Cerrar
InicioComunicaciones UnificadasLync ServerDeshabilitar un usuario en el Directorio Activo y en Lync

Deshabilitar un usuario en el Directorio Activo y en Lync

?En más de una ocasión os habréis encontrado con la situación de tener que deshabilitar un usuario en el Directorio Activo que tiene cuenta de Lync. Sin embargo esto no evita que el usuario pueda iniciar sesión en Lync durante un periodo máximo de 6 meses, y siempre en función de otros factores. Esto puede llegar a ser un problema muy importante para las organizaciones, puesto que el usuario  podría estar realizando llamadas a la PSTN sin control o incluso hablar con gente de la organización y poder sacar información de la empresa sin que nadie de cuenta de ello.

Todo esto viene dado porque el usuario si en algún momento inicia sesión con el cliente Lync en un equipo fuera de la organización, y marca la casilla de "Guardar mi contraseña"

Deshabilitar_Cuenta_Lync_y_AD_2.jpg

el servidor de Lync creará automáticamente un certificado para el usuario. Además, este certificado se publicará en la base de datos RTC con la clave privada y se almacenará en el equipo local del usuario:

Deshabilitar_Cuenta_Lync_y_AD_3.jpg

Utilizar el certificado digital es algo que nos permite iniciar sesión más rapidamente y más beneficios en cuanto a la seguridad, pero el problema es que no tiene en cuenta si el usuario está o no deshabilitado en el Directorio Activo. El certificado tiene una duración de 180 días, de ahí que en función de cuando el usuario haya habilitado la opción de guardar contraseña y el tiempo que haya pasado hasta que lo hemos deshabilitado en el Directorio Activo tendrá tiempo suficiente para utilizar los siguientes servicios:

  • IM
  • Conferencias
  • Llamadas de Voz

Desde PowerShell podemos ver los certificados que tiene cada usuario, para ello debemos utilizar el siguiente cmdlet: Get-CsClientCertificate sip:direccion_sip

Deshabilitar_Cuenta_Lync_y_AD_4.jpg

Como vemos en cada equipo que hayamos iniciado sesión y hemos activado la opción de "Guardar mi contraseña" nos ha crea un certificado de usuario como hemos visto en la captura anterior. Por lo tanto el usuario podrá iniciar sesión en Lync hasta que expire su certificado. También podemos revocar los certificados del usuario, pero para que el usuario ya no pueda iniciar sesión en Lync se tienen que dar las siguientes condiciones:

Equipos del dominio

  • Que expire el ticket de Kerberos (10 horas)

Usuarios Externos

  • Reinicio de los servidores de Lync
  • El usuario cierre e inicie sesión
  • El certificado haya caducado

*Esto es siempre que queramos que sea de forma inmediata cuando hayamos revocado el certificado, son tiempos que debemos tener en cuenta

Para revocar el certificado disponemos del siguiente cmdlet: Revoke-CsClientCertificate

Sintaxis
    Revoke-CsClientCertificate [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] -Identity <UserIdParameter> [-WhatIf  [<SwitchParameter>]] [<CommonParameters>]

Sinopsis
    Los certificados de cliente permiten a los usuarios estar autenticados cuando inician sesión en Lync Server. Estos certificados son particularmente útiles en el caso de teléfonos y otros dispositivos que ejecutan Lync Mobile donde resulta complicado escribir el nombre de usuario o la contraseña. Revoke-CsClientCertificate permite a los administradores revocar certificados de cliente que se han emitido a un usuario. Este cmdlet se presentó en Lync Server 2010.

Descripción
Los certificados de cliente proporcionan una alternativa para autenticar a  los usuarios con Lync Server. En lugar de proporcionar nombre de usuario y contraseña, los usuarios presentarán al sistema un certificado X.509. (Este certificado debe tener un nombre de sujeto o un nombre alternativo de sujeto que identifica al usuario). Para autenticarse, los usuarios solo deben escribir un número de identificación personal (PIN). Para un usuario de teléfono móvil, escribir un número de PIN suele ser más fácil que escribir un nombre de usuario o contraseña alfanuméricos.En cualquier momento, los administradores pueden revocar certificados de cliente emitidos a un usuario mediante el cmdlet Revoke-CsClientCertificate.
 
Revoke-CsClientCertificate revoca todos los certificados de cliente emitidos desde el servidor al usuario en cuestión.
 
Revoke-CsClientCertificate no elimina los certificados del dispositivo cliente; los certificados solo se eliminan del servidor. Sin embargo, es suficiente para evitar que un cliente use certificados con fines de autenticación: si no se puede encontrar un certificado en el servidor, sedenegará la solicitud de autenticación.
 

Ejemplo

Revoke-CsClientCertificate -Identity sip:sbuitrago@asirsl.com

Deshabilitar_Cuenta_Lync_y_AD_5.jpg

Para evitar este "problema" y no llevarnos sorpresas a la hora de estar deshabilitar un usuario en el Directorio Activo debemos deshaiblitar el usuario en Lync, bien vía PowerShell o Panel de Control vía Web:

PowerShell

Disable-CsUser sip:direccion_sip

Panel de Control

Deshabilitar_Cuenta_Lync_y_AD_6.jpg

Espero que os sea de ayuda y tengáis claro el proceso para deshabilitar un usuario en el AD y también en Lync

Grabar Llamadas de l
Modificar plantilla

sbuytrago@asirsl.com

NO HAY COMENTARIOS

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This