Den här sidan gäller Directory Sync. Om du använder Google Cloud Directory Sync (GCDS) går du till GCDS . Directory Sync är för närvarande i en offentlig betaversion.
Nedan följer vanliga frågor om att konfigurera och köra en synkronisering med Directory Sync.
Allmänt | Synkronisera användare och grupper | Active Directory | Azure Active Directory
Installation
Ska jag byta från Google Cloud Directory Sync till Directory Sync?
Om du bara synkroniserar användare och grupper kan Directory Sync uppfylla dina krav.
Om du synkroniserar objekt utöver användare och grupper (till exempel Google Workspace-licenser eller delade kontakter) kan du överväga att använda Directory Sync för användar- och gruppsynkronisering och använda GCDS för de andra objekten. Men om du synkroniserar både användare och grupper måste du använda samma synkroniseringsverktyg för båda.
Läs Jämför katalogsynkronisering med GCDS för mer information.
Kan jag använda Directory Sync för synkronisering av användare och grupp och GCDS för synkronisering av delade kontakter?
Ja. Du kan använda Directory Sync för att synkronisera användare och grupper och GCDS för att synkronisera andra objekt, till exempel delade kontakter. Vi rekommenderar att du använder ett enda verktyg för att synkronisera användare och grupper.
Kan jag konfigurera Directory Sync för att synkronisera lösenord?
Nej, Directory Sync kan inte synkronisera användarlösenord från externa kataloger.
Varför har jag ett servicekonto?
Första gången du går till sidan Katalogsynkronisering i Googles administratörskonsol skapas automatiskt ett tjänstkonto med en kataloghanteringsroll i ett internt Google Cloud-projekt.
Directory Sync använder det här kontot för att komma åt dina Google Cloud-katalogdata. Du kan inte visa eller hantera kontot. Efterföljande besök på Directory Sync-sidan skapar inga ytterligare konton.
Du kan se när kontot används i säkerhetsutredningsverktyget. För mer information, gå till Administratörslogghändelser .
Synkronisera användare och grupper
Vad händer om en synkronisering misslyckas med att köras automatiskt?
Du behöver inte göra någonting.
Katalogsynkroniseringen försöker genomföra processen igen i minst 7 dagar efter den senaste lyckade synkroniseringen. Den försöker starta om synkroniseringen minst 9 gånger innan processen avbryts.
Kan jag byta namn på en extern kataloggrupp?
Ja, du kan ändra namnet på en extern kataloggrupp. Du måste vidta några extra steg om du har kört en synkronisering efter att ha lagt till gruppen i avsnittet Användaromfattning i Directory Sync med rutan Stäng av användaren i Google-katalogen markerad. I det här fallet följer du instruktionerna nedan för att ändra gruppnamnet.
Obs ! Om scenariot ovan inte gäller din installation kan du byta namn på den externa kataloggruppen utan dessa ytterligare steg.
- Inaktivera synkroniseringen.
För mer information, gå till Aktivera eller inaktivera en synkronisering .
- På sidan Kataloginformation , bredvid Användarsynkronisering , klickar du på Redigera
. - Ange det nya gruppnamnet och spara synkroniseringskonfigurationen.
- Byt namn på gruppen i din externa katalog.
- I Katalogsynkronisering, under Användaromfattning , ta bort det gamla gruppnamnet och spara synkroniseringskonfigurationen.
Vad händer med användare om en grupp tas bort i den externa katalogen?
Om en grupp som definierats i användarområdet tas bort i den externa katalogen förblir användaren i Google Cloud-katalogen aktiv eller avstängd efter en synkronisering beroende på din inställning för avprovisionering . Denna åtgärd fortsätter tills du tar bort gruppen från synkroniseringens omfattning.
Om du tar bort gruppen i den externa katalogen och lägger till den igen med samma namn, synkroniserar Directory Sync gruppen som om det vore en ny grupp (eftersom den har ett nytt grupp-ID).
För mer information, gå till Stäng av användare som inte hittas i den externa katalogen .
Kan jag synkronisera användare till en sekundär domän?
Ja, du kan använda Directory Sync för att synkronisera användare till en sekundär domän.
Se till att användarnas e-postadresser i din externa katalog matchar ditt sekundära domännamn. Om du inte vill göra ändringar i ditt befintliga e-postattribut använder du ett annat attribut och tilldelar attributet när du konfigurerar användarsynkroniseringen. Under en synkronisering skapar Directory Sync användarna i din Google Cloud-katalog med din sekundära domän som primär e-postadress.
För mer information, gå till Ersätt domännamnet för synkroniserade användare .
Kan jag synkronisera Google-användare som har administratörsbehörighet?
Nej. Directory Sync synkroniserar inte data för administratörsanvändare i Google Workspace.
Om du behöver synkronisera administratörsanvändare kan du överväga att använda Google Cloud Directory Sync. För mer information, gå till Om Google Cloud Directory Sync .
Kan jag synkronisera kapslade grupper?
Ja, du kan synkronisera kapslade grupper när du använder Directory Sync. För stegen, gå till Konfigurera gruppsynkroniseringen .
Active Directory
Kan jag skapa VPC-åtkomstanslutningen i ett separat projekt?
För att förenkla nätverkskonfigurationen rekommenderar vi att du skapar åtkomstanslutningen för virtuellt privat moln (VPC) i samma projekt som Cloud VPN eller Cloud Interconnect. Om du vill skapa VPC-åtkomstanslutningen i ett annat projekt använder du delad VPC. För mer information, gå till översikt över delad VPC .
Hur formaterar jag bas-DN:et när jag konfigurerar en synkronisering?
Din LDAP-server använder bas-DN som utgångspunkt när den söker efter katalogobjekt, till exempel användare och grupper. Ju snävare omfattningen av bas-DN:et är, desto bättre presterar det vid sökning.
Exempel
| Typ av bas-DN-sökning | Exempel | Anteckningar |
|---|---|---|
| Ange bas-DN på översta nivån | dc=exempel, dc=com | Söker igenom alla objekt i katalogen. Sökprestandan kan vara låg. |
| Ange en organisationsenhet | ou=försäljning, dc=exempel, dc=com | Söker efter alla objekt under en organisationsenhet. |
Ange en användares sökning | cn=Användare, dc=exempel, dc=com | Söker igenom alla användare i katalogen. |
Vi rekommenderar att du använder attributen objectClass och objectQuery för att ytterligare begränsa din fråga. För mer information, gå till Filter on objectCategory and objectClass .
Relaterade ämnen
Kan jag synkronisera från flera AD-anslutningar?
Ja, du kan skapa upp till 50 AD-anslutningar. AD-domänen måste vara unik för varje anslutning.
Hur kan jag förbättra sökprestanda med mina LDAP-frågor?
För att förbättra sökprestanda:
- Bas-DN – Justera bas-DN:et för att göra det så specifikt som möjligt. Om dina användare eller grupper till exempel finns i en organisationsenhetshierarki, använd sökfrågan för att peka på hierarkins överordnade enhet istället för rotorganisationsenheten. Detta säkerställer att LDAP-sökningen sker i den specifika organisationsenhetens hierarki istället för i hela katalogen.
- Omfattning – Tänk på vilken hierarkinivå som ingår i din LDAP-fråga.
I det här exemplet är din organisationsenhetshierarki uppdelad i regioner (1:a nivån) och länder (2:a nivån). Om dina användare och grupper finns i organisationsenheten i Asien-Stillahavsområdet (APAC), ange omfattningen för LDAP-frågan till En nivå så att frågan bara söker i APAC-enheten (och inte dess enheter på andra nivån). Om du vill inkludera organisationsenheterna på andra nivån i sökningen, ange omfattningen till Underträd .
Relaterade ämnen
Azure Active Directory
Finns det en gräns för antalet Azure Active Directory-anslutningar jag kan synkronisera?
Ja, du kan bara lägga till en Microsoft Azure Active Directory-anslutning.
Hur många grupper kan jag lägga till under användar- och gruppomfånget?
- Användaromfattning – 2 000 grupper (en teckengräns på totalt 100 000 för alla grupper)
- Gruppomfattning – 400 grupper (en teckengräns på totalt 17 000 för alla grupper)
Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.