Jak działa Password Sync?

Password Sync może służyć do aktualizowania haseł użytkowników Google Workspace i Cloud Identity bezpośrednio w Microsoft Active Directory.

Password Sync jest dostępny dla administratorów Google Workspace i Cloud Identity.

Jak to działa

Po zainstalowaniu i skonfigurowaniu Password Sync wysyła zaktualizowane hasła na Twoje konto Google za każdym razem, gdy użytkownik Active Directory zmieni swoje hasło.

  1. Zmiana hasła przez użytkownika powoduje wysłanie żądania aktualizacji do kontrolera domeny.
  2. System Microsoft Windows wywołuje bibliotekę DLL Password Sync z nowym hasłem i loginem użytkownika w danym kontrolerze domeny.
  3. Usługa otrzymuje zaszyfrowane hasło wraz z nazwą użytkownika z pliku DLL.
  4. Adres e-mail użytkownika jest pobierany przez usługę z Active Directory przy użyciu LDAP.
  5. Usługa aktualizuje konto Google przy użyciu interfejsu Directory API. Co więcej, aby interfejsy Google Workspace API działały poprawnie, musisz otworzyć kilka portów i dodać nazwy hostów do listy dozwolonych. Więcej informacji
  6. Użytkownik może następnie zalogować się na swoje konto Google za pomocą hasła z Active Directory.

Szczegóły techniczne

  • Hasła w Active Directory można tylko zapisywać. Nie można ich odczytać przy użyciu interfejsu (na przykład LDAP). Z tego powodu tradycyjne metody synchronizacji (na przykład Google Cloud Directory Sync) nie mają do nich dostępu. Jedynym sposobem odczytu haseł jest przechwycenie ich podczas ustawiania lub zmieniania.
  • Synchronizacja haseł ma bibliotekę DLL „password_sync_dll.dll”, która jest instalowana jako pakiet powiadomień LSA. Więcej informacji o pakietach powiadomień LSA znajdziesz w tym artykule firmy Microsoft (artykuł w języku angielskim).
  • Zmiana hasła w określonym kontrolerze domeny powoduje umieszczenie w pliku DLL zaktualizowanego hasła wraz z nazwą użytkownika. Password Sync musi zostać zainstalowany na każdym kontrolerze domeny z możliwością zapisu, ponieważ system Windows uruchamia synchronizację haseł na kontrolerze, który otrzymuje zmianę hasła. za każdym razem, gdy hasło jest aktualizowane – niezależnie od tego, czy zmianę wprowadził administrator czy użytkownik końcowy. Więcej informacji o funkcji wywołania zwrotnego PasswordChangeNotify znajdziesz w tym artykule firmy Microsoft.
  • Gdy biblioteka DLL otrzyma nazwę użytkownika i hasło, zahaszuje hasło jako skrót SHA512 z ciągiem zaburzającym i wyśle je do usługi Password Sync.
  • Usługa Password Sync („password_sync_service.exe”) wyszukuje adres e-mail użytkownika w Active Directory przy użyciu LDAP na podstawie nazwy użytkownika otrzymanej z biblioteki DLL. a następnie aktualizuje konto Google za pomocą interfejsu Directory API. Gdy hasła są zmieniane przy użyciu interfejsu Directory API, niektóre tokeny OAuth aplikacji są unieważniane. W takiej sytuacji użytkownicy mogą zostać poproszeni o ponowne zalogowanie się w aplikacjach przy użyciu swojej nazwy użytkownika i hasła.
  • Password Sync działa zgodnie z zasadami programowania filtrowania haseł ustalonymi przez firmę Microsoft. Szczegółowe informacje znajdziesz w tym artykule firmy Microsoft.


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.