Introducción a los permisos necesarios para el usuario de OpenDNS_Connector
Introducción
Este documento describe los permisos necesarios para los usuarios de OpenDNS_Connector.
Nota: En línea con los esfuerzos de cambio de marca, el nombre de usuario de AD "OpenDNS_Connector" se ha actualizado recientemente para que ahora sea "Cisco_Connector".
Overview
El script Conector de Windows normalmente establece los permisos necesarios para el usuario Cisco_Connector. Sin embargo, en entornos AD estrictos, es posible que a algunos administradores no se les permita ejecutar scripts VB en sus controladores de dominio y, por lo tanto, necesiten replicar manualmente las acciones del script de configuración de Windows. En este artículo se detallan los permisos que se deben establecer en el DC.
Nota: A efectos de este artículo, se supone que Cisco_Connector es el valor de sAMAccountName de su cuenta de conector en AD. Si en su lugar utiliza un nombre personalizado, siga las mismas instrucciones que en el caso de sAMAccountName de la cuenta del conector en lugar de Cisco_Connector.
Si el usuario de Cisco_Connector no tiene permisos suficientes para funcionar, un conector AD muestra un estado de alerta o error en el panel y el mensaje que aparece al pasar el cursor sobre la alerta es Acceso denegado a uno de los controladores de dominio registrados.
Asegúrese de que el usuario Cisco_Connector sea miembro de los grupos AD:
- Controladores de dominio de solo lectura empresariales
- Lectores de registros de eventos (solo si la implementación incluye dispositivos virtuales)
Además, el usuario de Cisco_Connector debe pertenecer a los grupos "Usuarios de dominio" y "Usuarios". Puede verificar la pertenencia al grupo del usuario Cisco_Connector con el comando:
dsquery user -samid Cisco_Connector | dsget user -memberof -expand
El conector de Umbrella AD realiza dos tareas principales para las que se necesitan estos permisos. En primer lugar, extrae información de LDAP de Active Directory para permitirle crear políticas basadas en el grupo de AD y para poder mostrar los nombres de usuario y de grupo de AD en el Panel de Umbrella. El permiso Replicate Directory Changes lo permite.
En segundo lugar, recopila los eventos de inicio de sesión de los controladores de dominio y los transfiere a los dispositivos virtuales. Esto permite a los dispositivos virtuales crear sus asignaciones de IP a usuario e identificar así a los usuarios. Todos los permisos se aplican a esto con la excepción del permiso Replicar cambios de directorio. Estos permisos sólo son necesarios si la implementación incluye dispositivos virtuales en el mismo sitio de Umbrella que los controladores de dominio.
Nota: Además de establecer los permisos necesarios para el usuario Cisco_Connector, el script de configuración del controlador de dominio también registra un controlador de dominio mediante la emisión de llamadas de API a Umbrella. Si modifica manualmente los permisos en lugar de utilizar la secuencia de comandos de configuración, este registro también se debe realizar manualmente. Consulte la documentación de Umbrella para obtener información sobre cómo agregar manualmente controladores de dominio en el panel de Umbrella.
Permisos necesarios
- Replicar cambios de directorio
- Lectores del registro de eventos
- Administrador remoto
- Directiva de auditoría
Replicar cambios de directorio
Este permiso permite al usuario de Cisco_Connector consultar LDAP. Este es el permiso requerido que se suele otorgar con el grupo "Controladores de dominio de solo lectura empresariales". Esto proporciona al Panel de paraguas la información necesaria para mostrar los nombres de los objetos de AD y determinar la pertenencia a grupos. El conector solicita estos atributos:
cn: el nombre común.
dn: el nombre distinguido.
dNSHostName: el nombre del dispositivo tal y como está registrado en DNS.
correo: direcciones de correo electrónico asociadas al usuario.
memberOf: los grupos que incluyen al usuario.
objectGUID: el identificador de grupo del objeto. Esta propiedad se envía a Secure Access como hash.
primaryGroupId: el identificador de grupo principal disponible para usuarios y grupos.
primaryGroupToken: el token de grupo principal que sólo está disponible para Grupos. No se recuperan las contraseñas ni los hashes de contraseña. Secure Access utiliza el
primaryGroupToken en la directiva de acceso y en la configuración y los informes. Estos datos también son necesarios para cada usuario o para el filtrado por ordenador.
sAMAccountName: nombre de usuario que se utiliza para iniciar sesión en Cisco AD Connector.
userPrincipalName: el nombre principal de los usuarios.
De estas objectClasses:
(&(objectCategory=person)(objectClass=user)) (objectClass=organizationalunit) (objectClass=computer) (objectClass=group)
El grupo integrado "Controladores de dominio de sólo lectura empresariales" debe proporcionar este permiso y, por tanto, el usuario de Cisco_Connector debe ser miembro de este grupo. Puede verificar los permisos del grupo o especificar los permisos específicamente para el usuario Cisco_Connector (si el grupo no proporciona estos permisos):
- Abrir el complemento Usuarios y equipos de Active Directory
- En el menú Ver, haga clic en Características avanzadas.
- Haga clic con el botón secundario en el objeto de dominio, como "ejemplo.com" y, a continuación, haga clic en Propiedades.
- En la pestaña Security, elija "Enterprise Read-only Domain Controllers" o el usuario "Cisco_Connector".
- Si es necesario, puede agregar el usuario "Cisco_Connector" haciendo clic en Agregar.
- En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, elija la cuenta de usuario que desee y, a continuación, haga clic en Agregar.
- Haga clic en Aceptar para volver al cuadro de diálogo Propiedades.
- Haga clic para seleccionar las casillas de verificación Replicating Directory Changes y Read de la lista.
- Haga clic en Aplicar y, a continuación, haga clic en Aceptar.
- Cierre el complemento.
Nota: En un escenario de dominio principal/secundario, el "Controlador de dominio de sólo lectura empresarial" sólo existe en el dominio principal. En este caso, los permisos se deben agregar manualmente para Cisco_Connector como se muestra.
Lectores del registro de eventos
Este cambio solo es necesario si la implementación incluye dispositivos virtuales en el mismo sitio de Umbrella que el controlador de dominio. La pertenencia a este grupo permite al usuario de Cisco_Connector leer los eventos de inicio de sesión de los registros de eventos.
En el equipo del controlador de dominio, en la configuración de Firewall avanzado de Windows, asegúrese de que se permiten las reglas de entrada para Administración remota de registros de eventos (NP-In, RPC y RPC-EPMAP). El conector de Umbrella AD puede registrar un error que indica "El servidor RPC no está disponible" y es posible que no pueda leer los eventos de inicio de sesión si estas reglas no están permitidas.
360090909832
También puede activar estas reglas mediante este comando:netsh advfirewall firewall set rule group="Remote Event Log Management" new enable=yes
Administrador remoto
La administración remota es necesaria para permitir que el conector lea los eventos de inicio de sesión en el controlador de dominio. Este permiso sólo es necesario si la implementación incluye dispositivos virtuales en el mismo sitio de Umbrella que el controlador de dominio.
Desde un símbolo del sistema, ejecute estos comandos:
netsh advfirewall firewall set rule group="remote administration" new enable=yes netsh advfirewall set currentprofile settings remotemanagement enable
4413613529492
Directiva de auditoría
Este cambio solo es necesario si la implementación incluye dispositivos virtuales en el mismo sitio de Umbrella que el controlador de dominio. La directiva de auditoría define los eventos que se registran en el registro de eventos del controlador de dominio. El conector requiere que se registren los eventos de inicio de sesión correctos para que los usuarios puedan asignarse a sus direcciones IP.
En entornos normales de Windows Server 2008+, se debe configurar la opción heredada "Auditar sucesos de inicio de sesión". En concreto, la directiva "Auditar sucesos de inicio de sesión" debe establecerse en "Correcto". Esto se puede comprobar ejecutando este comando en el símbolo del sistema:
GPRESULT /z
Esta directiva se define como un objeto de directiva de grupo. Para modificarla, edite la directiva de grupo adecuada para el DC (normalmente la "Directiva predeterminada del controlador de dominio") y establezca esta directiva para incluir eventos de "Correcto":
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy\Audit logon events
Asegúrese de actualizar la directiva de grupo en el DC después de realizar este cambio.
Sin embargo, Windows Server 2008 también introdujo la configuración de directiva de auditoría avanzada. Aunque se pueden seguir utilizando las directivas de auditoría de Windows heredadas, se omiten si se define alguna de las directivas de auditoría avanzadas. Consulte la documentación de Microsoft para comprender cómo interactúan las dos directivas de auditoría.
A efectos del conector, si se define alguna directiva de auditoría avanzada (incluidas las que no están relacionadas específicamente con el inicio de sesión), se DEBEN utilizar las directivas de auditoría avanzada.
La directiva de auditoría avanzada debe establecerse para todos los DC que utilicen la directiva de grupo. Edite la directiva de grupo correspondiente a su DC (normalmente la "directiva predeterminada del controlador de dominio") y vaya a esta sección:
Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff
En esa sección, configure estas políticas para incluir eventos de "Éxito" y "Fallo":
Audit Logon Audit Logoff Audit Other Logon/Logoff Events
Asegúrese de actualizar la directiva de grupo en el DC después de realizar este cambio.
Nota: Si está implementando el conector de AD con dispositivos virtuales, los cambios en la regla de firewall y la configuración de directiva de auditoría deben realizarse en todos los controladores de dominio del dominio con el que el conector se comunica.
Si después de confirmar/cambiar la configuración mencionada, sigue viendo mensajes de "Acceso denegado" en el panel, envíe a Soporte de paraguas los registros del conector como se describe en este artículo: Proporcionar soporte con registros del conector de AD
Cuando proporcione esta información al Soporte, incluya el resultado de estos dos comandos:
auditpol.exe /get /category:* > DCNAME_auditpol.txt
GPRESULT /H DC_NAME.htm
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
02-Sep-2025
|
Versión inicial |
Comentarios