Microsoft Lync Server
Header

¿Porqué un usuario deshabilitado en el Directorio Activo puede iniciar sesión en Lync?

marzo 12th, 2015 | Posted by Santiago Buitrago in Directivas de Grupo | Lync Server

Es muy probable que cuando deshabilitéis un usuario en vuestro Directorio  Activo​ no lo hayáis hecho en Lync, puesto que son dos procesos diferentes (Deshabilitar un usuario en el Directorio Activo y en Lync). Esto puede suponer un problema de seguridad, porque es "posible" que el usuario pueda iniciar sesión en Lync y tener contacto con usuarios internos de forma legítima. Por lo que un usuario deshabilitado en Directorio Activo pero no en Lync podrá iniciar sesión en Lync durante cierto tiempo … (pulsar en la imagen para verla a tamaño real)

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-5.png
Cuando digo cierto tiempo es porque como todos sabreis, cuando un usuario inicia sesión en Lync por primer vez en un equipo, el servidor de Lync emitará un certificado de usuario. Esto es así porque así el proceso de inicio de sesión es más rápido que utilizando las credenciales, y este certificado por defecto tiene una validez de 6 meses. Por lo que un usuario que ha iniciado sesión y el servidor le ha emitido su certificado, podrá iniciar sesión con este certificado durante seis meses (Lync Server: Modificar el tiempo de validez de un certificado de usuario) aunque su cuenta esté deshabilitada en el Directorio Activo.
 
Este comportamiento se puede modificar, pero no se recomienda, porque el utilizar el certificado para iniciar sesión en Lync acelerará el proceso. Aquí lo que debemos hacer es ser muy cuidadosos cuando damos de baja un usuario en nuestro Directorio Activo, y aquí os describo dos procesos en base a dos premisas:
  1. Usuario sin retorno a la empresa: usuario que deja de pertenecer a la empresa y que sabemos que no volverá a ella y se elminarán todos los datos de su perfil en Lync
    1. Quitar cuenta de Lync: Disable-CsUser -Identity <Nombre_Usuario>
    2. Deshabiltar su cuenta en el Directorio Activo
  2. Usuario con retorno a la empresa: usuario que deja de pertenecer a la empresa durante un tiempo, pero que durante el tiempo que esté fuera no queremos que se pueda conectar
    1. Revocar certificados de usuario en Lync Server: Revoke-CsClientCertificate -Identity <Nombre_Usuario>
    2. Deshabilitar su cuenta en el Directorio Activo 

Esto es a nivel de servidor, que es donde realizaremos los cambios, pero si queremos comprobar que esto es así podemos hacerlo de forma muy sencilla. Habilitamos un usuario en Lync e iniciamos sesión una primera vez, en  ese momento Lync emitirá un certificado que se instalará en el contenedor de certificados de usuario en el momento de iniciar sesión en Lync:

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-6.png

Ahora deshabilitamos el usuario en el Directorio Activo si tener iniciado Lync, y una vez deshabilitado tratamos de iniciar sesión en Lync y sin problema:

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-5.png

Por último ya con el usuario deshabilitado en Lync vamos a borrar el certificado que nos había emitido e instalado en el equipo en donde el usuario ha iniciado sesión. Esto podemos hacerlo de varias formas, eliminar directamente el certificado desde una consola MMC o cuando pulsando en Eliminar mi información de inicio de sesión desde el propio Lync:

 

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-8.png
Usuario_Deshabilitado_Inicia_Sesión_En_Lync-7.png

 

Una vez hecho esto podemos observar que ya no tenemos el certificado de usuario en nuestro equipo:

 

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-3.png
 
Si ahora tratamos de iniciar sesión, veremos que ya no podemos, puesto que en este caso lo primero que hará será tratar de validar nuestras credenciales en el Directorio Activo y ya teníamos la cuenta deshabilitada:

 

 

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-4.png

 

Claramente si revocamos el certfiicado desde el servidor (que es lo suyo) de Lync (Revoke-CsClientCertificate -Identity <Nombre_Usuario>) ya no tenemos que hacer nada de esto, pero bueno, la idea era ver de forma clara cual es el comportamiento del cliente Lync antes esta situación. También comentaros que este artículo ya lo había publicado en su momento:  Deshabilitar un usuario en el Directorio Activo y en Lync pero he querido volver a recordarlo porque era un artículo bastante antiguo.
 

Espero que os sea de utilidad!!!

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *