten en cuenta que tal vez no sea posible probar la configuración en una máquina diferente.

  1. Inicia el Administrador de configuración. Puedes encontrar el Administrador de configuración en el menú de Inicio de Windows en Google Cloud Directory Sync (Google Cloud Directory Sync) > Administrador de configuración (Configuration Manager).
  2. Haz clic en la Google Domain Configuration > Configuración de conexión (Connection Settings).

    Google Domain Configuration > Configuración de conexión.

  3. En Primary Domain Name, ingresa el dominio principal de la cuenta de Cloud Identity o G Suite. Cuando aprovisionas desde varios bosques distintos hasta una sola cuenta de Cloud Identity o G Suite, el nombre de dominio principal puede corresponder a un bosque diferente al que configuras.

  4. Haz clic en Authorize Now.

  5. En el cuadro de diálogo, haz clic en Acceder (Sign-in), con el que se abre una ventana del navegador que te solicita acceso. Si usas la configuración segura y predeterminada de Internet Explorer, es posible que veas varios mensajes de advertencia. Si es así, puedes copiar la URL a tu computadora local y abrirla URL.

    Autoriza GCDS

  6. Cuando aparezca la página de Acceso con Google, accede con el usuario de Google cloud-directory-sync que acabas de crear y la contraseña que especificaste para este usuario.

    Si ya configuraste la cuenta de Cloud Identity o G Suite para usar el inicio de sesión único (SSO), es posible que se te redireccione de forma automática a la página de acceso de Servicios de federación de Active Directory (AD FS), que no te permite acceder mediante el usuario cloud-directory-sync. En este caso, haz clic en Acceder (Sign-in) de nuevo y, luego, presiona Escape para detener la carga de la página. En la barra de direcciones del navegador, quita el parámetro &hd=[PRIMARY_DOMAIN-name] de la URL y, luego, presiona Intro. Este paso hace que aparezca la página de Acceso con Google.

  7. Debido a que es la primera vez que usas la cuenta de usuario, se te solicitará que aceptes el Acuerdo de Cloud Identity. Si aceptas los términos, haz clic en Aceptar.

  8. En la siguiente pantalla, se te solicita que autorices al usuario cloud-directory-sync a acceder y modificar los datos en la cuenta de Cloud Identity o G Suite. Haz clic en Permitir (Allow) para confirmar.

    Autoriza la sincronización de directorios en la nube con los datos de la cuenta de Cloud Identity o G Suite.

  9. Cierra la ventana del navegador cuando veas el mensaje Received verification code.

  10. En el menú, haz clic en Archivo > Guardar como.

  11. En el cuadro de diálogo del archivo, ingresa [PROGRAM_DATA]\gcds\config.xml como nombre de archivo. Reemplaza [PROGRAM_DATA] por la ruta a la carpeta ProgramData que mostró el comando de PowerShell cuando lo ejecutaste antes.

  12. Haz clic en Guardar y, a continuación, haz clic en Aceptar.

Conéctate a Active Directory

El paso siguiente es configurar Cloud Directory Sync para conectarse a Active Directory:

  1. En el administrador de configuración, haz clic en LDAP Configuration > Configuración de conexión.
  2. Establece la siguiente configuración:
    1. Server type: Selecciona MS Active Directory
    2. Tipo de conexión: Selecciona LDAP estándar.
    3. Nombre del host: ingresa el nombre de un servidor de catálogo global. Esta configuración solo se usa para la prueba. Más adelante, automatizarás el descubrimiento del servidor de catálogo global.
    4. Puerto3268. Usar un servidor de catálogo global en lugar de un controlador de dominio ayuda a garantizar que puedas aprovisionar usuarios de todos los dominios del bosque de Active Directory
    5. Authentication Type: Simple
    6. Usuario autorizado: Ingresa el nombre principal del usuario (UPN) del usuario de dominio que creaste antes: gcds@[UPN_SUFFIX_DOMAIN]. Reemplaza [UPN_SUFFIX_DOMAIN] por el dominio de sufijo UPN adecuado para el usuario. Como alternativa, también puedes especificar el usuario mediante la sintaxis [NETBIOS-DOMAIN-NAME]\gcds
    7. Base DN: Deja este campo vacío para asegurarte de que las búsquedas se realicen en todos los dominios del bosque.
  3. Para verificar la configuración, haz clic en Probar conexión. Si falla la conexión, comprueba que hayas especificado el nombre de host de un servidor de catálogo global, y que el nombre de usuario y la contraseña sean correctos. Ignora que el mensaje de error te pide que especifiques un DN base.
  4. Haz clic en Cerrar.
  5. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Decide qué aprovisionar

Ahora que conectaste Cloud Directory Sync de forma correcta, puedes decidir qué elementos aprovisionar:

  1. En el Administrador de configuración, haz clic en Configuración general.
  2. Asegúrate de que esté seleccionado Cuentas de usuario.
  3. Si deseas aprovisionar grupos, asegúrate de que Grupos esté seleccionado. De lo contrario, desmarca la casilla de verificación.
  4. La sincronización de unidades organizativas está fuera del alcance de esta guía, por lo que debes anular la selección de Unidades organizativas.
  5. Deja Perfiles del usuario y Esquemas personalizados sin seleccionar.
  6. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Aprovisiona usuarios

Configura asignaciones de usuarios

El siguiente paso es configurar cómo asignar usuarios entre Active Directory y Cloud Identity o G Suite:

  1. En el administrador de configuración, haz clic en Cuentas de usuario > Additional User Attributes.
  2. Haz clic en Use defaults para propagar de forma automática los atributos de Nombre y Apellido con givenName y sn, respectivamente.

La configuración restante depende de si deseas usar el UPN o la dirección de correo electrónico para asignar Active Directory a los usuarios en Cloud Identity o G Suite y si necesitas aplicar sustituciones de nombres de dominio. Si no estás seguro de cuál es la mejor opción para tu caso, consulta el artículo sobre cómo extender la administración de identidades de Active Directory a Google Cloud.

UPN

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. Establece la siguiente configuración:
    1. Email Address Attribute: userPrincipalName
    2. Atributo del identificador de usuario: objectGUID
  3. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  4. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla coincide con todos los usuarios no inhabilitados, pero ignora las cuentas de servicio administradas y de computadora.

    3. Base DN: Déjalo en blanco para buscar en todos los dominios del bosque

  5. Haz clic en Aceptar para crear la regla.

  6. Haz clic en la pestaña Exclusion Rules y, a continuación, haz clic en Add Exclusion Rule. A fin de asegurarte de que el usuario que Cloud Directory Sync usa para leer desde Active Directory no esté aprovisionado en Cloud Identity o G Suite, ingresa la siguiente configuración:

    1. Exclude type: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Concordancia exacta
    3. Regla de exclusión: gcds@[UPN_SUFFIX_DOMAIN]. Reemplaza [UPN_SUFFIX_DOMAIN] por el dominio de sufijo UPN que usaste en Active Directory
  7. Haz clic en Aceptar.

  8. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

UPN: Sustitución de dominio

  1. En el Administrador de configuración, haz clic en la pestaña Cuentas de usuario > User Attributes.
  2. Establece la siguiente configuración:
    1. Email Address Attribute: userPrincipalName
    2. Atributo del identificador de usuario: objectGUID
  3. Haz clic en Aceptar para crear la regla.
  4. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  5. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla coincide con todos los usuarios no inhabilitados, pero ignora las cuentas de servicio administradas y de computadora.

    3. Base DN: Déjalo en blanco para buscar en todos los dominios del bosque.

  6. Haz clic en Aceptar para crear la regla.

  7. Haz clic en la pestaña Exclusion Rules y, a continuación, haz clic en Add Exclusion Rule. A fin de asegurarte de que el usuario que Cloud Directory Sync usa para leer desde Active Directory no esté aprovisionado en Cloud Identity o G Suite, ingresa la siguiente configuración:

    1. Exclude type: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Concordancia exacta
    3. Regla de exclusión: gcds@[PRIMARY_DOMAIN]. Reemplaza [PRIMARY_DOMAIN] por el dominio principal de tu cuenta de Cloud Identity o G Suite.
  8. Haz clic en Aceptar.

  9. Haz clic en Configuración del dominio de Google > Configuración de conexión y selecciona Reemplazar nombres de dominio en las direcciones de correo electrónico LDAP con este nombre de dominio.

  10. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. Establece la siguiente configuración:
    1. Email Address Attribute: mail
    2. Atributo del identificador de usuario: objectGUID
  3. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  4. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla hace coincidir todos los usuarios no inhabilitados con una dirección de correo electrónico que no está vacía, pero ignora las cuentas de servicio administradas y de computadora

    3. Base DN: Déjalo en blanco para buscar en todos los dominios del bosque

  5. Haz clic en Aceptar para crear la regla.

  6. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Email: domain substitution

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. Establece la siguiente configuración:
    1. Email Address Attribute: mail
    2. Atributo del identificador de usuario: objectGUID
  3. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  4. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla hace coincidir todos los usuarios no inhabilitados con una dirección de correo electrónico que no está vacía, pero ignora las cuentas de servicio administradas y de computadora

    3. Base DN: Déjalo en blanco para buscar en todos los dominios del bosque

  5. Haz clic en Aceptar para crear la regla.

  6. Haz clic en Configuración del dominio de Google > Configuración de conexión y selecciona Reemplazar nombres de dominio en las direcciones de correo electrónico LDAP con este nombre de dominio.

  7. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Política de eliminación

Hasta ahora, la configuración se centró en agregar y actualizar usuarios en Cloud Identity o G Suite. Sin embargo, también es importante que se suspendan o se borren en Cloud Identity o G Suite aquellos usuarios que están inhabilitados o borrados en Active Directory.

Como parte del proceso de aprovisionamiento, Cloud Directory Sync genera una lista de usuarios en Cloud Identity o G Suite que no tienen coincidencias correspondientes en los resultados de la consulta LDAP de Active Directory. Debido a que la consulta LDAP incorpora la cláusula (!(userAccountControl:1.2.840.113556.1.4.803:=2), se incluirá en esta lista a cualquier usuario inhabilitado o borrado en Active Directory desde que se realizó el último aprovisionamiento. El comportamiento predeterminado de Cloud Directory Sync es borrar estos usuarios en Cloud Identity o G Suite, pero puedes personalizarlo:

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. En Google Domain Users Deletion/Suspension Policy, asegúrate de que la casilla de verificación Don't suspend or delete Google domain admins not found in LDAP esté marcada. Esta configuración garantiza que Cloud Directory Sync no suspenderá ni borrará al usuario administrador avanzado que usaste para configurar la cuenta de Cloud Identity o G Suite.
  3. De manera opcional, cambia la política de eliminación para los usuarios que no sean administradores.
  4. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Si usas varias instancias distintas de Cloud Directory Sync para aprovisionar diferentes dominios o bosques en una sola cuenta de Cloud Identity o G Suite, asegúrate de que las distintas instancias de Cloud Directory Sync no interfieran entre sí. De forma predeterminada, los usuarios de Cloud Identity o G Suite que se aprovisionaron desde una fuente diferente se identificarán por error como borrados en Active Directory. A fin de evitar esta situación, configura Cloud Directory Sync para que ignore a todos los usuarios que están fuera del permiso del dominio o bosque desde el que realizas el aprovisionamiento.

UPN

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?![UPN_SUFFIX_DOMAIN]).*)$

      Reemplaza [UPN_SUFFIX_DOMAIN] por tu dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

UPN: Sustitución de dominio

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Reemplaza [SUBSTITUTION_DOMAIN] por el dominio que usas para reemplazar el dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?![MX_DOMAIN]).*)$

      Reemplaza [MX_DOMAIN] por el nombre de dominio que usas en las direcciones de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Email: domain substitution

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Reemplaza [SUBSTITUTION_DOMAIN] por el dominio que usas para reemplazar el dominio de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Aprovisionamiento de grupos

El siguiente paso es configurar cómo asignar grupos entre Active Directory y Cloud Identity o G Suite. Este proceso varía en función de si planeas asignar grupos por nombre de pila o por dirección de correo electrónico.

Configura asignaciones de grupos por nombre de pila

Primero, debes identificar los tipos de grupos de seguridad que planeas aprovisionar y, luego, crear una consulta LDAP adecuada. La siguiente tabla contiene consultas comunes que puedes usar.

Tipo Consulta LDAP
Grupos locales de dominio (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Grupos globales (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Grupos universales (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Grupos globales y universales (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))

La consulta para grupos globales también abarca grupos definidos por Active Directory, como los controladores de dominio. Puedes filtrar estos grupos mediante la restricción de la búsqueda por unidad organizacional (ou).

La configuración restante depende de si planeas usar UPN o una dirección de correo electrónico para asignar Active Directory a los usuarios en Cloud Identity o G Suite.

UPN

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Add Search Rule para agregar una regla que capture usuarios y membresías de grupo.
  3. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la consulta LDAP.
    3. Base DN: Déjalo vacío para consultar grupos en todos los dominios del bosque
  4. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: cn
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: userPrincipalName
  5. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco
  6. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  7. Haz clic en la pestaña Prefix-Suffix.
  8. En el cuadro Group Email Address, ingresa la siguiente configuración:
    1. Sufijo: @[PRIMARY_DOMAIN], en el que debes reemplazar [PRIMARY_DOMAIN] por el dominio principal de la cuenta de Cloud Identity o G Suite. Aunque la configuración parece redundante porque Cloud Directory Sync agregará el dominio de forma automática, debes especificar la configuración de forma explícita para evitar que varias instancias de Cloud Directory Sync borren los miembros del grupo que no habían agregado. Ejemplo: @example.com
    2. Haz clic en Aceptar.
  9. Haz clic en Add Search Rule para agregar otra regla que capture las membresías de los grupos anidados.
  10. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la misma consulta LDAP.
    3. Base DN: Déjalo vacío para consultar grupos en todos los dominios del bosque
  11. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: cn
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: cn
  12. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco
  13. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  14. Haz clic en la pestaña Prefix-Suffix.
  15. En el cuadro Group Email Address, ingresa la siguiente configuración:
    • Sufijo: @[PRIMARY_DOMAIN], en el que debes reemplazar [PRIMARY_DOMAIN] por el dominio principal de tu cuenta de Cloud Identity o G Suite
  16. Haz clic en Aceptar.
  17. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Add Search Rule para agregar una regla que capture las membresías de ambos grupos.
  3. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la consulta LDAP.
    3. Base DN: Déjalo vacío para consultar grupos en todos los dominios del bosque
  4. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: cn
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: mail
  5. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco
  6. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  7. Haz clic en Aceptar.
  8. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

La misma configuración también se aplica si usaste la sustitución de dominio cuando asignaste usuarios.

Configura asignaciones de grupo por dirección de correo electrónico

Primero, debes identificar los tipos de grupos de seguridad que planeas aprovisionar y, luego, crear una consulta LDAP adecuada. La siguiente tabla contiene consultas comunes que puedes usar.

Tipo Consulta LDAP
Grupos locales de dominio con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Grupos globales con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Grupos universales con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Grupos globales y universales con dirección de correo electrónico (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))

La configuración restante depende de si planeas usar UPN o una dirección de correo electrónico para asignar Active Directory a los usuarios en Cloud Identity o G Suite.

UPN

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Add Search Rule para agregar una regla que capture las membresías de ambos grupos.
  3. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la consulta LDAP.
    3. Base DN: Déjalo vacío para consultar grupos en todos los dominios del bosque
  4. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: mail
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: userPrincipalName
  5. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco
  6. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  7. Haz clic en Aceptar.
  8. Haz clic en Add Search Rule para agregar otra regla que capture las membresías de los grupos anidados.
  9. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la misma consulta LDAP.
    3. Base DN: Déjalo vacío para consultar grupos en todos los dominios del bosque
  10. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: mail
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: mail
  11. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco
  12. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  13. Haz clic en Aceptar.
  14. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Add Search Rule para agregar una regla que capture las membresías de ambos grupos.
  3. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la consulta LDAP.
    3. Base DN: Déjalo vacío para consultar grupos en todos los dominios del bosque
  4. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: mail
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: mail
  5. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco
  6. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  7. Haz clic en Aceptar.
  8. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

La misma configuración también se aplica si usaste la sustitución de dominio cuando asignaste usuarios.

Política de eliminación

Cloud Directory Sync controla la operación de eliminación de grupos de manera similar a la de usuarios. Si usas varias instancias distintas de Cloud Directory Sync para aprovisionar diferentes dominios o bosques en una sola cuenta de Cloud Identity o G Suite, asegúrate de que las distintas instancias de Cloud Directory Sync no interfieran entre sí.

De forma predeterminada, el usuario de Cloud Identity o G Suite que se aprovisionó desde una fuente diferente se identificará por error en Active Directory como borrado. A fin de evitar esta situación, configura Cloud Directory Sync para que ignore a todos los usuarios que están fuera del permiso del dominio o bosque desde el que realizas el aprovisionamiento.

UPN

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?![UPN_SUFFIX_DOMAIN]).*)$

      Reemplaza [UPN_SUFFIX_DOMAIN] por tu dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

UPN: sustitución de dominio

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Reemplaza [SUBSTITUTION_DOMAIN] por el dominio que usas para reemplazar el dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?![MX_DOMAIN]).*)$

      Reemplaza [MX_DOMAIN] por el nombre de dominio que usas en las direcciones de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico: sustitución de dominio

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Reemplaza [SUBSTITUTION_DOMAIN] por el dominio que usas para reemplazar el dominio de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$
    4. Haz clic en Aceptar para crear la regla.

Configura el registro y las notificaciones

Para mantener la sincronización de los usuarios, debes ejecutar Cloud Directory Sync de forma programada. A fin de realizar un seguimiento de la actividad de Cloud Directory Sync y sus posibles problemas, puedes configurar Cloud Directory Sync para escribir un archivo de registro:

  1. En el Administrador de configuración, haz clic en Registro.
  2. Configura el Nombre del archivo como [PROGRAM_DATA]\gcds\gcds_sync.log. Reemplaza [PROGRAM_DATA] por la ruta a la carpeta ProgramData que mostró el comando de PowerShell cuando lo ejecutaste antes.
  3. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Además del registro, Cloud Directory Sync puede enviar notificaciones por correo electrónico. A fin de activar este servicio, haz clic en Notificaciones y proporciona información de conexión para tu servidor de correo.

Simula el aprovisionamiento de usuarios

Completaste la configuración de Cloud Directory Sync. Para verificar que la configuración funcione según lo previsto, puedes simular una ejecución de aprovisionamiento de usuarios. Durante la simulación, GCDS no realizará ningún cambio en Cloud Identity, sino que informará qué cambios realizaría durante una ejecución de aprovisionamiento normal.

  1. En el Administrador de configuración, haz clic en Sincronizar.
  2. En la parte inferior de la pantalla, selecciona Clear cache y, luego, en Simulate sync.
  3. Una vez que se complete el proceso, revisa la sección Cambios propuestos del registro que se muestra en la mitad inferior del diálogo y verifica que se proponga crear o modificar al menos un usuario.

Aprovisionamiento inicial de usuarios

Ahora puedes activar el aprovisionamiento inicial de usuarios:

Advertencias

  • Activar el aprovisionamiento de usuarios hará cambios permanentes en los usuarios y grupos de tu cuenta de Cloud Identity o G Suite.
  • Si tienes que aprovisionar una gran cantidad de usuarios, considera cambiar de forma temporal la consulta LDAP para que coincida solo con un subconjunto de estos usuarios. Mediante este subconjunto de usuarios, puedes probar el proceso y ajustar la configuración si es necesario. Una vez que valides los resultados de forma correcta, vuelve a cambiar la consulta LDAP y aprovisiona los usuarios restantes.
  • Evita modificar o borrar una gran cantidad de usuarios de manera constante cuando realices pruebas, ya que estas acciones pueden marcarse como comportamiento abusivo.

Activa una ejecución de aprovisionamiento de la siguiente manera:

  1. En el Administrador de configuración, haz clic en Sincronizar.
  2. En la parte inferior de la pantalla, selecciona Clear cache y, luego, haz clic en Sync & apply changes.

    Aparecerá un cuadro de diálogo que muestra el estado.

  3. Una vez que se complete el proceso, verifica el registro que se muestra en la mitad inferior del diálogo:

    1. En Successful user changes, verifica que se haya creado, al menos, un usuario.
    2. En Errores, verifica que no haya fallas.

Si eliges aprovisionar grupos, el resto del registro puede contener varias advertencias que, por lo general, pueden ignorarse de manera segura.

Programación

Para garantizar que los cambios realizados en Active Directory se propaguen a Cloud Identity, configura una tarea programada que active una ejecución de aprovisionamiento cada hora:

  1. Abre una consola de PowerShell como administrador.
  2. Comprueba si el módulo de PowerShell de Active Directory está disponible en el sistema:

    import-module ActiveDirectory

    Si el comando falla, descarga e instala las herramientas de administración remota del servidor y vuelve a intentarlo.

  3. En Bloc de notas, crea un archivo, copia el siguiente contenido en él y guárdalo en $Env:ProgramData\gcds\sync.ps1. Cuando hayas terminado, cierra el archivo.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True, Position=1)]
        [string]$config,
    
        [Parameter(Mandatory=$True, Position=1)]
        [string]$gcdsInstallationDir
    )
    
    import-module ActiveDirectory
    
    # Stop on error.
    $ErrorActionPreference ="stop"
    
    # Ensure it's an absolute path.
    $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
    
    # Discover closest GC in current domain.
    $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
    Write-Host ("Using Global Catalog server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
    
    # Load XML and replace the endpoint.
    $dom = [xml](Get-Content $rawConfigPath)
    $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
    
    # Tweak the endpoint.
    $ldapConfigNode.hostname = [string]$dc.HostName
    $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
    $ldapConfigNode.port = "3268"   # Always use Global Catalog port
    
    # Tweak the tsv files location
    $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
    $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
    $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
    
    # Save resulting config.
    $targetConfigPath = $rawConfigPath + ".autodiscover"
    
    $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
    $dom.Save($writer)
    $writer.Close()
    
    # Start provisioning.
    Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
        -Wait -ArgumentList "--apply --loglevel INFO --config ""$targetConfigPath"""
    
  4. El Administrador de configuración creó una clave secreta para encriptar las credenciales en el archivo de configuración. Para asegurarte de que Cloud Directory Sync aún pueda leer la configuración cuando se ejecuta como una tarea programada, ejecuta los siguientes comandos a fin de copiar esa clave secreta de tu propio perfil al perfil de NT AUTHORITY\LOCAL SERVICE:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force
    
    Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
        -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
    

    Si los comandos fallan, asegúrate de haber iniciado la consola de PowerShell como administrador.

  5. Crea una tarea programada mediante la ejecución de los siguientes comandos. La tarea programada se activará cada una hora e invocará la secuencia de comandos sync.ps1 como NT AUTHORITY\LOCAL SERVICE.

    $taskName = "Synchronize to Cloud Identity"
    $gcdsDir = "$Env:ProgramData\gcds"
    
    $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
      -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
      -WorkingDirectory $gcdsDir
    $trigger = New-ScheduledTaskTrigger `
      -Once `
      -At (Get-Date) `
      -RepetitionInterval (New-TimeSpan -Minutes 60) `
      -RepetitionDuration (New-TimeSpan -Days (365 * 20))
    
    $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
    Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
    
    $task = Get-ScheduledTask -TaskName "$taskName"
    $task.Settings.ExecutionTimeLimit = "PT12H"
    Set-ScheduledTask $task
    

Prueba el aprovisionamiento de usuarios

Completaste la instalación y la configuración de Cloud Directory Sync, y la tarea programada activará un aprovisionamiento cada hora.

Para activar una ejecución de aprovisionamiento de forma manual, cambia a la consola de PowerShell y ejecuta el siguiente comando:

$taskName = "Synchronize to Cloud Identity"
Start-ScheduledTask $taskName

Realiza una limpieza

Si deseas quitar Cloud Directory Sync sigue estos pasos:

  1. Abre el Panel de control de Windows y haz clic en Programas > Desinstalar un programa.
  2. Selecciona Google Cloud Directory Sync y haz clic en Desinstalar/Cambiar para iniciar el asistente de desinstalación. Luego, sigue las instrucciones del asistente.
  3. Abre una consola de PowerShell y ejecuta el siguiente comando para quitar la tarea programada:

    $taskName = "Synchronize to Cloud Identity"
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
    
  4. Ejecuta el siguiente comando para borrar la configuración y los archivos de registro:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
    Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
    

Próximos pasos