Preguntas frecuentes sobre Directory Sync

¿Debo migrar de Google Cloud Directory Sync a Directory Sync?

Si solo sincronizas usuarios y grupos, es posible que Directory Sync satisfaga tus requisitos.

Si sincronizas objetos además de usuarios y grupos (por ejemplo, licencias de Google Workspace o contactos compartidos), puedes usar Directory Sync para la sincronización de usuarios y grupos, y GCDS para los demás objetos. Sin embargo, si sincronizas usuarios y grupos, debes usar la misma herramienta de sincronización para ambos.

Consulta Comparación de Directory Sync con GCDS para obtener más información.

¿Puedo usar Directory Sync para sincronizar usuarios y grupos, y GCDS para sincronizar contactos compartidos?

Sí. Puedes usar Directory Sync para sincronizar usuarios y grupos, y GCDS para sincronizar otros objetos, como contactos compartidos. Te recomendamos que uses una herramienta para sincronizar usuarios y grupos.

¿Puedo configurar Directory Sync para sincronizar contraseñas?

No, Directory Sync no puede sincronizar contraseñas de usuarios de directorios externos.

¿Por qué tengo una cuenta de servicio?

La primera vez que accedes a la página de Directory Sync en la Consola del administrador de Google, se crea automáticamente una cuenta de servicio con un rol de administración de directorios en un proyecto interno de Google Cloud.

Directory Sync usa esta cuenta para acceder a los datos de tu directorio de Google Cloud. No puedes ver ni administrar la cuenta. Las visitas posteriores a la página de Directory Sync no crean cuentas adicionales.

Puedes revisar cuándo se accedió a la cuenta en la herramienta de investigación de seguridad. Para obtener más información, consulta Eventos de registro de administrador.

¿Qué sucede si una sincronización no se ejecuta automáticamente?

No tienes que hacer nada. 

Directory Sync vuelve a intentar el proceso durante al menos 7 días después de la última sincronización exitosa. Intenta reiniciar la sincronización al menos 9 veces antes de cancelar el proceso.

¿Puedo cambiar el nombre de un grupo de directorio externo?

Sí, puedes cambiar el nombre de un grupo de directorio externo. Debes seguir algunos pasos adicionales si ejecutaste una sincronización después de agregar el grupo en la sección Alcance del usuario de Directory Sync con la casilla Suspender usuario en el directorio de Google marcada. En este caso, sigue las instrucciones que se indican a continuación para cambiar el nombre del grupo.

Nota: Si el caso anterior no se aplica a tu configuración, puedes cambiar el nombre del grupo de directorio externo sin estos pasos adicionales.

1. Inhabilita la sincronización.

   Para obtener más información, consulta Cómo activar o desactivar una sincronización.

2. En la página Detalles del directorio, junto a Sincronización de usuarios, haz clic en Editar .
3. Ingresa el nombre del grupo nuevo y guarda la configuración de sincronización.
4. En tu directorio externo, cambia el nombre del grupo.
5. En Directory Sync, en Alcance del usuario, quita el nombre del grupo anterior y guarda la configuración de sincronización.

¿Qué sucede con los usuarios si se borra un grupo en el directorio externo?

Si se borra un grupo definido en el alcance del usuario en el directorio externo, el usuario del directorio de Google Cloud permanece activo o suspendido después de una sincronización, según la configuración de Anulación del aprovisionamiento. Esta acción continúa hasta que quitas el grupo del alcance de la sincronización.

Si borras el grupo en el directorio externo y lo vuelves a agregar con el mismo nombre, Directory Sync sincroniza el grupo como si fuera un grupo nuevo (porque tiene un ID de grupo nuevo).

Para obtener más información, consulta Suspender usuarios que no se encuentran en el directorio externo.

¿Puedo sincronizar usuarios con un dominio secundario?

Sí, puedes usar Directory Sync para sincronizar usuarios con un dominio secundario.

Asegúrate de que las direcciones de correo electrónico de los usuarios en tu directorio externo coincidan con el nombre de tu dominio secundario. Si no deseas realizar cambios en tu atributo de correo electrónico existente, usa otro atributo y asígnalo cuando configures la sincronización de usuarios. Durante una sincronización, Directory Sync crea los usuarios en tu directorio de Google Cloud con tu dominio secundario como dirección de correo electrónico principal.

Para obtener más información, consulta Reemplaza el nombre de dominio de los usuarios sincronizados.

¿Puedo sincronizar usuarios de Google que tengan privilegios de administrador?

No. Directory Sync no sincroniza datos de usuarios administradores en Google Workspace.

Si necesitas sincronizar usuarios administradores, considera usar Google Cloud Directory Sync. Para obtener más información, consulta Acerca de Google Cloud Directory Sync.

¿Puedo sincronizar grupos anidados?

Sí, puedes sincronizar grupos anidados cuando usas Directory Sync. Para conocer los pasos, consulta Configura la sincronización de grupos.

¿Puedo crear el conector de acceso a la VPC en un proyecto independiente?

Para simplificar la configuración de la red, te recomendamos que crees el conector de acceso a la nube privada virtual (VPC) en el mismo proyecto que Cloud VPN o Cloud Interconnect. Si deseas crear el conector de acceso a la VPC en un proyecto diferente, usa VPC compartida. Para obtener más información, consulta VPC compartida.

¿Cómo debo dar formato al DN base cuando configuro una sincronización?

Tu servidor LDAP usa el DN base como punto de partida cuando busca objetos de directorio, como usuarios y grupos. Cuanto más reducido sea el alcance del DN base, mejor será el rendimiento de la búsqueda.

Ejemplos

Te recomendamos que uses los atributos objectClass y objectQuery para acotar aún más tu consulta. Para obtener más información, consulta Filtrar por objectCategory y objectClass.

Temas relacionados

• Consideraciones sobre LDAP en el ajuste del rendimiento de ADDS
• ¿Qué hace que una consulta sea rápida?

¿Puedo sincronizar desde varias conexiones de AD?

Sí, puedes crear hasta 50 conexiones de AD. El dominio de AD debe ser único para cada conexión.

¿Cómo puedo mejorar el rendimiento de la búsqueda con mis consultas LDAP?

Para mejorar el rendimiento de la búsqueda, haz lo siguiente:

• DN base: Ajusta el DN base para que sea lo más específico posible. Por ejemplo, si tus usuarios o grupos están en una jerarquía de unidades organizativas, usa la consulta de búsqueda para que apunte al superior de la jerarquía en lugar de a la unidad organizativa raíz. De esta manera, se garantiza que la búsqueda LDAP se realice en la jerarquía de unidades organizativas específica en lugar de en todo el directorio.
• Alcance: Ten en cuenta el nivel de jerarquía que se incluye en tu consulta LDAP.

  En este ejemplo, la jerarquía de unidades organizativas se divide en regiones (1er nivel) y países (2do nivel). Si tus usuarios y grupos están en la unidad organizativa de APAC, establece el alcance de la consulta LDAP como Un nivel para que la consulta busque solo la unidad de APAC (y no sus unidades de 2do nivel). Si deseas incluir las unidades organizativas de 2do nivel en la búsqueda, establece el alcance en Subárbol.

Temas relacionados

• Consideraciones sobre LDAP en el ajuste del rendimiento de ADDS
• ¿Qué hace que una consulta sea rápida?

¿Existe un límite para la cantidad de conexiones de Azure Active Directory que puedo sincronizar?

Sí, solo puedes agregar una conexión de Microsoft Azure Active Directory.

¿Cuántos grupos puedo agregar en el alcance de usuarios y grupos?

• Alcance del usuario: 2,000 grupos (un límite de 100,000 caracteres en total para todos los grupos)
• Alcance del grupo: 400 grupos (un límite de 17,000 caracteres en total para todos los grupos)