Importación de datos de Active Directory Domain Services

  • Artículo

Importante

Esta versión de Service Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Service Manager 2022.

La base de datos Service Manager de Service Manager contiene información sobre su empresa y todas las partes de la estructura de administración de servicios la usan. Puede utilizar un conector Active Directory para agregar usuarios, grupos, impresoras y equipos (y solamente este tipo de objetos) como elementos de configuración a la base de datos de Service Manager.

Nota

Si el mismo nombre de usuario existe en dos unidades organizativas diferentes dentro del dominio de Active Directory, Service Manager no puede importar ambas cuentas de usuario y se registra un evento en el registro de aplicaciones de System Center Operations Manager.

Además, cuando configure un conector de Active Directory para importar datos de un grupo de Active Directory, puede seleccionar una opción para agregar usuarios automáticamente desde el grupo de Active Directory. Cuando se seleccionan, los usuarios que se agreguen al grupo de Active Directory se agregarán automáticamente a la base de datos de Service Manager. Si esos usuarios se quitan del grupo de Active Directory, permanecerán en la base de datos Service Manager; sin embargo, residirán en el grupo Elementos eliminados.

Cuando haya creado un conector de Active Directory, no se pueden actualizar los objetos Select del conector. En su lugar, cree grupos de seguridad en Active Directory, que se asignan a roles de usuario de Service Manager. Por ejemplo, puede crear un grupo de seguridad en Servicios de dominio de Active Directory (AD DS) denominado Solucionadores de incidentes. En Service Manager, puede asignar este grupo de seguridad al rol de usuario Solucionadores de incidentes. Al crear el conector de Active Directory y seleccionar Agregar automáticamente usuarios de grupos de AD importados por este conector, cuando un usuario que sea miembro del grupo de seguridad Solucionadores de incidentes inicie la consola de Service Manager, se les concederán derechos y permisos de solucionador de incidentes.

Si va a importar datos de varias unidades organizativas o subdominios, tiene la opción de crear una consulta de Protocolo ligero de acceso a directorios (LDAP) que especifique equipos, impresoras, usuarios o grupos de usuarios que se van a importar con el conector. Por ejemplo, un filtro LDAP de todos los objetos que estén en Dallas o Austin y cuyo nombre de pila es John sería (&(givenName=John) (|(l=Dallas) (l=Austin))). Puede probar las consultas y todos los errores deben corregirse para poder configurar el conector de Active Directory. Para obtener más información acerca de consultas LDAP, consulte Sintaxis de filtro de búsqueda.

Si, posteriormente, tiene que realizar operaciones de mantenimiento en la base de datos de Service Manager, puede deshabilitar temporalmente el conector y suspender la importación de datos. Más tarde puede reanudar la importación de datos habilitando de nuevo el conector.

Al importar un gran número de usuarios de AD DS) o de Configuration Manager, el uso de cpu puede aumentar al 100 %. Observará esto en un núcleo de la CPU. Por ejemplo, si importa 20.000 usuarios, el uso de CPU puede mantenerse elevado hasta una hora. Puede mitigar este problema creando conectores, importando los usuarios a Service Manager antes de implementar el producto en su empresa y programando la sincronización de los conectores durante el horario de inactividad. Si instala Service Manager en un equipo con CPU de varios núcleos también se minimiza el impacto de importar un número elevado de usuarios.

Crear un conector de Active Directory

Puede usar los procedimientos siguientes en Service Manager para crear, validar y confirmar el estado de un conector de Active Directory para importar objetos de Servicios de dominio de Active Directory (AD DS).

Nota

El conector de Active Directory (AD) se ha improvisado para sincronizarse con un controlador de dominio específico. Puede especificar el controlador de dominio en la consulta LDAP del conector de Active Directory.

Para crear un conector de Active Directory e importar objetos desde AD DS

  1. En la consola de Service Manager, seleccione Administración.

  2. En el panel Administración , expanda Administración y seleccione Conectores.

  3. En el panel Tareas , en Conectores, seleccione Crear conector y Active Directory Connector.

  4. Siga estos pasos del Asistente del conector Active Directory:

    1. En la página Antes de empezar, seleccione Siguiente.

    2. En la página General , en el cuadro Nombre , escriba un nombre para el nuevo conector. Asegúrese de que la casilla Habilitar este conector está activada y seleccione Siguiente.

    3. En la página Dominio o unidad organizativa, seleccione Usar el dominio: nombre de dominio. O bien, seleccione Permitirme elegir el dominio o la unidad organizativa y, a continuación, seleccione Examinar para elegir un dominio o una unidad organizativa (OU) en su entorno.

    4. En el área Credenciales , seleccione Nuevo.

    5. En el cuadro de diálogo Cuenta de ejecución, en el cuadro Nombre para mostrar , escriba un nombre para la cuenta de ejecución. En la lista Cuenta , seleccione Cuenta de Windows. Escriba las credenciales de una cuenta que tenga derechos para leer de AD DS y seleccione Aceptar. En la página Dominio o unidad organizativa , seleccione Probar conexión.

      Nota

      No se admiten caracteres especiales (como la y comercial [&]) en el cuadro Nombre de usuario .

    6. En el cuadro de diálogo Probar conexión , asegúrese de que se muestra la conexión con el servidor correctamente y seleccione Aceptar. En la página Dominio o unidad organizativa , seleccione Siguiente.

    7. En Seleccionar objetos, realice las acciones siguientes:

      1. Seleccione Todos los equipos, impresoras, usuarios y grupos de usuarios para importar todos los elementos, o bien

      2. Seleccione Seleccionar equipos, impresoras, usuarios o grupos de usuarios individuales para importar solamente los elementos seleccionados, o bien

      3. Seleccione Proporcionar filtros de consulta LDAP para equipos, impresoras, usuarios o grupos de usuarios individuales si desea crear su propia consulta LDAP (Protocolo ligero de acceso a directorios).

      Si desea que los nuevos usuarios que se agreguen a los grupos que importe se agreguen automáticamente a Service Manager, seleccione Agregar automáticamente usuarios de grupos de AD importados por este conector y seleccione Siguiente.

    8. En la página Programación , en la lista Sincronizar , establezca la frecuencia y la hora de sincronización y seleccione Siguiente.

    9. En la página Resumen , asegúrese de que la configuración es correcta y seleccione Crear.

    10. En la página Finalización , asegúrese de recibir el siguiente mensaje de confirmación:

      El conector de Active Directory se creó correctamente.

      A continuación, seleccione Cerrar.

      Nota

      Según la cantidad de datos que se importen, puede que tenga que esperar a que finalice la importación.

Para validar la creación de un conector de Active Directory

  1. En el panel Conectores , busque el conector de Active Directory creado. Puede que tenga que esperar unos momentos antes de que aparezca el conector.

  2. En el panel Conectores , revise la columna Estado para comprobar si aparece el estado Finalizado con éxito.

  3. En el panel Elementos de configuración , expanda Elementos de configuración. Expanda Equipos y Todos los equipos Windowsy compruebe que los equipos deseados de AD DS aparecen en el panel Todos los equipos Windows . Expanda Impresorasy Todas las impresorasy compruebe que las impresoras deseadas de AD DS aparecen en el panel Todas las impresoras .

  4. En la consola de Service Manager, seleccione Elementos de configuración. En el panel Elementos de configuración , seleccione Usuarios y compruebe que los usuarios y grupos de usuarios previstos de AD DS aparecen en el panel Usuarios .

Para confirmar el estado de un conector de Active Directory

  • Consulte las columnas del panel Conector ; las columnas contienen información acerca de la hora de inicio, la hora de finalización, el estado y el porcentaje de elementos de configuración importados.

Símbolo de PowerShellPuede usar un comando Windows PowerShell para crear un nuevo conector de Active Directory Service Manager. Para obtener información acerca de cómo utilizar Windows PowerShell para un conector de Active Directory de Service Manager nuevo, consulte New-SCADConnector.

Sincronización de un conector de Active Directory

Para asegurarse de que la base de datos de Service Manager está actualizada, el conector de Active Directory se sincroniza con Active Directory Domain Services (AD DS) cada hora después de la sincronización inicial. Sin embargo, puede usar el procedimiento siguiente para sincronizar manualmente el conector y validar que está sincronizado.

Para sincronizar manualmente un conector de Active Directory

  1. En la consola de Service Manager, seleccione Administración.

  2. En el panel Administración , expanda Administración y seleccione Conectores.

  3. En el panel Conectores, seleccione el conector de Active Directory que desea sincronizar.

  4. En el panel Tareas , en el nombre del conector, seleccione Sincronizar ahora.

    Nota

    Según la cantidad de datos que se importen, puede que tenga que esperar a que finalice la importación.

Para validar la sincronización de un conector de Active Directory

  1. En la consola de Service Manager, seleccione Elementos de configuración.

  2. En el panel Elementos de configuración , expanda Impresoras y seleccione Todas las impresoras. Compruebe que las nuevas impresoras de AD DS aparecen en el panel central.

  3. Expanda Equipos y seleccione Todos los equipos Windows. Compruebe que los nuevos equipos de AD DS aparecen en el panel central.

  4. En la consola de Service Manager, seleccione Elementos de configuración.

  5. En el panel Elementos de configuración , seleccione Usuarios. Compruebe que los nuevos usuarios y grupos de AD DS aparecen en el panel central.

Deshabilitación y habilitación de un conector de Active Directory

Puede usar el procedimiento siguiente para deshabilitar o habilitar un conector de Active Directory en Service Manager y validar su cambio en el estado.

Para deshabilitar un conector de Active Directory

  1. En la consola de Service Manager, seleccione Administración.

  2. En el panel Administración , expanda Administración y seleccione Conectores.

  3. En el panel Conectores, seleccione el conector de Active Directory que desea deshabilitar.

  4. En el panel Tareas , en el nombre del conector, seleccione Deshabilitar.

  5. En el cuadro de diálogo Deshabilitar conector , seleccione Aceptar.

Para habilitar un conector de Active Directory

  1. En la consola de Service Manager, seleccione Administración y conectores.

  2. En el panel Conectores, seleccione el conector de Active Directory que desea habilitar.

  3. En el panel Tareas , en el nombre del conector, seleccione Habilitar.

  4. En el cuadro de diálogo Habilitar conector , seleccione Aceptar.

Para validar el cambio de estado de un conector de Active Directory

  1. Después de habilitar o deshabilitar un conector de Active Directory, espere unos 30 segundos. A continuación, en la consola de Service Manager, seleccione Administración y seleccione Conectores.

  2. En el panel central, busque el conector para el que ha cambiado el estado y, a continuación, compruebe el valor de la columna Habilitado .

Símbolo de PowerShellPuede usar Windows PowerShell comandos para completar estas tareas y otras tareas relacionadas, como se indica a continuación:

  • Para obtener información acerca de cómo usar Windows PowerShell para iniciar un conector de Service Manager, consulte Start-SCSMConnector.

  • Para obtener información acerca de cómo usar Windows PowerShell para recuperar conectores definidos en Service Manager y para ver su estado, consulte Get-SCSMConnector.

  • Para obtener información acerca de cómo usar Windows PowerShell para actualizar las propiedades de un conector de Service Manager, consulte Update-SCSMConnector.

Importación de datos de otros dominios

Puede importar datos de dominios diferentes al dominio en el que reside Service Manager. Por ejemplo, Service Manager está instalado en el dominio A (cuyo nombre de dominio completo [FQDN] es a.woodgrove.com) y desea importar datos del dominio B (cuyo FQDN es b.woodgrovetest.net). En este escenario, debe reflexionar cómo especificar la ruta del origen de datos y la cuenta de ejecución.

En el dominio B, identifique una cuenta de servicio existente o cree una nueva para este fin. Esta cuenta de servicio debe ser una cuenta de dominio y tener capacidad de lectura desde Active Directory Domain Services.

A continuación, en Service Manager, cree un nuevo conector Active Directory en el Asistente del conector Active Directory. En la página Dominio o unidad organizativa , siga los pasos descritos a continuación.

Para especificar la ruta del origen de datos y la cuenta de ejecución

  1. Use el método adecuado según dónde se encuentran los dominios:

    • Si los dos dominios están en el mismo bosque, en el área Información del servidor, seleccione Permitirme elegir el dominio o la unidad organizativa y seleccione Examinar para seleccionar el dominio y la unidad organizativa (OU).

    • Si los dos dominios están en bosques diferentes, en el área Información del servidor, seleccione Permitirme elegir el dominio o la unidad organizativa y, a continuación, escriba el dominio y la unidad organizativa en el cuadro. Por ejemplo, escriba LDAP://b.woodgrovetest.net/OU=OU Name,DC=b,DC=woodgrovetest,DC=net.

  2. En el área Credenciales , seleccione Nuevo.

  3. En el cuadro de diálogo Cuenta de ejecución, en los cuadros Nombre de usuario, Contraseña y Dominio , escriba las credenciales de la cuenta de servicio del dominio b.woodgrovetest.net.

    Nota

    Si los dos dominios están en bosques diferentes, debe escribir el nombre de dominio en el cuadro Nombre de usuario. Por ejemplo, escriba b.woodgrovetest.net\UserName.

Pasos siguientes