Google-Konten mit vorhandenen Windows-Profilen verknüpfen

Als Administrator, der den Google-Anmeldeinformationsanbieter für Windows (Google Credential Provider for Windows, GCPW) einrichtet, haben Sie die Möglichkeit, Nutzern die erste Anmeldung zu erleichtern. Sie können festlegen, dass das vorhandene Windows-Profil eines Nutzers in GCPW mit seinem Google-Konto verknüpft wird. So kann sich der Nutzer in dem Windows-Profil anmelden, das er bereits für die Arbeit mit seinem Google-Konto verwendet. Auch das Google-Passwort des Nutzers wird in GCPW mit seinem Windows-Passwort synchronisiert.

So funktioniert die Kontoverknüpfung

In GCPW wird das Google-Konto eines Nutzers auf Grundlage eines benutzerdefinierten Attributs, das Sie im Google-Verzeichnis hinzufügen, mit einem vorhandenen lokalen Profil oder Active Directory-Windows-Profil verknüpft. In diesem benutzerdefinierten Attribut ist der Nutzername der Person für ein lokales Konto oder ein Active Directory-Konto angegeben.

Wenn sich der Nutzer nach der Installation von GCPW zum ersten Mal auf dem Gerät anmeldet, werden seine Daten im Verzeichnis für Windows-Nutzernamen durch das Tool gesucht. Der Windows-Benutzername der Person wird durch GCPW aus dem Verzeichnis abgerufen. Danach wird durch das Tool auf dem Gerät nach einem passenden Profil oder Active Directory-Nutzernamen gesucht. Hinweis:Bei Geräten, die in Active Directory eingebunden sind, muss das Gerät bei der ersten Anmeldung mit Active Directory verbunden sein, wenn der Nutzer noch kein dort gespeichertes Windows-Profil hat. In diesem Fall muss er dann auf Anderer Benutzer klicken.

  • Anschließend wird das Google-Konto mit dem Windows-Profil verknüpft und die Passwörter werden in GCPW synchronisiert.
  • Wenn im Verzeichnis keine Windows-Nutzernamen für die Person enthalten sind oder durch GCPW keine Übereinstimmung festgestellt wird, wird auf dem Gerät ein neues Windows-Profil erstellt und mit dem Google-Konto verknüpft.
  • Sollte der Active Directory-Nutzername bei Geräten, die einer Active Directory-Domain angehören, ungültig sein, wird in GCPW möglicherweise eine Fehlermeldung zurückgegeben. Ist für das Google-Konto kein benutzerdefiniertes Attribut festgelegt, wird in GCPW ein Windows-Profil erstellt oder ein Fehler zurückgegeben, je nachdem, auf welchen Kontotyp der Nutzer zur Anmeldung geklickt hat.

Weitere Informationen zur Anmeldung von Nutzern finden Sie im Hilfeartikel Anmeldung bei Windows nach der GCPW-Installation.

Ablauf der Registrierung auf einem Gerät, das einer Active Directory-Domain angehört

Ablauf der Anmeldung für Nutzer mit lokalem Windows-Profil

Hinweis

Lesen Sie die Informationen im Hilfeartikel Vorbereitung auf die Installation von GCPW.

Schritt 1: Benutzerdefiniertes Attribut zu Nutzerkonten hinzufügen

Sie können das benutzerdefinierte Attribut in der Admin-Konsole, mit einem Widget in der Entwicklerdokumentation, mit der Directory API oder mit Google Cloud Directory Sync (GCDS) hinzufügen.

In der Admin-Konsole hinzufügen

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Verzeichnis und dann Nutzer.

    Hierfür ist die Berechtigung Nutzerverwaltung erforderlich. Andernfalls sehen Sie möglicherweise nicht alle Steuerelemente, die für diese Schritte nötig sind.

  2. Klicken Sie oben in der Liste Nutzer auf Mehr und dann Benutzerdefinierte Attribute verwalten.
  3. Prüfen Sie unter Standardattribute die Angaben für das Nutzerprofil.
  4. Klicken Sie rechts oben auf Benutzerdefiniertes Attribut hinzufügen.
  5. Geben Sie unter Kategorie Enhanced desktop security ein. Bei dieser Option wird zwischen Groß- und Kleinschreibung unterschieden.
  6. Geben Sie unter Benutzerdefinierte Felder die folgenden Werte ein:
    1. Name: Geben Sie je nach Art des Windows-Profils der Nutzer einen oder beide der folgenden Werte als separate Einträge ein: Local Windows accounts oder AD accounts. Bei diesen Optionen wird zwischen Groß- und Kleinschreibung unterschieden.
    2. Infotyp : Wählen Sie die Option Text aus.
    3. Sichtbarkeit: Wählen Sie die Option Sichtbar für Nutzer und Administrator aus.
    4. Anzahl der Werte: Wählen Sie die Option Mehrfachwert aus.
  7. Klicken Sie auf Hinzufügen. Die Seite Nutzerattribute verwalten enthält nun das Attribut.

Hinweis:Wenn Sie den Wert für Kategorie oder Name falsch eingeben, können Sie das benutzerdefinierte Attribut nicht korrigieren. Löschen Sie das Attribut und beginnen Sie noch einmal.

Über das Steuerfeld „API testen“ in der Directory API-Dokumentation hinzufügen

Die API-Dokumentation enthält ein Test-Widget, mit dem Sie eine Anfrage senden und sich mit Ihrem Super Admin-Google-Konto authentifizieren können. Dafür sind keine Programmierkenntnisse erforderlich.

So fügen Sie ein benutzerdefiniertes Attribut mit dem API-Test-Widget hinzu:

  1. Öffnen Sie die Referenz Schemas: insert.
  2. Geben Sie rechts im Bereich „API testen“ die folgenden Werte ein:
    1. customerId : Geben Sie my_customer ein.
    2. Anfragetext : Löschen Sie den Platzhalter und kopieren Sie den folgenden Text in das Feld: 
      
{
  "displayName": "Enhanced Desktop Security",
  "fields": [
    {
      "displayName": "AD accounts",
      "fieldName": "AD_accounts",
      "fieldType": "STRING",
      "multiValued": true,
      "readAccessType": "ADMINS_AND_SELF"
    },
    {
      "displayName": "Local Windows accounts",
      "fieldName": "Local_Windows_accounts",
      "fieldType": "STRING",
      "multiValued": true,
      "readAccessType": "ADMINS_AND_SELF"
    }
  ],
  "schemaName": "Enhanced_desktop_security"
}
  3. Klicken Sie auf Ausführen.
  4. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldedaten für ein Super Admin-Konto ein.

Wenn Ihre Anfrage erfolgreich ist, wird unten im Steuerfeld die Antwort „200“ zurückgegeben. Sie können auch anders prüfen, ob das benutzerdefinierte Attribut erstellt wurde: Öffnen Sie die Admin-Konsole und gehen Sie zu Nutzer und dann Mehr und dann Benutzerdefinierte Attribute verwalten.

Mit der Directory API hinzufügen

Fügen Sie das benutzerdefinierte Attribut mit der Directory API hinzu.

Mit GCDS synchronisieren

Fügen Sie die Werte zu Active Directory hinzu und synchronisieren Sie die Werte über Google Cloud Directory Sync (GCDS) mit Ihrer Admin-Konsole.

Schritt 2: Benutzerdefiniertes Attribut im Konto jedes Nutzers festlegen

Führen Sie die folgenden Schritte für jeden Nutzer aus, dessen Google-Konto durch GCPW mit einem Windows-Profil verknüpft werden soll. Weitere Informationen zum Bearbeiten von Attributen finden Sie im Hilfeartikel Benutzerdefinierte Attribute für Nutzer profile.

So legen Sie Werte für das benutzerdefinierte Attribut eines Nutzers einzeln fest:

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Verzeichnis und dann Nutzer.

    Hierfür ist die Berechtigung Nutzerverwaltung erforderlich. Andernfalls sehen Sie möglicherweise nicht alle Steuerelemente, die für diese Schritte nötig sind.

  2. Suchen Sie in der Liste Nutzer nach dem Nutzer und klicken Sie auf seinen Namen. Weitere Informationen finden Sie im Hilfeartikel Nutzerkonto suchen.
  3. Klicken Sie auf Nutzerinformationen und gehen Sie zum Abschnitt Erhöhte Computersicherheit.

  4. Wenn der Nutzer ein Active Directory-Konto hat, geben Sie seinen „sAMAccountName“ im folgenden Format in das Textfeld ein: Domain\Nutzername

    Für die Beispieldomain „beispiel.de“ und den Nutzernamen „jschmidt“ in Windows geben Sie also den sAMAccountName example.comjsmith ein.

    Hinweis :

    • Sie können nur ein Active Directory-Konto pro Nutzer eingeben. Wenn Sie mehrere Konten eingeben, verwendet GCPW nur den ersten Eintrag.
    • Wenn Sie im nächsten Schritt auch einen Eintrag für ein lokales Konto hinzufügen, sucht GCPW zuerst nach dem Active Directory-Konto.

  5. Wenn der Nutzer ein lokales Windows-Profil hat, geben Sie seine Kontoinformationen in das Textfeld im folgenden Format ein: un:_Windows_username_. Der Windows-Benutzername kann Leerzeichen enthalten. Hat der Nutzer mehrere lokale Windows-Konten, geben Sie jedes Konto in ein eigenes Feld Lokale Windows-Konten ein (ein neues Feld wird hinzugefügt, wenn Sie ein neues Konto eingeben).

    Wenn Sie den Zugriff des Nutzers auf ein bestimmtes Gerät beschränken möchten, geben Sie un:_Windows_username_,sn:_device_serial_number_ ein. Setzen Sie nach dem Komma kein Leerzeichen. Sie dürfen nur eine Seriennummer angeben.

    Wenn sich der Nutzer beispielsweise mit dem Nutzernamen „mmustermann“ in Windows anmeldet, geben Sie un:jsmith ein. Wenn Sie den Nutzer auf die Anmeldung auf einem bestimmten Gerät mit der Seriennummer 123456 beschränken möchten, geben Sie un:jsmith,sn:123456 ein.

  6. Klicken Sie auf Speichern.

Wenn Sie mehrere Nutzer auf einmal aktualisieren möchten, können Sie die Werte mit einer der folgenden Methoden zuordnen:

Nächster Schritt: GCPW installieren

Folgen Sie der Anleitung im Hilfeartikel Google-Anmeldeinformationsanbieter für Windows installieren.


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.