Связать учетные записи Google с существующими профилями Windows

В качестве администратора, настраивающего Google Credential Provider for Windows (GCPW), вы можете упростить пользователям первый вход в систему. Вы можете настроить GCPW так, чтобы он связывал существующий профиль пользователя в Windows с его учетной записью Google. При таком подходе пользователь сможет войти в уже используемый им для работы профиль Windows, используя свою учетную запись Google. GCPW также синхронизирует пароль пользователя от Google с его паролем от Windows.

Как работает привязка учетных записей

GCPW связывает учетную запись Google пользователя с существующим локальным профилем или профилем Windows в Active Directory на основе пользовательского атрибута, который вы добавляете в каталог Google. Пользовательский атрибут указывает имя пользователя для его локального профиля или профиля Windows в Active Directory.

Когда пользователь впервые входит в систему на устройстве после установки GCPW, GCPW проверяет информацию о пользователе в каталоге имен пользователей Windows. GCPW получает имя пользователя Windows из каталога и ищет соответствующий профиль или имя пользователя AD на устройстве. Примечание: Для устройств, подключенных к AD, если у пользователя еще нет профиля Windows, подключенного к AD, на устройстве (поэтому ему необходимо нажать «Другой пользователь» для входа в систему), устройство должно быть подключено к AD для первого входа пользователя.

  • Если GCPW находит соответствующий профиль Windows или имя пользователя Active Directory, GCPW связывает учетную запись Google с профилем Windows и синхронизирует пароли.
  • Если в каталоге отсутствуют имена пользователей Windows, или если GCPW не находит совпадений, то на устройстве создается новый профиль Windows, связанный с учетной записью Google.
  • Для устройств, подключенных к домену Active Directory, если имя пользователя AD недействительно, GCPW может вернуть ошибку. Если для учетной записи Google не задан пользовательский атрибут, GCPW создаст профиль Windows или вернет ошибку в зависимости от типа учетной записи, которую пользователь выбрал для входа.

Чтобы узнать больше о процессе входа пользователя в систему, перейдите по ссылке «Вход в Windows после установки GCPW» .

Процесс регистрации на устройстве, подключенном к домену Active Directory.

Процесс регистрации, когда у пользователя есть локальный профиль Windows.

Прежде чем начать

Обязательно ознакомьтесь с информацией в разделе «Подготовка к установке GCPW» .

Шаг 1: Добавьте пользовательский атрибут к учетным записям пользователей.

Добавить пользовательский атрибут можно в консоли администратора, с помощью виджета в документации для разработчиков, через API каталога или с помощью Google Cloud Directory Sync (GCDS).

Добавьте в консоль администратора.

  1. В консоли администратора Google перейдите в меню. а потом Каталог а потом Пользователи .

    Для выполнения этой операции необходимы соответствующие права на управление пользователями . Без необходимых прав вы не увидите все элементы управления, необходимые для выполнения этих шагов.

  2. В верхней части списка пользователей нажмите «Ещё». а потом Управление пользовательскими атрибутами .
  3. В разделе «Стандартные атрибуты» просмотрите стандартные атрибуты в профиле пользователя.
  4. В правом верхнем углу нажмите «Добавить пользовательский атрибут» .
  5. В поле «Категория» введите Enhanced desktop security . Название категории чувствительно к регистру.
  6. В разделе «Пользовательские поля» введите следующие значения:
    1. Имя — Введите одно или оба из следующих значений в качестве отдельных записей, в зависимости от типа профиля пользователя Windows: Local Windows accounts или AD accounts . Регистр символов имеет значение.
    2. Тип информации — Выберите текст .
    3. Видимость — выберите «Видимо для пользователя и администратора» .
    4. Количество значений — Выберите «Многозначное» .
  7. Нажмите «Добавить» . На странице «Управление атрибутами пользователя» теперь отображается этот атрибут.

Примечание: Если вы введете значение «Категория» или «Название» неправильно, вы не сможете отредактировать пользовательский атрибут, чтобы исправить это. Удалите атрибут и начните заново.

Добавьте это с помощью панели «Попробовать этот API» в документации по API каталога.

В документации к API есть тестовый виджет, который позволяет отправлять запросы и аутентифицироваться с помощью вашей учетной записи суперадминистратора Google, и все это без написания кода.

Чтобы добавить пользовательский атрибут в виджет тестирования API:

  1. Откройте схему: вставьте ссылку.
  2. Справа, в панели «Попробовать этот API», введите следующие значения:
    1. customerId —Введите my_customer .
    2. Тело запроса —Удалите содержимое-заполнитель и скопируйте следующий текст в поле: 
      
{
  "displayName": "Enhanced Desktop Security",
  "fields": [
    {
      "displayName": "AD accounts",
      "fieldName": "AD_accounts",
      "fieldType": "STRING",
      "multiValued": true,
      "readAccessType": "ADMINS_AND_SELF"
    },
    {
      "displayName": "Local Windows accounts",
      "fieldName": "Local_Windows_accounts",
      "fieldType": "STRING",
      "multiValued": true,
      "readAccessType": "ADMINS_AND_SELF"
    }
  ],
  "schemaName": "Enhanced_desktop_security"
}
  3. Нажмите «Выполнить» .
  4. При появлении запроса введите учетные данные суперадминистратора.

Если ваш запрос выполнен успешно, в нижней части панели будет возвращен ответ с кодом 200. Вы также можете подтвердить создание пользовательского атрибута, открыв консоль администратора и перейдя в раздел «Пользователи». а потом Более а потом Управление пользовательскими атрибутами .

Добавить с помощью API каталога

Добавьте пользовательский атрибут с помощью Directory API .

Синхронизация с GCDS

Добавьте значения в Active Directory и используйте Google Cloud Directory Sync (GDCS) для синхронизации значений с консолью администратора.

Шаг 2: Установите пользовательский атрибут в учетной записи каждого пользователя.

Выполните следующие шаги для каждого пользователя, чью учетную запись Google GCPW вы хотите связать с существующим профилем Windows. Для получения дополнительной информации о редактировании атрибутов перейдите в раздел «Создание пользовательских атрибутов для профилей пользователей» .

Чтобы задать значения для пользовательского атрибута только для одного пользователя за раз:

  1. В консоли администратора Google перейдите в меню. а потом Каталог а потом Пользователи .

    Для выполнения этой операции необходимы соответствующие права на управление пользователями . Без необходимых прав вы не увидите все элементы управления, необходимые для выполнения этих шагов.

  2. В списке пользователей найдите пользователя и щелкните по его имени. Если вам нужна помощь, см. раздел «Поиск учетной записи пользователя» .
  3. Нажмите «Информация о пользователе» и найдите раздел «Расширенная безопасность рабочего стола» .

  4. Если у пользователя есть учетная запись Active Directory, введите его sAMAccountName в текстовое поле в следующем формате: domain\username

    Например, если ваш домен — example.com, а пользователь входит в Windows под именем пользователя jsmith, введите sAMAccountName example.comjsmith .

    Примечание:

    • Для пользователя можно указать только одну учетную запись Active Directory. Если вы укажете более одной, GCPW будет использовать только первую запись.
    • Если вы также добавите запись для локальной учетной записи (на следующем шаге), GCPW сначала выполнит поиск учетной записи Active Directory.

  5. Если у пользователя есть локальный профиль Windows, введите информацию о его учетной записи в текстовое поле в следующем формате: un:_Windows_username_ . Имя пользователя Windows может содержать пробелы. Если у пользователя несколько локальных учетных записей Windows, введите данные каждой учетной записи в новое поле «Локальные учетные записи Windows» (новое поле добавляется при начале ввода каждой учетной записи).

    Чтобы ограничить доступ пользователя к определенному устройству, введите un:_Windows_username_,sn:_device_serial_number_ . После запятой пробел не ставьте. Допускается только один серийный номер устройства.

    Например, если пользователь входит в Windows под именем пользователя jsmith, введите un:jsmith . Чтобы ограничить вход пользователя только на определенное устройство с серийным номером 123456, введите un:jsmith,sn:123456 .

  6. Нажмите « Сохранить ».

Для массового обновления пользователей можно добавить значения атрибутов одним из следующих способов:

Следующий шаг: Установка GCPW

Следуйте инструкциям в разделе «Установка поставщика учетных данных Google для Windows» .


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.