Jak działa Password Sync?

Narzędzie Password Sync może służyć do aktualizowania haseł użytkowników Google Workspace i Cloud Identity bezpośrednio w Microsoft Active Directory.

Narzędzie Password Sync jest dostępne dla administratorów Google Workspace i Cloud Identity.

Jak to działa

Po instalacji i konfiguracji narzędzie Password Sync wysyła zaktualizowane hasła do Twojego konta Google za każdym razem, gdy użytkownik Active Directory zmieni swoje hasło.

  1. Zmiana hasła przez użytkownika powoduje wysłanie żądania aktualizacji do kontrolera domeny.
  2. System Microsoft Windows wywołuje bibliotekę DLL narzędzia Password Sync z nowym hasłem i loginem użytkownika w danym kontrolerze domeny.
  3. Usługa otrzymuje zaszyfrowane hasło wraz z nazwą użytkownika z pliku DLL.
  4. Adres e-mail użytkownika jest pobierany przez usługę z Active Directory przy użyciu LDAP.
  5. Usługa aktualizuje konto Google przy użyciu interfejsu Directory API. Co więcej, aby interfejsy Google Workspace API działały poprawnie, musisz otworzyć kilka portów i dodać nazwy hostów do listy dozwolonych. Więcej informacji
  6. Użytkownik może następnie zalogować się na swoje konto Google za pomocą hasła z Active Directory.

Szczegóły techniczne

  • Hasła w Active Directory można tylko zapisywać. Nie można ich odczytać przy użyciu interfejsu (na przykład LDAP). Z tego powodu tradycyjne metody synchronizacji (na przykład Google Cloud Directory Sync) nie mają do nich dostępu. Hasła można odczytać tylko wtedy, gdy są ustawiane lub zmieniane.
  • Narzędzie Password Sync ma bibliotekę DLL „password_sync_dll.dll”, która jest instalowana jako pakiet powiadomień LSA. Więcej informacji o pakietach powiadomień LSA znajdziesz w tym artykule firmy Microsoft.
  • Gdy hasło zostanie zmienione w określonym kontrolerze domeny, biblioteka DLL otrzyma zaktualizowane hasło i nazwę użytkownika. Narzędzie Password Sync musi zostać zainstalowane na każdym kontrolerze domeny z możliwością zapisu, ponieważ system Microsoft Windows uruchamia synchronizację haseł na kontrolerze. Synchronizacja jest uruchamiana przy każdej aktualizacji hasła, niezależnie od tego, czy jest ona wykonywana przez administratora czy użytkownika. Więcej informacji o funkcji wywołania zwrotnego PasswordChangeNotify, znajdziesz w tym artykule firmy Microsoft.
  • Gdy nazwa użytkownika i hasło trafiają do biblioteki DLL, zostają zaszyfrowane jako skrót SHA512 z ciągiem zaburzającym i wysłane do usługi Password Sync.
  • Usługa Password Sync („password_sync_service.exe”) wyszukuje adres e-mail użytkownika w Active Directory przy użyciu LDAP na podstawie nazwy użytkownika otrzymanej z biblioteki DLL, a następnie aktualizuje konto Google za pomocą interfejsu Directory API. Gdy hasła są zmieniane przy użyciu interfejsu Directory API, niektóre tokeny OAuth aplikacji są unieważniane. W takiej sytuacji użytkownicy mogą zostać poproszeni o ponowne zalogowanie się w aplikacjach przy użyciu swojej nazwy użytkownika i hasła.
  • Narzędzie Password Sync działa zgodnie z zasadami programowania filtrowania haseł ustalonymi przez firmę Microsoft. Więcej informacji znajdziesz w tym artykule firmy Microsoft.


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.