Bevor Sie Password Sync installieren, müssen Sie eine Google-Authentifizierungsmethode auswählen. Wir empfehlen das Dienstkonto. Falls Sie Password Sync über die Befehlszeile installieren, müssen Sie ein Dienstkonto verwenden.
Sie können auch das dreibeinige OAuth für die Authentifizierung verwenden, allerdings nur auf Microsoft Windows Server mit Desktopdarstellung. Wenn Sie mehr als fünf Domaincontroller haben, müssen Sie jeden Domaincontroller separat autorisieren. Das kann zeitaufwendig sein. Wir empfehlen stattdessen die Verwendung eines Dienstkontos.
Schritt 2 von 7
Option 1: Mit Dienstkonto authentifizieren
Ein Dienstkonto ist mit einer Anwendung verknüpft statt mit einem Nutzer. Von der Anwendung wird im Namen des Dienstkontos eine Anfrage an Google-APIs gesendet, sodass Nutzer nicht direkt an der Authentifizierung beteiligt sind.
Vorteile eines Dienstkontos:
- Ein Dienstkonto kann von mehreren Domainadministratoren verwaltet und überwacht werden. Wenn einer von ihnen die Organisation verlässt, hat das keine Auswirkungen auf Password Sync.
- Dienstkonten unterliegen nicht der Beschränkung für Aktualisierungstokens die für das dreibeinige OAuth gilt.
- Die Anmeldedaten des Dienstkontos werden als JSON-Datei heruntergeladen und können auf mehreren Domaincontrollern verwendet werden. Sie müssen den Autorisierungsprozess nicht für jeden Domaincontroller wiederholen.
- Dienstkonten erfordern keinen Webbrowser für die Authentifizierung. Sie können Password Sync in Windows Server Core konfigurieren.
- Sie können Password Sync über die Befehlszeile installieren und konfigurieren.
Nachteile eines Dienstkontos:
- Sie müssen ein Projekt in Google Cloud erstellen, wodurch die Einrichtung komplexer wird.
Option 2: Mit dreibeinigem OAuth authentifizieren
Beim dreibeinigen OAuth sendet die Anwendung im Namen eines Nutzers eine Anfrage an Google APIs. Anders als bei einem Dienstkonto ist es bei dreibeinigem OAuth normalerweise erforderlich, dass jeder Nutzer der Anwendung Zugriff auf seine Daten erteilt. Bei Password Sync führt der Domainadministrator diesen Schritt im Namen aller Nutzer während der Einrichtung aus. Damit die Passwörter aller Nutzer in einer Domain mit Password Sync synchronisiert werden können, muss der Domainadministrator Password Sync auf jedem Domaincontroller autorisieren.
Vorteile des dreibeinigen OAuth:
- Das dreibeinige OAuth lässt sich einfach nutzen und erfordert nur einen Einrichtungsschritt.
Nachteile des dreibeinigen OAuth:
- Es ist nur unter Windows Server mit Desktopdarstellung und nicht unter Windows Server Core verfügbar.
- Bei Domains mit mehreren Domaincontrollern wird möglicherweise die Token beschränkung überschritten. Sie müssen jeden Domaincontroller separat autorisieren. Das kann zeitaufwendig sein.
- Das dreibeinige OAuth ist an ein einzelnes Administratorkonto gebunden. Wenn das Konto deaktiviert oder gelöscht wird, funktioniert Password Sync nicht.
- Anders als bei Dienstkonten kann die Nutzung nicht in Google Cloud überwacht werden.
- Password Sync mit dreibeinigem OAuth lässt sich nicht über die Befehlszeile installieren und konfigurieren.
Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.