¿Porqué un usuario deshabilitado en el Directorio Activo puede iniciar sesión en Lync?
Es muy probable que cuando deshabilitéis un usuario en vuestro Directorio Activo no lo hayáis hecho en Lync, puesto que son dos procesos diferentes (Deshabilitar un usuario en el Directorio Activo y en Lync). Esto puede suponer un problema de seguridad, porque es "posible" que el usuario pueda iniciar sesión en Lync y tener contacto con usuarios internos de forma legítima. Por lo que un usuario deshabilitado en Directorio Activo pero no en Lync podrá iniciar sesión en Lync durante cierto tiempo … (pulsar en la imagen para verla a tamaño real)
- Usuario sin retorno a la empresa: usuario que deja de pertenecer a la empresa y que sabemos que no volverá a ella y se elminarán todos los datos de su perfil en Lync
- Quitar cuenta de Lync: Disable-CsUser -Identity <Nombre_Usuario>
- Deshabiltar su cuenta en el Directorio Activo
- Usuario con retorno a la empresa: usuario que deja de pertenecer a la empresa durante un tiempo, pero que durante el tiempo que esté fuera no queremos que se pueda conectar
- Revocar certificados de usuario en Lync Server: Revoke-CsClientCertificate -Identity <Nombre_Usuario>
- Deshabilitar su cuenta en el Directorio Activo
Esto es a nivel de servidor, que es donde realizaremos los cambios, pero si queremos comprobar que esto es así podemos hacerlo de forma muy sencilla. Habilitamos un usuario en Lync e iniciamos sesión una primera vez, en ese momento Lync emitirá un certificado que se instalará en el contenedor de certificados de usuario en el momento de iniciar sesión en Lync:
Ahora deshabilitamos el usuario en el Directorio Activo si tener iniciado Lync, y una vez deshabilitado tratamos de iniciar sesión en Lync y sin problema:
Por último ya con el usuario deshabilitado en Lync vamos a borrar el certificado que nos había emitido e instalado en el equipo en donde el usuario ha iniciado sesión. Esto podemos hacerlo de varias formas, eliminar directamente el certificado desde una consola MMC o cuando pulsando en Eliminar mi información de inicio de sesión desde el propio Lync:
Una vez hecho esto podemos observar que ya no tenemos el certificado de usuario en nuestro equipo:
Espero que os sea de utilidad!!!