Importar dados do Active Directory Domain Services

O banco de dados Service Manager em Service Manager contém informações sobre sua empresa e é usado por todas as partes da estrutura de gerenciamento de serviços. Um conector para Active Directory pode ser usado para adicionar usuários, grupos, impressoras e computadores (e apenas esses tipos de objetos) como itens de configuração no banco de dados do Service Manager.

Observação

Se o mesmo nome de usuário existir em duas OUs (unidades organizacionais) diferentes dentro do domínio do Active Directory, Service Manager não poderá importar as duas contas de usuário e um evento será registrado no log de aplicativos do System Center Operations Manager.

Além disso, quando você configura um conector para Active Directory para importar dados de um grupo do Active Directory, é possível selecionar uma opção para adicionar usuários automaticamente do grupo do Active Directory. Quando forem selecionados, todos os usuários adicionados ao grupo do Active Directory serão adicionados automaticamente ao banco de dados Service Manager. Se esses usuários forem removidos do grupo do Active Directory, eles permanecerão no banco de dados Service Manager; no entanto, eles residirão no grupo Itens Excluídos.

Quando você cria um conector do Active Directory, não é possível atualizar os objetos selecionados no conector. Em vez disso, você cria grupos de segurança no Active Directory que mapeiam para Funções de Usuário no Service Manager. Por exemplo, você pode criar um Grupo de Segurança no AD DS (Active Directory Domain Services) chamado Resolvedores de Incidentes. No Service Manager, é possível atribuir esse grupo de segurança à função de usuário Solucionadores de Incidentes. Quando você cria o conector do Active Directory e seleciona Adicionar automaticamente usuários de Grupos do AD importados por esse conector, quando um usuário que é membro do grupo de segurança Resolvedores de Incidentes inicia o console do Service Manager, eles receberão direitos e permissões do Resolvedor de Incidentes.

Se estiver importando dados de várias UOs ou subdomínios, você tem a opção de criar uma consulta LDAP (Lightweight Directory Access Protocol) que especifica computadores, impressoras, usuários ou grupos de usuários para importar com o conector. Por exemplo, um filtro LDAP de todos os objetos que estão em Dallas ou Austin e que têm o nome João é parecido com (&(givenName=John) (|(l=Dallas) (l=Austin))). Você pode testar suas consultas e todos os erros devem ser corrigidos para que seja possível configurar o conector para Active Directory. Para obter mais informações sobre consultas LDAP, consulte Search Filter Syntax (Sintaxe de filtro de pesquisa).

Mais tarde, se for necessário realizar operações de manutenção no banco de dados do Service Manager, será possível desabilitar o conector temporariamente e suspender a importação de dados. Posteriormente é possível reiniciar a importação de dados reabilitando o conector.

Quando você importa um grande número de usuários do AD DS) ou de Configuration Manager, a utilização da CPU pode aumentar para 100%. Você observará isso em um núcleo da CPU. Por exemplo, se você importar 20.000 usuários, a utilização da CPU poderá permanecer alta por até uma hora. Esse problema pode ser minimizado por meio da criação de conectores e da importação dos usuários no Service Manager antes da implantação do produto na sua empresa e também com o agendamento da sincronização de conectores fora do horário de expediente. A instalação do Service Manager em um computador que possui uma CPU com vários processadores também minimiza o impacto da importação de uma quantidade muito grande de usuários.

Criar um conector do Active Directory

Você pode usar os procedimentos a seguir no Service Manager para criar, validar e confirmar o status de um conector do Active Directory para importar objetos do AD DS (Active Directory Domain Services).

Observação

O conector do Active Directory (AD) foi improvisado para sincronizar com um controlador de domínio específico. Você pode especificar o Controlador de Domínio na consulta LDAP do conector do Active Directory.

Para criar um conector do Active Directory e importar objetos do AD DS

1. No console do Service Manager, selecione Administração.

2. No painel Administração , expanda Administração e selecione Conectores.

3. No painel Tarefas , em Conectores, selecione Criar Conector e Conector do Active Directory.

4. Conclua estas etapas no Assistente de Conector para Active Directory:

   1. Na página Antes de Começar escolha Avançar.

   2. Na página Geral , na caixa Nome , insira um nome para o novo conector. Verifique se a caixa de seleção Habilitar esse conector está selecionada e selecione Avançar.

   3. Na página Domínio ou unidade organizacional, selecione Usar o domínio: nome de domínio. Ou selecione Deixe-me escolher o domínio ou a UO e, em seguida, selecione Procurar para escolher um domínio ou uma UO (unidade organizacional) em seu ambiente.

   4. Na área Credenciais , selecione Novo.

   5. Na caixa de diálogo Conta Executar como , na caixa Nome de exibição , insira um nome para a conta Executar como. Na lista Conta , selecione Conta do Windows. Insira as credenciais de uma conta que tenha direitos de leitura do AD DS e selecione OK. Na página Domínio ou unidade organizacional , selecione Testar Conexão.

      Observação

      Não há suporte para caracteres especiais (como o e comercial [&]) na caixa Nome de Usuário .

   6. Na caixa de diálogo Testar Conexão , verifique se a conexão com o servidor foi exibida com êxito e selecione OK. Na página Domínio ou unidade organizacional , selecione Avançar.

   7. Na página Selecionar objetos, faça o seguinte:

      1. Selecione Todos os computadores, impressoras, usuários e grupos de usuários para importar todos os itens ou

      2. Marque Selecionar computadores, impressoras, usuários ou grupos de usuários individuais para importar apenas os itens selecionados ou

      3. Selecione Fornecer filtros de consulta LDAP para computadores, impressoras, usuários ou grupos de usuários se você desejar criar sua própria consulta do protocolo LDAP.

      Se você quiser que novos usuários adicionados a todos os grupos importados sejam adicionados automaticamente ao Service Manager, selecione Adicionar automaticamente usuários de Grupos do AD importados por esse conector e selecione Avançar.

   8. Na página Agendar , na lista Sincronizar , defina a frequência e a hora da sincronização e selecione Avançar.

   9. Na página Resumo , verifique se as configurações estão corretas e selecione Criar.

   10. Na página Conclusão , certifique-se de receber a seguinte mensagem de confirmação:

       Conector do Active Directory criado com êxito.

       Em seguida, selecione Fechar.

       Observação

       Dependendo da quantidade de dados importada, talvez seja necessário aguardar a conclusão da importação.

Para validar a criação de um conector do Active Directory

1. No painel Conectores , localize o conector do Active Directory que você criou. Talvez seja necessário aguardar um pouco até que o conector apareça.

2. No painel Conectores , verifique se o valor da coluna Status é Concluída com Êxito.

3. No painel Itens de Configuração , expanda Itens de Configuração. Expanda Computadores e Todos os Computadores com Windowse verifique se os computadores planejados do AD DS aparecem no painel Todos os Computadores com Windows . Expanda Impressoras, expanda Todas as Impressorase verifique se as impressoras planejadas do AD DS aparecem no painel Todas as Impressoras .

4. No console do Service Manager, selecione Itens de Configuração. No painel Itens de Configuração , selecione Usuários e verifique se os usuários e grupos de usuários pretendidos do AD DS aparecem no painel Usuários .

Para confirmar o status de um conector do Active Directory

• Exiba as colunas no painel Conector ; elas contêm informações sobre a hora de início, a hora de término, o status e a porcentagem de itens de configuração importados.

Você pode usar um comando Windows PowerShell para criar um conector Service Manager Active Directory. Para saber mais sobre como usar o Windows PowerShell para criar um novo conector para o Active Directory do Service Manager, confira New-SCADConnector.

Sincronizar um Conector do Active Directory

Para garantir que o banco de dados do Service Manager esteja atualizado, o conector para Active Directory faz a sincronização com o AD DS (Active Directory Domain Services) de uma em uma hora após a sincronização inicial. No entanto, você pode usar o procedimento a seguir para sincronizar manualmente o conector e validar se ele está sincronizado.

Para sincronizar manualmente um conector do Active Directory

1. No console do Service Manager, selecione Administração.

2. No painel Administração , expanda Administração e selecione Conectores.

3. Selecione o conector para Active Directory que deseja sincronizar no painel Conectores.

4. No painel Tarefas , sob o nome do conector, selecione Sincronizar Agora.

   Observação

   Dependendo da quantidade de dados importada, talvez seja necessário aguardar a conclusão da importação.

Para validar que um conector do Active Directory foi sincronizado

1. No console do Service Manager, selecione Itens de Configuração.

2. No painel Itens de Configuração , expanda Impressoras e selecione Todas as Impressoras. Verifique se as novas impressoras no AD DS aparecem no painel central.

3. Expanda Computadores e selecione Todos os Computadores Windows. Verifique se os novos computadores no AD DS aparecem no painel central.

4. No console do Service Manager, selecione Itens de Configuração.

5. No painel Itens de Configuração , selecione Usuários. Verifique se os novos usuários e grupos no AD DS aparecem no painel central.

Ativar e desativar um conector para Active Directory

O procedimento a seguir pode ser usado para habilitar ou desabilitar um conector para Active Directory no Service Manager e validar a alteração de status.

Para desabilitar um conector do Active Directory

1. No console do Service Manager, selecione Administração.

2. No painel Administração , expanda Administração e selecione Conectores.

3. Selecione o conector para Active Directory que deseja desabilitar no painel Conectores.

4. No painel Tarefas , no nome do conector, selecione Desabilitar.

5. Na caixa de diálogo Desabilitar Conector , selecione OK.

Para habilitar um conector do Active Directory

1. No console do Service Manager, selecione Administração e conectores.

2. Selecione o conector para Active Directory que deseja habilitar no painel Conectores.

3. No painel Tarefas , no nome do conector, selecione Habilitar.

4. Na caixa de diálogo Habilitar Conector , selecione OK.

Para validar a alteração de status de um conector do Active Directory

1. Após habilitar ou desabilitar um conector para Active Directory, aguarde aproximadamente 30 segundos. Em seguida, no console do Service Manager, selecione Administração e conectores.

2. No painel central, localize o conector para o qual você alterou status e verifique o valor na coluna Habilitado.

Você pode usar Windows PowerShell comandos para concluir essas tarefas e outras tarefas relacionadas, da seguinte maneira:

• Confira informações sobre como usar o Windows PowerShell para iniciar um conector para Service Manager em Start-SCSMConnector.

• Para saber mais sobre como usar o Windows PowerShell para recuperar conectores definidos no Service Manager e exibir os status deles, confira Get-SCSMConnector.

• Para saber mais sobre como usar o Windows PowerShell para atualizar as propriedades de um conector do Service Manager, confira Update-SCSMConnector.

Importar dados de outros domínios

É possível importar dados de domínios diferentes daquele em que o Service Manager reside. Por exemplo, o Service Manager está instalado no domínio A (no qual o FQDN [nome de domínio totalmente qualificado] é a.woodgrove.com), e você deseja importar dados do domínio B (no qual o FQDN é b.woodgrovetest.net). Neste cenário, é preciso considerar como o caminho da fonte de dados e a conta Executar como devem ser especificados.

No domínio B, identifique uma conta de serviço existente ou crie uma nova para essa finalidade. Essa conta de serviço deve ser uma conta de domínio e deve ter capacidade de leitura a partir dos Serviços de Domínio Active Directory.

Em seguida, no Service Manager, crie um novo conector para Active Directory no Assistente de Conector para Active Directory. Siga essas etapas na página Domínio ou unidade organizacional .

Para especificar o caminho da fonte de dados e a conta Executar como.

1. Use o método apropriado de acordo com o local em que os domínios estão localizados:

   • Se os dois domínios estiverem na mesma floresta, na área Informações do Servidor , selecione Deixe-me escolher o domínio ou a UO e selecione Procurar para selecionar o domínio e a UO (unidade organizacional).

   • Se os dois domínios estiverem em florestas diferentes, na área Informações do Servidor , selecione Deixe-me escolher o domínio ou a UO e insira o domínio e a UO na caixa. Por exemplo, insira LDAP://b.woodgrovetest.net/OU=Nome da UO,DC=b,DC=woodgrovetest,DC=net.

2. Na área Credenciais , selecione Novo.

3. Na caixa de diálogo Conta Executar como , nas caixas Nome de usuário, Senha e Domínio , insira as credenciais da conta de serviço do domínio b.woodgrovetest.net.

   Observação

   Se os dois domínios estiverem em florestas diferentes, você deverá inserir o nome de domínio na caixa Nome de usuário. Por exemplo, insira b.woodgrovetest.net\UserName.

Próximas etapas

• Saiba como Importar dados e alertas do Operations Manager.