5. Password Sync konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie Password Sync mit dem Konfigurationsassistenten einrichten. Eine Anleitung zur Einrichtung über die Befehlszeile finden Sie unter rufen Sie Password Sync über die Befehlszeile installieren und konfigurieren auf.

Als Nächstes müssen Sie Ihre Google Workspace-Domain und die Authentifizierungsmethode hinzufügen.

Sie sind bei Schritt 5 von 7

Schritt 1: Google Workspace-Domain hinzufügen

  1. Klicken Sie im Menü Start auf Password Sync und dann Ja und dann Weiter.

  2. Fügen Sie die E-Mail-Adresse Ihres Google Workspace-Administrators hinzu.

    Password Sync verwendet diese E-Mail-Adresse, um Passwortaktualisierungen durchzuführen. Die E-Mail-Adresse des Administrators wird auch in den Audit-Logs in der Admin-Konsole angezeigt.

    Wichtig: Bevor Sie fortfahren, muss sich dieser Administrator in der Admin-Konsole angemeldet und die Nutzungsbedingungen akzeptiert haben.

Schritt 2: Authentifizierungsmethode einrichten

Wenn Sie ein Dienstkonto verwenden:

  1. Wählen Sie Dienstkonto aus.

  2. Klicken Sie auf Anmeldeinformationen laden und wählen Sie die JSON-Datei Ihres Dienstkontos aus.

    Im Feld Status sollte nun der Wert Autorisiert angezeigt werden.

    Hinweis: Die JSON-Datei enthält einen Schlüssel, der den Zugriff auf Ihre Google-Domain ermöglicht. Entfernen Sie die Datei nach der Authentifizierung aus dem System.

Wenn Sie dreibeiniges OAuth verwenden:

  1. Wählen Sie 3-legged OAuth (Dreibeiniges OAuth) und dann Authorize Now (Jetzt autorisieren) aus.
  2. Melden Sie sich über die E-Mail-Adresse, die Sie zur Einrichtung des dreibeinigen OAuths verwendet haben, in Ihrem Google-Konto an und klicken Sie auf Continue (Weiter).
  3. Wenn Sie dazu aufgefordert werden, geben Sie Ihren Administratornutzernamen und Ihr Passwort ein und klicken Sie auf Sign in (Anmelden).

  4. Klicken Sie auf Zulassen.

    Es wird folgende Meldung angezeigt: „Die Autorisierung ist erfolgt. Wechseln Sie zu Ihrer Anwendung.“

  5. Schließen Sie den Browser und kehren Sie zu Password Sync zurück. Im Feld Status sollte nun der Wert Autorisiert angezeigt werden.

  6. Wenn auf dem Password Sync-Bildschirm nicht Autorisiert angezeigt wird, sehen Sie sich die Fehlermeldung unten auf dem Password Sync Konfigurationsbildschirm an. In der Regel ist die Autorisierung blockiert, weil der Nutzer kein Super Admin ist oder die Uhrzeit und die Zeitzone auf Ihrem Server nicht richtig eingestellt sind.

Schritt 3: Active Directory-Einstellungen konfigurieren

  1. Klicken Sie auf Weiter.
  2. Wählen Sie die Zugriffsmethode für die Autorisierung aus, die in Password Sync bei der Abfrage von Microsoft Active Directory-Daten verwendet werden soll. Weitere Informationen finden Sie weiter unten unter Autorisierung Zugriffsmoden.

  3. Übernehmen Sie für Base Distinguished Name (DN) den Standardwert oder geben Sie einen anderen Base DN ein.

    Wenn Sie Google Cloud Directory Sync (GCDS) verwenden, ist diese Einstellung in der Regel identisch zur „Base DN“-Einstellung in GCDS.

  4. Geben Sie unter Mail Attribute (E-Mail-Attribut) das E-Mail-Attribut Ihrer Active Directory-Domain ein, das die Google-E-Mail-Adresse jedes Nutzers enthält (normalerweise „mail“).

    Die Werte im Attribut müssen genau mit der Google-E-Mail-Adresse übereinstimmen, einschließlich des Domainteils der Adresse. Wenn Sie in GCDS die Option Domainnamen in LDAP-E-Mail-Adressen ersetzen verwenden, ist das möglicherweise ein anderes Attribut.

  5. Klicken Sie auf Weiter.

    Auf dem Bildschirm „Summary“ (Zusammenfassung) wird angezeigt, dass die Konfiguration gespeichert wurde und der Dienst ausgeführt wird.

  6. Klicken Sie auf Beenden.

  7. Wiederholen Sie diese Schritte für jeden Domaincontroller in Ihrer Domain.

Zugriffsmethoden für die Autorisierung

Zugriffsmethode Beschreibung
Sicherheitskontext der Anwendung

Die Standardeinstellung und die empfohlene Einstellung. Password Sync wird im Sicherheitskontext des NetworkService-Kontos ausgeführt und nicht in dem eines Nutzerkontos.

Wenn Sie Server Core-Domaincontroller verwenden oder Password Sync über die Befehlszeile konfigurieren, müssen Sie diese Option auswählen.
Anonym In Password Sync werden Active Directory Services Interfaces (ADSI) für die Authentifizierung verwendet.

Wir raten von einem anonymen Zugriff ab, da er von den meisten Active Directory-Konfigurationen nicht unterstützt wird.
Nutzeranmeldedaten

Password Sync handelt im Auftrag eines autorisierten Nutzers. Dieser Nutzer muss kein Domainadministrator sein. Es kann sich auch um ein Rollenkonto mit den folgenden Berechtigungen handeln: „Inhalte auflisten“, „Alle Eigenschaften lesen“ und „Leseberechtigungen“ für „Dieses und alle untergeordneten Objekte“.

Der autorisierte Nutzer ruft die E-Mail-Adressen der Nutzer aus Active Directory ab. Diese Nutzer müssen daher die Leseberechtigung für das Attribut „mail“ aller Nutzer haben, deren Passwörter Sie synchronisieren möchten.

Wenn Sie diese Option auswählen, füllen Sie die Felder Autorisierter Nutzer und Passwort aus.


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.