Hoe werkt wachtwoordsynchronisatie?

Met Password Sync kunt u de wachtwoorden van uw gebruikers voor Google Workspace en Cloud Identity rechtstreeks vanuit Microsoft Active Directory bijwerken.

Wachtwoordsynchronisatie is beschikbaar voor beheerders van Google Workspace en Cloud Identity.

Hoe het werkt

Nadat Password Sync is geïnstalleerd en geconfigureerd, stuurt het bijgewerkte wachtwoorden naar uw Google-account telkens wanneer een Active Directory-gebruiker zijn of haar wachtwoord wijzigt.

  1. Wanneer het wachtwoord van een gebruiker wordt gewijzigd, wordt het updateverzoek naar een domeincontroller (DC) verzonden.
  2. De Dynamic Link Library (DLL) Password Sync wordt door Microsoft Windows op die domeincontroller aangeroepen met het nieuwe wachtwoord en de nieuwe gebruikersnaam.
  3. De service ontvangt het gehashte wachtwoord en de gebruikersnaam van de DLL.
  4. De service haalt het e-mailadres van de gebruiker op uit Active Directory via LDAP.
  5. De service werkt uw Google-account bij met behulp van de Directory API . Daarnaast moet u, om de Google Workspace API's correct te laten werken, een aantal poorten openen en enkele hostnamen aan uw whitelist toevoegen. Meer informatie
  6. De gebruiker kan zich vervolgens aanmelden bij zijn Google-account met zijn Active Directory-wachtwoord.

Technische details

  • In Active Directory worden wachtwoorden alleen-schrijfbaar opgeslagen. Ze kunnen via geen enkele interface, zoals LDAP, worden gelezen. Daarom hebben conventionele synchronisatiemethoden (zoals Google Cloud Directory Sync ) er geen toegang toe. De enige manier om wachtwoorden te lezen is door ze vast te leggen wanneer ze worden ingesteld of gewijzigd.
  • Password Sync heeft een DLL met de naam "password_sync_dll.dll" geïnstalleerd als een LSA-notificatiepakket. Raadpleeg dit Microsoft-artikel voor meer informatie over LSA-notificatiepakketten.
  • Wanneer een wachtwoord wordt gewijzigd op een specifieke domeincontroller (DC), ontvangt de DLL het bijgewerkte wachtwoord en de gebruikersnaam van de gebruiker. Wachtwoordsynchronisatie moet op elke beschrijfbare DC worden geïnstalleerd, omdat Windows op de DC die de wachtwoordwijziging ontvangt, de wachtwoordsynchronisatie activeert. Deze activering vindt plaats bij elke wachtwoordwijziging, ongeacht of deze door een beheerder of door de eindgebruiker wordt uitgevoerd. Raadpleeg dit Microsoft-artikel voor meer informatie over de callbackfunctie PasswordChangeNotify.
  • Wanneer de DLL de gebruikersnaam en het wachtwoord ontvangt, hasht deze het wachtwoord met een salted SHA512-hash en stuurt deze naar de wachtwoordsynchronisatieservice.
  • De wachtwoordsynchronisatieservice ("password_sync_service.exe") zoekt vervolgens het e-mailadres van de gebruiker in Active Directory op met behulp van LDAP, gebaseerd op de gebruikersnaam die door de DLL is verzonden. Daarna wordt het Google-account bijgewerkt met behulp van de Directory API. Wanneer wachtwoorden worden gewijzigd via de Directory API, worden sommige OAuth-tokens van applicaties ingetrokken. Gebruikers moeten mogelijk opnieuw inloggen bij applicaties met hun gebruikersnaam en wachtwoord.
  • Password Sync volgt de programmeerrichtlijnen van Microsoft voor wachtwoordfilters. Raadpleeg dit Microsoft-artikel voor meer informatie.


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.