2. בחירת שיטת אימות

לפני שמתקינים את Password Sync, צריך לבחור שיטת אימות של Google. מומלץ להשתמש בחשבון שירות לצורך אימות. אם מתקינים את Password Sync משורת הפקודה, צריך להשתמש בחשבון שירות.

אפשר גם להשתמש ב-OAuth עם 3 רגליים לאימות, אבל רק ב-Microsoft Windows Server עם Desktop Experience. אם יש לכם יותר מ-5 בקרי דומיינים, אתם צריכים לתת הרשאה לכל בקר דומיין בנפרד, וזה יכול לקחת הרבה זמן. במקום זאת, מומלץ להשתמש בחשבון שירות.

הגעת לשלב 2 מתוך 7

אפשרות 1: שימוש בחשבון שירות לצורך אימות

חשבון שירות שייך לאפליקציה ולא למשתמש. האפליקציה שולחת בקשה לממשקי Google API בשם חשבון השירות, כך שהמשתמשים לא מעורבים ישירות בתהליך האימות.

היתרונות של חשבון שירות:

  • כמה אדמינים של דומיין יכולים לנהל חשבון שירות ולעקוב אחריו. לכן, גם אם האדמין משתנה, סנכרון הסיסמאות לא מושפע.
  • חשבונות שירות לא כפופים למגבלת טוקנים של רענון שמשפיעה על OAuth תלת-רגלי.
  • פרטי הכניסה של חשבון השירות מורדים כקובץ JSON ואפשר להשתמש בהם בהרבה בקרי דומיין. אין צורך לחזור על תהליך ההרשאה לכל בקר דומיין.
  • חשבונות שירות לא דורשים דפדפן אינטרנט לצורך אימות. אפשר להגדיר את Password Sync כשמשתמשים ב-Windows Server Core.
  • אפשר להתקין ולהגדיר את Password Sync באמצעות שורת הפקודה.

חסרונות של חשבון שירות:

  • צריך ליצור פרויקט ב-Google Cloud, מה שהופך את ההגדרה למורכבת יותר.

אפשרות 2: שימוש ב-OAuth תלת-רגלי לאימות

ב-OAuth 3.0, האפליקציה שולחת בקשה לממשקי Google API בשם משתמש. עם זאת, בניגוד לחשבון שירות, OAuth תלת-רגלי בדרך כלל מחייב כל משתמש לתת לאפליקציה הרשאה לגשת לנתונים שלו. ב-Password Sync, אדמין הדומיין מבצע את השלב הזה בשם כל המשתמשים במהלך תהליך ההגדרה. כדי ש-Password Sync יסנכרן בהצלחה את הסיסמאות של כל המשתמשים בדומיין, האדמין של הדומיין צריך לאשר את השימוש ב-Password Sync בכל בקר דומיין.

היתרונות של OAuth תלת-רגלי:

  • השימוש ב-OAuth עם 3 רגליים הוא פשוט ודורש רק שלב הגדרה אחד.

חסרונות של OAuth תלת-רגלי:

  • היא זמינה רק ב-Windows Server עם Desktop Experience ולא ב-Windows Server Core.
  • בדומיינים עם כמה בקרי דומיין יכול להיות שהמספר יעלה על מגבלת הטוקן. צריך להעניק הרשאה לכל בקר דומיין בנפרד, וזה יכול לקחת זמן.
  • ‫OAuth עם 3 רגליים קשור לחשבון אדמין יחיד. אם החשבון מושבת או נמחק, סנכרון הסיסמאות לא יפעל.
  • בניגוד לחשבונות שירות, אי אפשר לעקוב אחרי השימוש ב-Google Cloud.
  • אי אפשר להתקין ולהגדיר את Password Sync באמצעות שורת הפקודה עם OAuth תלת-רגלי.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.