将 Google 账号与现有 Windows 配置文件相关联

作为管理员,您可以设置 Windows 版 Google 凭据提供程序 (GCPW),为用户提供更加简单的初次登录体验。您可以让 GCPW 将用户的现有 Windows 配置文件与他们的 Google 账号相关联。如此一来,用户就可以使用他们的 Google 账号登录工作用的 Windows 配置文件。GCPW 还会将用户的 Google 密码与 Windows 密码同步。

账号关联的运作方式

GCPW 会根据您添加到 Google 目录的自定义属性,将用户的 Google 账号与现有的本地 Windows 配置文件或 Active Directory Windows 配置文件相关联。自定义属性指定用户本地 Windows 配置文件或 AD Windows 配置文件的用户名。

当用户在您安装 GCPW 后首次登录设备时,GCPW 会在目录中查找用户的 Windows 用户名信息。GCPW 会从目录获取用户的 Windows 用户名,并在设备上查找匹配的配置文件或 AD 用户名。注意:对于加入 AD 的设备,如果用户在设备上尚无基于 AD 的 Windows 配置文件(因此他们必须点击其他用户进行登录),则设备必须连接到 AD 后用户才能进行初次登录。

  • 如果 GCPW 找到了匹配的 Windows 配置文件或 AD 用户名,就会将 Google 账号与 Windows 配置文件相关联,并同步密码。
  • 如果目录不包含用户任何的 Windows 用户名,或是 GCPW 未找到匹配内容,系统即会在设备上新建 Windows 配置文件,然后将其与 Google 账号相关联。
  • 对于已加入 AD 网域的设备,如果 AD 用户名无效,则 GCPW 可能会返回错误消息。如果您没有为 Google 账号设置自定义属性,则 GCPW 会创建 Windows 配置文件或返回错误消息,具体情况取决于用户点击登录的账号类型。

如需详细了解用户登录体验,请参阅安装 GCPW 后登录 Windows

加入 AD 网域的设备上的注册流程

用户拥有本地 Windows 配置文件时的注册流程

准备工作

请务必查看准备安装 GCPW 一文中的信息。

第 1 步:为用户账号添加自定义属性

您可以通过管理控制台、开发者帮助文档中的微件、Directory API 或 Google Cloud Directory Sync (GCDS) 添加自定义属性。

在管理控制台中添加

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 目录 然后用户

    需要拥有相应的用户管理权限。如果您没有正确的权限,则无法看到完成这些步骤所需的所有控件。

  2. 用户列表的顶部,点击更多 然后管理自定义属性
  3. 标准属性下方,查看用户个人资料中的标准属性。
  4. 点击右上角的添加自定义属性
  5. 类别下,输入 Enhanced desktop security。此类别名称区分大小写。
  6. 自定义字段下方,输入以下值:
    1. 名称 - 根据用户的 Windows 配置文件类型,将以下两项或其中一项作为独立的条目输入:Local Windows accountsAD accounts。此名称区分大小写。
    2. 信息类型 - 选择文本
    3. 公开范围 - 选择用户和管理员可以看到
    4. 值数量 - 选择多个值
  7. 点击添加。该属性会出现在管理用户属性页面。

注意:如果您输入的类别名称值有误,将无法编辑自定义属性进行修正。您需要删除属性并重新添加。

通过 Directory API 文档中的“试用此 API”面板添加自定义属性

该 API 帮助文档中有一个测试微件,可让您通过超级用户 Google 账号发送请求并进行身份验证,而无需进行任何编码。

如需通过 API 测试 widget 添加自定义属性,请执行以下操作:

  1. 打开 Schemas: insert 参考文件。
  2. 在右侧的“Try this API”(试用此 API)面板中,输入以下值:
    1. customerId - 输入 my_customer
    2. Request body(请求正文)- 删除占位符内容,并将以下文本复制到字段中: 
      
{
  "displayName": "Enhanced Desktop Security",
  "fields": [
    {
      "displayName": "AD accounts",
      "fieldName": "AD_accounts",
      "fieldType": "STRING",
      "multiValued": true,
      "readAccessType": "ADMINS_AND_SELF"
    },
    {
      "displayName": "Local Windows accounts",
      "fieldName": "Local_Windows_accounts",
      "fieldType": "STRING",
      "multiValued": true,
      "readAccessType": "ADMINS_AND_SELF"
    }
  ],
  "schemaName": "Enhanced_desktop_security"
}
  3. 点击执行
  4. 系统提示时,输入超级用户账号的账号凭据。

如果请求成功,面板底部会返回响应码“200”。您还可以确认自定义属性是否已创建成功,方法是打开管理控制台并前往用户 然后更多 然后管理自定义属性

使用 Directory API 添加自定义属性

使用 Directory API 添加自定义属性。

与 GCDS 同步

在 Active Directory 中添加相应的值,然后使用 Google Cloud Directory Sync (GDCS) 将值同步到管理控制台。

第 2 步:为每位用户的账号设置自定义属性

如果您想让 GCPW 将用户的 Google 账号与现有 Windows 配置文件相关联,请分别为每位用户完成以下步骤。如需详细了解如何修改属性,请参阅为用户个人资料创建自定义属性

要为用户设置自定义属性的值,请执行以下操作(一次只能为一位用户设置):

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 目录 然后用户

    需要拥有相应的用户管理权限。如果您没有正确的权限,则无法看到完成这些步骤所需的所有控件。

  2. 用户列表中,找到相应用户并点击其姓名。如果需要帮助,请参阅查找用户账号
  3. 点击用户信息,然后找到增强的桌面设备安全性部分。

  4. 如果用户已有 Active Directory 账号,请在文本字段中输入其 sAMAccountName,格式如下:<域名>\<用户名>

    例如,如果您的域名为 example.com,且用户通过用户名 jsmith 登录 Windows,则输入 sAMAccountName example.comjsmith

    注意

    • 您只能为每位用户输入一个 Active Directory 账号。如果您输入多个账号,GCPW 只会使用您输入的第一个账号。
    • 如果您同时为本地账号添加了条目(后续步骤),GCPW 会先搜索 Active Directory 账号。

  5. 如果用户已有本地 Windows 配置文件,请在文本字段中输入其账号信息,格式如下:un:_Windows_username_。Windows 用户名可以包含空格。如果用户有多个本地 Windows 账号,请在新的本地 Windows 账号字段中输入各个账号(当您开始输入账号时,系统便会添加新的字段)。

    如需限制用户访问特定设备,请输入 un:_Windows_username_,sn:_device_serial_number_。请勿在逗号后添加空格,且您仅能输入一组设备序列号。

    例如,如果用户通过用户名 jsmith 登录 Windows,则您需输入 un:jsmith。要限制用户登录序列号为 123456 的特定设备,您需输入 un:jsmith,sn:123456

  6. 点击保存

如需批量更新用户,您可以通过以下任一方式添加属性值:

下一步:安装 GCPW

按照安装 Windows 版 Google 凭据提供程序中的说明操作。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。