Hur fungerar lösenordssynkronisering?

Lösenordssynkronisering kan användas för att uppdatera användarnas lösenord för Google Workspace och Cloud Identity direkt från Microsoft Active Directory.

Lösenordssynkronisering är tillgänglig för Google Workspace- och Cloud Identity-administratörer.

Hur det fungerar

När lösenordssynkronisering har installerats och konfigurerats skickas uppdaterade lösenord till ditt Google-konto varje gång en Active Directory-användare ändrar sitt lösenord.

  1. När en användares lösenord ändras skickas uppdateringsbegäran till en domänkontrollant (DC).
  2. Dynamic Link Library (DLL) för lösenordssynkronisering anropas av Microsoft Windows på den domänkontrollanten med det nya lösenordet och användarnamnet.
  3. Tjänsten tar emot det hashade lösenordet och användarnamnet från DLL-filen.
  4. Tjänsten hämtar användarens e-postadress från Active Directory med hjälp av LDAP.
  5. Tjänsten uppdaterar ditt Google-konto med hjälp av Directory API . Dessutom måste du öppna flera portar och lägga till några värdnamn i din godkännandelista för att Google Workspace API:er ska fungera korrekt. Läs mer
  6. Användaren kan sedan logga in på sitt Google-konto med sitt Active Directory-lösenord.

Tekniska detaljer

  • I Active Directory lagras lösenord som skrivskyddade. De kan inte läsas via något gränssnitt, till exempel LDAP. Därför kan konventionella synkroniseringsmetoder (till exempel Google Cloud Directory Sync ) inte komma åt dem. Det enda sättet att läsa lösenord är att registrera dem när de ställs in eller ändras.
  • Password Sync har en DLL med namnet "password_sync_dll.dll" installerad som ett LSA-meddelandepaket. För mer information om LSA-meddelandepaket, se den här Microsoft-artikeln .
  • När ett lösenordsbyte sker på en specifik domänkontrollant tar DLL:en emot det uppdaterade lösenordet och användarens användarnamn. Password Sync måste installeras på varje skrivbar domänkontrollant eftersom Windows på den domänkontrollant som tar emot lösenordsändringen utlöser lösenordssynkroniseringen. Utlösaren sker vid varje lösenordsuppdatering, oavsett om den görs av en administratör eller av slutanvändaren. För mer information om återanropsfunktionen PasswordChangeNotify, se den här Microsoft-artikeln .
  • När DLL-filen tar emot användarnamnet och lösenordet hashar den lösenordet som saltad SHA512 och skickar det till lösenordssynkroniseringstjänsten.
  • Lösenordssynkroniseringstjänsten ("password_sync_service.exe") hittar sedan användarens e-postadress i Active Directory med hjälp av LDAP baserat på användarnamnet som skickas av DLL-filen. Den uppdaterar sedan Google-kontot med hjälp av Directory API. När lösenord ändras via Directory API återkallas vissa OAuth-tokens för applikationer. Användare kan behöva logga in igen på applikationer med sitt användarnamn och lösenord.
  • Lösenordssynkronisering följer Microsofts regler för lösenordsfilterprogrammering. Mer information finns i den här Microsoft-artikeln .


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.