Federa Google Cloud con Active Directory: sincronización de cuentas de usuario

Esta guía es la segunda parte de una serie de varias secciones en las que se analiza cómo extender una solución de administración de identidades existentes basada en Active Directory a Google Cloud. En la guía, se muestra cómo configurar la sincronización de cuentas entre Active Directory y Cloud Identity mediante Google Cloud Directory Sync (GCDS).

La serie consta de estas partes:

En esta guía, se da por hecho que tienes un bosque de Active Directory y que pretendes sincronizar todos los dominios del bosque con Cloud Identity.

Si deseas seguir esta guía, debes tener acceso a una cuenta de Active Directory que tenga permiso para administrar usuarios. Además, si aún no tienes una cuenta de Cloud Identity, necesitarás acceso administrativo a tu zona DNS para verificar los dominios. Si ya tienes una cuenta, asegúrate de tener una cuenta de usuario en Cloud Identity que tenga privilegios de administrador avanzado.

Objetivos

  • Instalar Cloud Directory Sync y conectarlo a Active Directory y a Cloud Identity
  • Configurar Cloud Directory Sync para sincronizar las cuentas de usuario con Cloud Identity
  • Registrar una tarea programada para la sincronización continua con Cloud Identity

Costos

Si usas la edición gratuita de Cloud Identity, en esta guía no se usará ningún componente de Google Cloud facturable.

Antes de comenzar

Planifica la implementación de Cloud Directory Sync

Decide dónde implementar Cloud Directory Sync

Cloud Directory Sync puede sincronizar cuentas de usuario y grupos desde un directorio LDAP a Cloud Identity. En representación de un intermediario entre el servidor LDAP y Cloud Identity, Cloud Directory Sync consulta el directorio LDAP a fin de recuperar la información necesaria del directorio y usa la API del directorio para agregar, modificar o borrar cuentas en Cloud Identity.

Debido a que los servicios de dominio de Active Directory se basan en LDAP, Cloud Directory Sync es adecuado para implementar la sincronización de cuentas entre Active Directory y Cloud Identity.

Cuando conectas una infraestructura local de Active Directory a Google Cloud, puedes ejecutar Cloud Directory Sync de manera local o en una máquina virtual de Compute Engine en Google Cloud. En la mayoría de los casos, es mejor ejecutar Cloud Directory Sync de forma local:

  • Debido a que la información que administra Active Directory incluye información de identificación personal que, por lo general, se considera confidencial, es posible que no quieras que se acceda a Active Directory desde fuera de la red local.
  • De forma predeterminada, Active Directory usa LDAP sin encriptar. Si accedes a Active Directory de forma remota desde Google Cloud, debes usar la comunicación encriptada. Si bien puedes encriptar la conexión mediante LDAP/S o Cloud VPN, esto aumenta la complejidad de la configuración.
  • La comunicación de Cloud Directory Sync a Cloud Identity se realiza a través de HTTPS y requiere pocos cambios, o ninguno, en la configuración del firewall.

Puedes ejecutar Cloud Directory Sync en Windows o Linux. Aunque es posible implementar Cloud Directory Sync en el controlador de dominio, es mejor ejecutar Cloud Directory Sync en una máquina distinta. Esta máquina debe satisfacer los requisitos del sistema y tener acceso LDAP a Active Directory. Aunque no es un requisito previo para que la máquina se una al dominio o a se ejecute Windows, en esta guía, se deja por hecho que Cloud Directory Sync se ejecuta en una máquina con Windows unida al dominio.

Para ayudar a configurar la sincronización, Cloud Directory Sync incluye una interfaz de usuario gráfica (GUI) llamada Administrador de configuración. Si el servidor en el que quieres ejecutar Cloud Directory Sync tiene una experiencia de computadora de escritorio, puedes ejecutar el Administrador de configuración en el propio servidor. De lo contrario, deberás ejecutar el Administrador de configuración de manera local y, luego, copiar el archivo de configuración resultante en el servidor, en el que podrás usarlo para ejecutar la sincronización. En esta guía, se supone que ejecutas el Administrador de configuración en un servidor con una GUI.

Decide dónde recuperar datos

Cloud Directory Sync usa LDAP para interactuar con Active Directory y recuperar información sobre cuentas de usuarios y grupos. Para hacer posible esta interacción, Cloud Directory Sync necesita que proporciones un nombre de host y un puerto en la configuración. En un entorno pequeño de Active Directory que solo ejecuta un único servidor de catálogo global, no es un problema proporcionar un nombre de host y un puerto, ya que puedes apuntar Cloud Directory Sync directamente al servidor de catálogo global.

En un entorno más complejo que ejecuta servidores de catálogo global redundantes, no se hará uso de la redundancia si se apunta Cloud Directory Sync a un solo servidor, por lo que no se recomienda. Aunque es posible configurar un balanceador de cargas que distribuye consultas LDAP a través de múltiples servidores de catálogo global y realizar un seguimiento de los servidores que pueden no estar disponibles temporalmente, es preferible usar el mecanismo del Localizador de CC para ubicar los servidores de forma dinámica.

Por sí mismo, Cloud Directory Sync no admite, por el momento, el uso del mecanismo del Localizador de CC. En esta guía, debes complementar Cloud Directory Sync con una pequeña secuencia de comandos de PowerShell que usa el mecanismo del localizador de CC para que no tengas que configurar de manera estática los extremos de los servidores del catálogo global.

Configura Cloud Identity

Crea una cuenta de usuario de Cloud Identity para la sincronización

Si deseas sincronizar las cuentas, Cloud Directory Sync debe interactuar con Cloud Identity. Las operaciones de Cloud Identity, como crear, hacer listas y borrar usuarios (y en potencia grupos y unidades organizativas) requieren privilegios administrativos.

Cuando te registras en Cloud Identity, ya debes haberte creado una cuenta de administrador avanzado. Aunque podrías usar esta cuenta para Cloud Directory Sync, es preferible crear una cuenta aparte que Cloud Directory Sync use de forma exclusiva:

  1. Abre la consola del administrador y accede con la cuenta de administrador avanzado que creaste cuando te registraste en Cloud Identity.
  2. En el menú, haz clic en Directorio > Usuarios y, luego haz clic en Agregar usuario nuevo a fin de crear un usuario.
  3. Proporciona un nombre y una dirección de correo electrónico adecuados, como los siguientes:

    1. Nombre: Active Directory
    2. Apellido: Synchronizer
    3. Dirección de correo electrónico principal: ad-synchronizer

    Conserva el dominio principal en la dirección de correo electrónico, incluso si el dominio no corresponde al bosque desde el que estás sincronizando.

  4. Asegúrate de que la función Generar una contraseña nueva de forma automática este establecida en Inhabilitada y, luego, ingresa una contraseña.

  5. Asegúrate de que la función Solicitar un cambio de contraseña en el siguiente inicio de sesión esté configurada como Inhabilitada.

  6. Haz clic en Agregar usuario nuevo.

  7. Haz clic en Listo.

Si deseas habilitar Cloud Directory Sync a fin de crear, hacer listas y borrar cuentas de usuario y grupos, la cuenta necesita privilegios adicionales. Además, es recomendable eximir la cuenta del inicio de sesión único, de lo contrario, es posible que no puedas volver a autorizar Cloud Directory Sync cuando experimentes problemas de inicio de sesión único. Ambos se pueden lograr si haces que la cuenta sea de administrador avanzado:

  1. Ubica el usuario recién creado en la lista y ábrelo.
  2. En Funciones y privilegios de administrador, haz clic en Asignar funciones.
  3. Habilita la función de Administrador avanzado.
  4. Haz clic en Guardar.

Configura la sincronización de Active Directory

Crea de una cuenta de usuario de Active Directory para la sincronización

Si deseas habilitar a Cloud Directory Sync para que recupere información sobre usuarios y grupos de Active Directory, Cloud Directory Sync necesitará una cuenta de dominio con acceso suficiente. En lugar de volver a usar una cuenta de Windows existente con este propósito, debes crear una cuenta exclusiva para Cloud Directory Sync:

  1. Abre el complemento Usuarios y equipos de Active Directory.
  2. Navega hasta el dominio y la unidad organizativa en la que deseas crear el usuario. Si existen varios dominios en tu bosque, crea el usuario en el mismo dominio que la máquina de Cloud Directory Sync.
  3. Haz clic con el botón derecho en el panel de la ventana derecha y selecciona Nuevo > Usuario.
  4. Proporciona un nombre y una dirección de correo electrónico adecuados, como los que se muestran a continuación:
    1. Nombre: Google Cloud
    2. Apellido: Directory Sync
    3. Nombre de inicio de sesión del usuariogcds
    4. Nombre de inicio de sesión del usuario (anterior a Windows 2000)gcds
  5. Haz clic en Siguiente.
  6. Proporciona una contraseña que satisfaga tu política de contraseñas.
  7. Borra El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
  8. Selecciona Contraseña nunca vence.
  9. Haz clic en Siguiente y, luego, en Finalizar.

Ahora tienes los requisitos previos para instalar Cloud Directory Sync.

Instala Cloud Directory Sync

En la máquina en la que ejecutarás Cloud Directory Sync, descarga y ejecuta el instalador de Cloud Directory Sync. En lugar de usar un navegador a fin de realizar la descarga, puedes usar el comando siguiente de PowerShell para descargar el instalador:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Una vez que se completa la descarga, puedes iniciar el asistente de instalación si ejecutas el comando siguiente:

.\dirsync-win64.exe

Crea una carpeta para la configuración de Cloud Directory Sync

Cloud Directory Sync almacena tu configuración en un archivo XML. Debido a que esta configuración incluye un token de actualización de OAuth que Cloud Directory Sync usa a fin de autenticarse con Google, asegúrate de proteger de forma debida la carpeta que se usa para la configuración.

Además, ya que Cloud Directory Sync no necesita acceder a recursos locales que no sean de esta carpeta, debes configurar Cloud Directory Sync a fin de que se ejecute como una cuenta de usuario limitada, LocalService:

  1. En la máquina que instalaste Cloud Directory Sync, accede con un dominio o una cuenta de administrador local.
  2. Abre una consola de PowerShell que tenga privilegios de administrador.
  3. Ejecuta los siguientes comandos para crear una carpeta con el nombre $Env:ProgramData\gcds a fin de almacenar la configuración y aplicar una lista de control de acceso (LCA) para que solo Cloud Directory Sync y los administradores tengan acceso:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
    New-Item -ItemType directory -Path  $gcdsDataFolder
    &icacls "$gcdsDataFolder" /inheritance:r
    &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
    
  4. Para determinar la ubicación de la carpeta ProgramData, ejecuta el comando Write-Host $Env:ProgramData. En las versiones en inglés de Windows, esta ruta de acceso suele ser c:\ProgramData. Necesitarás esta ruta de acceso más tarde.

Conéctate a Google

Ahora puedes usar el Administrador de configuración para preparar la configuración de Cloud Directory Sync. En estos pasos, se supone que ejecutas el Administrador de configuración en el mismo servidor en el que planeas ejecutar Cloud Directory Sync.

Si usas una máquina diferente para ejecutar el Administrador de configuración, asegúrate de copiar el archivo de configuración en el servidor de Cloud Directory Sync posteriormente. Además, ten en cuenta que tal vez no sea posible probar la configuración en una máquina diferente.

  1. Inicia el Administrador de configuración. Puedes encontrar el Administrador de configuración en el menú de Inicio de Windows en Google Cloud Directory Sync (Google Cloud Directory Sync) > Administrador de configuración (Configuration Manager).
  2. Haz clic en la Google Domain Configuration > Connection Settings (Configuración de conexión).

    Google Domain Configuration > Connection Settings (Configuración de conexión)

  3. Para el Primary Domain Name, ingresa el dominio principal de tu cuenta de Cloud Identity. Cuando sincronizas desde varios bosques diferentes a una sola cuenta de Cloud Identity, el nombre de dominio principal podría corresponder a un bosque diferente al que configuras.

  4. Haz clic en Autorizar ahora (Authorize Now).

  5. En el cuadro de diálogo, haz clic en Acceder (Sign-in), con el que se abre una ventana del navegador que te solicita acceso. Si usas la configuración segura y predeterminada de Internet Explorer, es posible que veas varios mensajes de advertencia. Si es así, puedes copiar la URL a tu computadora local y abrir la URL allí.

    Autoriza a GCDS

  6. Cuando aparezca la página de acceso con Google, usa la Cuenta de Google ad-synchronizer nueva y la contraseña que especificaste para esta cuenta.

    Si ya configuraste la cuenta de Cloud Identity para usar el inicio de sesión único (SSO), es posible que se te redireccione de forma automática a la página de acceso de Active Directory Federation Services (AD FS), que no te permite acceder con la cuenta ad-synchronizer. En este caso, haz clic en Sign-in (Acceder) de nuevo y, luego, presiona Salir para detener la carga de la página. En la barra de direcciones del navegador, quita el parámetro &hd=[PRIMARY_DOMAIN-name] de la URL y, luego, presiona Intro. Este paso hace que aparezca la página de Acceso con Google.

  7. Debido a que esta es la primera vez que usas la cuenta, se te solicita que aceptes el Acuerdo de Cloud Identity. Si aceptas los términos, haz clic en Aceptar.

  8. En la siguiente pantalla, se te pide que autorices la cuenta del ad-synchronizer para acceder y modificar los datos en la cuenta de Cloud Identity. Haz clic en Allow (Permitir) para confirmar.

    Autoriza el sincronizador de anuncios para los datos en tu cuenta de Cloud Identity

  9. Cierra la ventana del navegador cuando veas el mensaje Received verification code.

  10. En el menú, haz clic en Archivo > Guardar como.

  11. En el cuadro de diálogo del archivo, ingresa [PROGRAM_DATA]\gcds\config.xml como nombre de archivo. Reemplaza [PROGRAM_DATA] por la ruta de acceso a la carpeta ProgramData que mostró el comando de PowerShell cuando lo ejecutaste antes.

  12. Haz clic en Guardar y, a continuación, haz clic en Aceptar.

Conéctate a Active Directory

El paso siguiente es configurar Cloud Directory Sync para conectarse a Active Directory:

  1. En el administrador de configuración, haz clic en LDAP Configuration > Configuración de conexión.
  2. Establece la siguiente configuración:
    1. Server type: Selecciona MS Active Directory.
    2. Tipo de conexión: Selecciona LDAP estándar.
    3. Nombre del host: ingresa el nombre de un servidor de catálogo global. Esta configuración solo se usa para la prueba. Más adelante, automatizarás el descubrimiento del servidor de catálogo global.
    4. Puerto3268. Usar un servidor de catálogo global en lugar de un controlador de dominio ayuda a garantizar que puedas sincronizar cuentas de todos los dominios de tu bosque de Active Directory.
    5. Authentication Type: Simple
    6. Usuario autorizado: Ingresa el nombre principal del usuario (UPN) del usuario de dominio que creaste antes: gcds@[UPN_SUFFIX_DOMAIN]. Reemplaza [UPN_SUFFIX_DOMAIN] por el dominio de sufijo UPN adecuado para el usuario. Como alternativa, también puedes especificar el usuario mediante la sintaxis [NETBIOS-DOMAIN-NAME]\gcds.
    7. Base DN: Deja este campo vacío para asegurarte de que las búsquedas se realicen en todos los dominios del bosque.
  3. Para verificar la configuración, haz clic en Probar conexión. Si falla la conexión, comprueba que hayas especificado el nombre de host de un servidor de catálogo global, y que el nombre de usuario y la contraseña sean correctos. Ignora que el mensaje de error te pide que especifiques un DN base.
  4. Haz clic en Cerrar.
  5. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Decide qué sincronizar

Ahora que te conectaste de forma correcta a Cloud Identity y Active Directory, puedes decidir qué elementos sincronizar:

  1. En el Administrador de configuración, haz clic en Configuración general.
  2. Asegúrate de que Cuentas de usuario esté seleccionado.
  3. Si deseas sincronizar grupos, asegúrate de que Grupos esté seleccionado; de lo contrario, desmarca la casilla de verificación.
  4. La sincronización de unidades organizativas está fuera del alcance de esta guía, por lo que debes anular la selección de Unidades organizativas.
  5. Deja Perfiles del usuario y Esquemas personalizados sin seleccionar.
  6. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Sincroniza cuentas de usuario

Configura las asignaciones de cuentas

El paso siguiente es configurar cómo asignar cuentas de usuario entre Active Directory y Cloud Identity:

  1. En el administrador de configuración, haz clic en User Accounts > Additional User Attributes.
  2. Haz clic en Use defaults para propagar de forma automática los atributos de Nombre y Apellido con givenNamesn, respectivamente.

La configuración restante depende de si quieres usar el UPN o la dirección de correo electrónico a fin de asignar Active Directory a las cuentas de usuario de Cloud Identity y si necesitas aplicar sustituciones de nombre de dominio. Si no estás seguro de cuál es la mejor opción para tu caso, consulta el artículo sobre cómo extender la administración de identidades de Active Directory a Google Cloud.

UPN

  1. En el administrador de configuración, haz clic en User Accounts > User Attributes.
  2. Establece la siguiente configuración:
    1. Atributo de la dirección de correo electrónico: userPrincipalName
    2. Atributo del identificador de usuario: objectGUID
  3. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  4. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla coincide con todas las cuentas de usuario que no están inhabilitadas, pero ignora las cuentas de servicio administradas y de computadora.

    3. Base DN: deja en blanco para buscar todos los dominios en el bosque.

  5. Haz clic en Aceptar para crear la regla.

  6. Haz clic en la pestaña Reglas de exclusión y, a continuación, haz clic en Agregar regla de exclusión. A fin de asegurarte de que la cuenta que Cloud Directory Sync usa para leer desde Active Directory no esté sincronizada con Cloud Identity, ingresa la configuración siguiente:

    1. Tipo de exclusión: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Concordancia exacta
    3. Regla de exclusión: gcds@[UPN_SUFFIX_DOMAIN]. Reemplaza [UPN_SUFFIX_DOMAIN] por el dominio de sufijo UPN que usaste en Active Directory.
  7. Haz clic en Aceptar.

  8. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

UPN: Sustitución de dominio

  1. En el administrador de configuración, haz clic en la pestaña User Accounts > User Attributes.
  2. Establece la siguiente configuración:
    1. Atributo de la dirección de correo electrónico: userPrincipalName
    2. Atributo del identificador de usuario: objectGUID
  3. Haz clic en Aceptar para crear la regla.
  4. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  5. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla coincide con todas las cuentas de usuario que no están inhabilitadas, pero ignora las cuentas de servicio administradas y de computadora.

    3. Base DN: deja en blanco para buscar todos los dominios dentro del bosque.

  6. Haz clic en Aceptar para crear la regla.

  7. Haz clic en la pestaña Reglas de exclusión y, a continuación, haz clic en Agregar regla de exclusión. A fin de asegurarte de que la cuenta que Cloud Directory Sync usa para leer desde Active Directory no esté sincronizada con Cloud Identity, ingresa la configuración siguiente:

    1. Tipo de exclusión: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Concordancia exacta
    3. Regla de exclusión: gcds@[PRIMARY_DOMAIN]. Reemplaza [PRIMARY_DOMAIN] por el dominio principal de la cuenta de Cloud Identity.
  8. Haz clic en Aceptar.

  9. Haz clic en Configuración del dominio de Google > Configuración de conexión y selecciona Reemplazar nombres de dominio en las direcciones de correo electrónico LDAP con este nombre de dominio.

  10. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Correo electrónico

  1. En el administrador de configuración, haz clic en User Accounts > User Attributes.
  2. Establece la siguiente configuración:
    1. Atributo de la dirección de correo electrónico: mail
    2. Atributo del identificador de usuario: objectGUID
  3. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  4. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla coincide con todas las cuentas de usuario que no están inhabilitadas con una dirección de correo electrónico no vacía, pero ignora las cuentas de servicio administradas y de computadora.

    3. Base DN: deja en blanco para buscar todos los dominios en el bosque.

  5. Haz clic en Aceptar para crear la regla.

  6. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Correo electrónico: Sustitución de dominio

  1. En el administrador de configuración, haz clic en User Accounts > User Attributes.
  2. Establece la siguiente configuración:
    1. Atributo de la dirección de correo electrónico: mail
    2. Atributo del identificador de usuario: objectGUID
  3. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  4. Ingresa las opciones de configuración siguientes:

    1. Permiso: subárbol
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla coincide con todas las cuentas de usuario que no están inhabilitadas con una dirección de correo electrónico no vacía, pero ignora las cuentas de servicio administradas y de computadora.

    3. Base DN: deja en blanco para buscar todos los dominios en el bosque.

  5. Haz clic en Aceptar para crear la regla.

  6. Haz clic en Configuración del dominio de Google > Configuración de conexión y selecciona Reemplazar nombres de dominio en las direcciones de correo electrónico LDAP con este nombre de dominio.

  7. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Política de eliminación

Hasta ahora, la configuración se centró en agregar y actualizar cuentas de usuario en Cloud Identity. Sin embargo, también es importante que las cuentas de usuario que estén inhabilitadas o borradas de Active Directory se suspendan o borren de Cloud Identity.

Como parte del proceso de sincronización, Cloud Directory Sync genera una lista de cuentas de usuario en Cloud Identity que no tienen coincidencias correspondientes en los resultados de consultas LDAP de Active Directory. Debido a que la consulta LDAP incorpora la cláusula (!(userAccountControl:1.2.840.113556.1.4.803:=2), en esta lista, se incluirán todas las cuentas que se inhabilitaron o se borraron en Active Directory desde que se realizó la última sincronización. El comportamiento predeterminado de Cloud Directory Sync es borrar a estos usuarios de Cloud Identity, pero puedes personalizar este comportamiento con los siguientes pasos:

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > Atributos de usuario.
  2. En Política de eliminación/suspensión de usuarios de dominio de Google, asegúrate de que la casilla de verificación No borrar ni suspender los administradores de dominio de Google que no se encuentran en LDAP esté marcada. Esta configuración garantiza que Cloud Directory Sync no suspenderá ni borrará la cuenta de administrador avanzado que usaste para configurar Cloud Identity.
  3. De manera opcional, puedes cambiar la política de eliminación para cuentas que no sean de administrador.
  4. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Si usas varias instancias distintas de Cloud Directory Sync para sincronizar diferentes dominios o bosques con una sola cuenta de Cloud Identity, asegúrate de que las diferentes instancias de Cloud Directory Sync no interfieran entre sí. De forma predeterminada, las cuentas de usuario en Cloud Identity que se sincronizaron desde una fuente diferente se identificarán de forma errónea en Active Directory como si se hubieran borrado. A fin de evitar esta situación, debes configurar Cloud Directory Sync para ignorar todas las cuentas de usuario de Cloud Identity que estén fuera del alcance del dominio o bosque desde el que sincronizas.

UPN

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, debes ingresar la expresión regular siguiente:

      .*@((?![UPN_SUFFIX_DOMAIN]).*)$

      Reemplaza [UPN_SUFFIX_DOMAIN] por tu dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

UPN: Sustitución de dominio

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, debes ingresar la expresión regular siguiente:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Reemplaza [SUBSTITUTION_DOMAIN] por el dominio que usas para reemplazar el dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, debes ingresar la expresión regular siguiente:

      .*@((?![MX_DOMAIN]).*)$

      Reemplaza [MX_DOMAIN] por el nombre de dominio que usas en las direcciones de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico: Sustitución de dominio

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, debes ingresar la expresión regular siguiente:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Reemplaza [SUBSTITUTION_DOMAIN] por el dominio que usas para reemplazar el dominio de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Sincroniza grupos

El paso siguiente es configurar cómo se deben asignar grupos entre Active Directory y Cloud Identity. Este proceso se diferencia en función de si planeas asignar grupos por nombre de pila o por dirección de correo electrónico.

Configuración de asignaciones de grupos por nombre de pila

Primero, debes identificar los tipos de grupos de seguridad que deseas sincronizar y, luego, formular una consulta LDAP adecuada. La tabla siguiente contiene consultas comunes que puedes usar.

Tipo Consulta LDAP
Grupos locales de dominio (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Grupos globales (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Grupos universales (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Grupos globales y universales (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))

La consulta para grupos globales también abarca grupos definidos por Active Directory, como los controladores de dominio. Puedes filtrar estos grupos mediante la restricción de la búsqueda por unidad organizativa (ou).

La configuración restante depende de si tienes intención de usar el UPN o la dirección de correo electrónico para asignar Active Directory a las cuentas de usuario de Cloud Identity.

UPN

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Add Search Rule si quieres agregar una regla que capture las cuentas de usuario y las membresías de grupos.
  3. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la consulta LDAP.
    3. Base DN: Deja este campo vacío para consultar grupos en todos los dominios del bosque.
  4. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: cn
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: userPrincipalName
  5. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco.
  6. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  7. Haz clic en la pestaña Prefix-Suffix.
  8. En el cuadro Group Email Address, ingresa la siguiente configuración:
    1. Suffix: @[PRIMARY_DOMAIN], en el que debes reemplazar [PRIMARY_DOMAIN] por el dominio principal de la cuenta de Cloud Identity. Aunque la configuración parece redundante porque Cloud Directory Sync agregará el dominio de forma automática, debes especificar la configuración explícitamente para evitar que varias instancias de Cloud Directory Sync borren los miembros del grupo que no habían agregado. Ejemplo: @example.com.
    2. Haz clic en Aceptar.
  9. Haz clic en Add Search Rule para agregar otra regla que capture las membresías de los grupos anidados.
  10. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la misma consulta LDAP.
    3. Base DN: Deja este campo vacío para consultar grupos en todos los dominios del bosque.
  11. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: cn
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: cn
  12. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco.
  13. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  14. Haz clic en la pestaña Prefix-Suffix.
  15. En el cuadro Group Email Address, ingresa la siguiente configuración:
    • Suffix: @[PRIMARY_DOMAIN], en el que debes reemplazar [PRIMARY_DOMAIN] por el dominio principal de la cuenta de Cloud Identity.
  16. Haz clic en Aceptar.
  17. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Add Search Rule para agregar una regla que capture las membresías de ambos grupos.
  3. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la consulta LDAP.
    3. Base DN: Deja este campo vacío para consultar grupos en todos los dominios del bosque.
  4. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: cn
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: mail
  5. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco.
  6. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  7. Haz clic en Aceptar.
  8. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

La misma configuración también se aplica si usaste la sustitución de dominio cuando asignaste las cuentas de usuario.

Configura asignaciones de grupo por dirección de correo electrónico

Primero, debes identificar los tipos de grupos de seguridad que deseas sincronizar y, luego, formular una consulta LDAP adecuada. La tabla siguiente contiene consultas comunes que puedes usar.

Tipo Consulta LDAP
Grupos locales de dominio con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Grupos globales con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Grupos universales con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Grupos globales y universales con dirección de correo electrónico (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))

La configuración restante depende de si tienes intención de usar la UPN o la dirección de correo electrónico para asignar Active Directory a las cuentas de usuario de Cloud Identity.

UPN

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Add Search Rule para agregar una regla que capture las membresías de ambos grupos.
  3. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la consulta LDAP.
    3. Base DN: Deja este campo vacío para consultar grupos en todos los dominios del bosque.
  4. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: mail
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: userPrincipalName
  5. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco.
  6. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  7. Haz clic en Aceptar.
  8. Haz clic en Add Search Rule para agregar otra regla que capture las membresías de los grupos anidados.
  9. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la misma consulta LDAP.
    3. Base DN: Deja este campo vacío para consultar grupos en todos los dominios del bosque.
  10. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: mail
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: mail
  11. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco.
  12. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  13. Haz clic en Aceptar.
  14. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Add Search Rule para agregar una regla que capture las membresías de ambos grupos.
  3. Establece la siguiente configuración:
    1. Permiso: Subtree
    2. Regla: ingresa la consulta LDAP.
    3. Base DN: Deja este campo vacío para consultar grupos en todos los dominios del bosque.
  4. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: mail
    2. Atributo del nombre visible del grupo: name
    3. Atributo de la descripción del grupo: description
    4. User Email Name Attribute: mail
  5. En el cuadro Miembros, ingresa la siguiente configuración:
    1. Member Reference Attribute: member
    2. Deja los campos restantes en blanco.
  6. En el cuadro Propietarios, ingresa la siguiente configuración:
    1. Owner Reference Attribute: managedBy
    2. Deja los campos restantes en blanco
  7. Haz clic en Aceptar.
  8. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

La misma configuración también se aplica si usaste la sustitución de dominio cuando asignaste las cuentas de usuario.

Política de eliminación

Cloud Directory Sync controla la operación de eliminación de grupos de manera similar a la de usuarios. Si usas varias instancias distintas de Cloud Directory Sync para sincronizar diferentes dominios o bosques con una sola cuenta de Cloud Identity, asegúrate de que las diferentes instancias de Cloud Directory Sync no interfieran entre sí.

De forma predeterminada, las cuentas de usuario en Cloud Identity que se sincronizaron desde una fuente diferente se identificarán de forma errónea en Active Directory como si se hubieran borrado. A fin de evitar esta situación, debes configurar Cloud Directory Sync para ignorar todas las cuentas de usuario de Cloud Identity que estén fuera del alcance del dominio o bosque desde el que sincronizas.

UPN

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, debes ingresar la expresión regular siguiente:

      .*@((?![UPN_SUFFIX_DOMAIN]).*)$

      Reemplaza [UPN_SUFFIX_DOMAIN] por tu dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

UPN: sustitución de dominio

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, debes ingresar la expresión regular siguiente:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Reemplaza [SUBSTITUTION_DOMAIN] por el dominio que usas para reemplazar el dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, debes ingresar la expresión regular siguiente:

      .*@((?![MX_DOMAIN]).*)$

      Reemplaza [MX_DOMAIN] por el nombre de dominio que usas en las direcciones de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico: sustitución de dominio

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, debes ingresar la expresión regular siguiente:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Reemplaza [SUBSTITUTION_DOMAIN] por el dominio que usas para reemplazar el dominio de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$
    4. Haz clic en Aceptar para crear la regla.

Configura el registro y las notificaciones

Mantener Active Directory y Cloud Identity sincronizados requiere que ejecutes Cloud Directory Sync de forma programada. Para permitirte realizar un seguimiento de la actividad de sincronización de Cloud Directory Sync y de posibles problemas, puedes configurar Cloud Directory Sync a fin de escribir un archivo de registro:

  1. En el administrador de configuración, haz clic en Registro.
  2. Configura el Nombre del archivo como [PROGRAM_DATA]\gcds\gcds_sync.log. Reemplaza [PROGRAM_DATA] por la ruta de acceso a la carpeta ProgramData que mostró el comando de PowerShell cuando lo ejecutaste antes.
  3. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Además del registro, Cloud Directory Sync puede enviar notificaciones por correo electrónico. A fin de activar este servicio, haz clic en Notificaciones y proporciona información de conexión para tu servidor de correo.

Simula una sincronización

Has completado la configuración de Cloud Directory Sync. Si deseas verificar que la configuración funciona según lo previsto, puedes simular una ejecución de sincronización. Durante la simulación, GCDS no realizará ningún cambio en Cloud Identity, sino que informará qué cambios realizaría durante una ejecución de sincronización regular.

  1. En el Administrador de configuración, haz clic en Sincronizar.
  2. En la parte inferior de la pantalla, selecciona Borrar la caché y, luego, en Simular sincronización.
  3. Una vez que se complete la sincronización, consulta la sección Cambios propuestos del registro que se muestra en la mitad inferior del cuadro de diálogo y verifica que al menos un usuario se proponga crear o modificar.

Realiza una sincronización inicial

Ahora puedes activar una sincronización inicial:

Advertencias

  • Activar una sincronización aplicará cambios permanentes en las cuentas de usuario y los grupos en tu cuenta de Cloud Identity.
  • Si tienes una gran cantidad de cuentas de usuario para sincronizar, considera cambiar de forma temporal la consulta LDAP a fin de que coincida solo con un subconjunto de estas cuentas de usuario. Con este subconjunto de cuentas, puedes probar la sincronización y cambiar la configuración, si es necesario. Una vez que hayas validado los resultados de forma correcta, vuelve a cambiar la consulta LDAP y sincroniza las cuentas restantes.
  • Evita modificar o borrar una gran cantidad de cuentas de usuario de forma repetida cuando pruebes la sincronización, ya que estas acciones se pueden marcar como comportamiento abusivo.

Activa una sincronización de la manera siguiente:

  1. En el Administrador de configuración, haz clic en Sincronizar.
  2. En la parte inferior de la pantalla, selecciona Borrar la caché y, luego, haz clic en Sincronizar y aplicar los cambios.

    Aparecerá cuadro de diálogo que muestra el estado de la sincronización.

  3. Una vez que se complete la sincronización, verifica el registro que se muestra en la mitad inferior del diálogo:

    1. En Cambios exitosos de usuario, verifica que se haya creado, al menos, un usuario.
    2. En Fallas, verifica que no se hayan producido errores durante la sincronización.

Si eliges sincronizar grupos, el resto del registro puede contener varias advertencias que, por lo general, se pueden ignorar con seguridad.

Programación

A fin de garantizar que los cambios realizados en Active Directory se propaguen a Cloud Identity, debes configurar una tarea programada que active una sincronización cada hora:

  1. Abre una consola de PowerShell como administrador.
  2. Comprueba si el módulo de PowerShell de Active Directory está disponible en el sistema:

    import-module ActiveDirectory

    Si el comando falla, descarga e instala las herramientas de administración remota del servidor y vuelve a intentarlo.

  3. En Bloc de notas, crea un archivo, copia el siguiente contenido en él y guárdalo en $Env:ProgramData\gcds\sync.ps1. Cuando hayas terminado, cierra el archivo.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True, Position=1)]
        [string]$config,
    
        [Parameter(Mandatory=$True, Position=1)]
        [string]$gcdsInstallationDir
    )
    
    import-module ActiveDirectory
    
    # Stop on error.
    $ErrorActionPreference ="stop"
    
    # Ensure it's an absolute path.
    $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
    
    # Discover closest GC in current domain.
    $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
    Write-Host ("Using Global Catalog server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
    
    # Load XML and replace the endpoint.
    $dom = [xml](Get-Content $rawConfigPath)
    $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
    
    # Tweak the endpoint.
    $ldapConfigNode.hostname = [string]$dc.HostName
    $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
    $ldapConfigNode.port = "3268"   # Always use Global Catalog port
    
    # Tweak the tsv files location
    $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
    $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
    $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
    
    # Save resulting config.
    $targetConfigPath = $rawConfigPath + ".autodiscover"
    
    $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
    $dom.Save($writer)
    $writer.Close()
    
    # Run synchronization.
    Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
        -Wait -ArgumentList "--apply --loglevel INFO --config ""$targetConfigPath"""
    
  4. El administrador de configuración creó una clave secreta para encriptar las credenciales en el archivo de configuración. Para asegurarte de que Cloud Directory Sync aún pueda leer la configuración cuando se ejecuta como una tarea programada, ejecuta los siguientes comandos a fin de copiar esa clave secreta de tu propio perfil al perfil de NT AUTHORITY\LOCAL SERVICE:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force
    
    Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
        -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
    

    Si los comandos fallan, asegúrate de haber iniciado la consola de PowerShell como administrador.

  5. Crea una tarea programada mediante la ejecución de los siguientes comandos. La tarea programada se activará cada una hora e invocará la secuencia de comandos sync.ps1 como NT AUTHORITY\LOCAL SERVICE.

    $taskName = "Synchronize to Cloud Identity"
    $gcdsDir = "$Env:ProgramData\gcds"
    
    $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
      -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
      -WorkingDirectory $gcdsDir
    $trigger = New-ScheduledTaskTrigger `
      -Once `
      -At (Get-Date) `
      -RepetitionInterval (New-TimeSpan -Minutes 60) `
      -RepetitionDuration (New-TimeSpan -Days (365 * 20))
    
    $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
    Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
    
    $task = Get-ScheduledTask -TaskName "$taskName"
    $task.Settings.ExecutionTimeLimit = "PT12H"
    Set-ScheduledTask $task
    

Prueba la sincronización

Has completado la instalación y configuración de Cloud Directory Sync y la tarea programada activará una sincronización cada una hora.

A fin de activar una sincronización de forma manual, cambia a la consola de PowerShell y ejecuta el comando siguiente:

$taskName = "Synchronize to Cloud Identity"
Start-ScheduledTask $taskName

Limpia

Si deseas quitar Cloud Directory Sync sigue estos pasos:

  1. Abre el Panel de control de Windows y haz clic en Programas > Desinstalar un programa.
  2. Selecciona Google Cloud Directory Sync y haz clic en Desinstalar/Cambiar para iniciar el asistente de desinstalación. Luego, sigue las instrucciones del asistente.
  3. Abre una consola de PowerShell y ejecuta el comando siguiente a fin de quitar la tarea de sincronización programada:

    $taskName = "Synchronize to Cloud Identity"
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
    
  4. Ejecuta el comando siguiente para borrar la configuración y los archivos de registro:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
    Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
    

Próximos pasos