2. בחירת שיטת אימות

לפני שמתקינים את סנכרון סיסמאות, צריך לבחור שיטת אימות של Google. מומלץ להשתמש בחשבון שירות לצורך אימות. אם מתקינים את סנכרון סיסמאות משורת הפקודה, צריך להשתמש בחשבון שירות.

אפשר גם להשתמש ב-OAuth תלת-רגלי לאימות, אבל רק ב-Microsoft Windows Server עם Desktop Experience. אם יש לכם יותר מ-5 בקרי דומיינים, אתם צריכים לתת הרשאה לכל בקר דומיינים בנפרד, וזה יכול לקחת הרבה זמן. מומלץ להשתמש בחשבון שירות במקום זאת.

הגעת לשלב 2 מתוך 7

אפשרות 1: שימוש בחשבון שירות לצורך אימות

חשבון שירות שייך לאפליקציה ולא למשתמש. האפליקציה שולחת בקשה לממשקי Google API בשם חשבון השירות, כך שהמשתמשים לא מעורבים ישירות בתהליך האימות.

היתרונות של חשבון שירות:

  • כמה אדמינים של דומיין יכולים לנהל חשבון שירות ולעקוב אחריו. לכן, גם אם האדמין משתנה, סנכרון הסיסמאות לא מושפע.
  • חשבונות שירות לא כפופים למגבלת טוקן רענון שמשפיעה על OAuth תלת-רגלי.
  • פרטי הכניסה של חשבון השירות מורדים כקובץ JSON, ואפשר להשתמש בהם בהרבה בקרי דומיינים. לא צריך לחזור על תהליך ההרשאה לכל בקר דומיין.
  • חשבונות שירות לא דורשים דפדפן אינטרנט לצורך אימות. אפשר להגדיר את סנכרון סיסמאות כשמשתמשים ב-Windows Server Core.
  • אפשר להתקין ולהגדיר את סנכרון סיסמאות באמצעות שורת הפקודה.

חסרונות של חשבון שירות:

  • צריך ליצור פרויקט ב-Google Cloud, מה שהופך את ההגדרה למורכבת יותר.

אפשרות 2: שימוש ב-OAuth תלת-רגלי לאימות

ב-OAuth עם 3 רגליים, האפליקציה שולחת בקשה ל-Google APIs בשם משתמש. עם זאת, בניגוד לחשבון שירות, ב-OAuth עם 3 רגליים כל משתמש צריך בדרך כלל לתת לאפליקציה הרשאה לגשת לנתונים שלו. ב-סנכרון סיסמאות, מנהל הדומיין מבצע את השלב הזה בשם כל המשתמשים במהלך תהליך ההגדרה. בתמורה, כדי ש-סנכרון סיסמאות יסנכרן בהצלחה את סיסמאות המשתמשים של כל משתמש בדומיין, מנהל הדומיין צריך לאשר את סנכרון סיסמאות בכל בקר דומיין (DC).

היתרונות של OAuth תלת-רגלי:

  • השימוש ב-OAuth עם 3 רגליים הוא פשוט ודורש רק שלב הגדרה אחד.

חסרונות של OAuth תלת-רגלי:

  • היא זמינה רק ב-Windows Server עם Desktop Experience ולא ב-Windows Server Core.
  • בדומיינים עם כמה בקרי דומיין יכול להיות שתחרגו ממגבלת הטוקנים. תצטרכו לתת הרשאה לכל בקר דומיין בנפרד, וזה יכול לקחת זמן.
  • ‫OAuth עם 3 רגליים קשור לחשבון אדמין יחיד. אם החשבון מושבת או נמחק, סנכרון סיסמאות לא יפעל.
  • בניגוד לחשבונות שירות, אי אפשר לעקוב אחרי השימוש ב-Google Cloud.
  • אי אפשר להתקין ולהגדיר את סנכרון סיסמאות באמצעות שורת הפקודה עם OAuth תלת-רגלי.


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.