Jak działa Password Sync?

Password Sync może służyć do aktualizowania haseł użytkowników Google Workspace i Cloud Identity bezpośrednio w Microsoft Active Directory.

Synchronizacja haseł jest dostępna dla administratorów Google Workspace i Cloud Identity.

Jak to działa

Po zainstalowaniu i skonfigurowaniu Password Sync wysyła zaktualizowane hasła na Twoje konto Google za każdym razem, gdy użytkownik Active Directory zmieni swoje hasło.

  1. Zmiana hasła przez użytkownika powoduje wysłanie żądania aktualizacji do kontrolera domeny.
  2. System Microsoft Windows wywołuje bibliotekę DLL synchronizacji haseł z nowym hasłem i loginem użytkownika w danym kontrolerze domeny.
  3. Usługa otrzymuje zaszyfrowane hasło wraz z nazwą użytkownika z pliku DLL.
  4. Adres e-mail użytkownika jest pobierany przez usługę z Active Directory przy użyciu LDAP.
  5. Usługa aktualizuje konto Google przy użyciu interfejsu Directory API. Co więcej, aby interfejsy Google Workspace API działały poprawnie, musisz otworzyć kilka portów i dodać nazwy hostów do listy dozwolonych. Więcej informacji
  6. Użytkownik może następnie zalogować się na swoje konto Google za pomocą hasła z Active Directory.

Szczegóły techniczne

  • Hasła w Active Directory można tylko zapisywać. Nie można ich odczytać przy użyciu interfejsu (na przykład LDAP). Z tego powodu tradycyjne metody synchronizacji (na przykład Google Cloud Directory Sync) nie mają do nich dostępu. Jedynym sposobem odczytu haseł jest przechwycenie ich podczas ustawiania lub zmieniania.
  • Synchronizacja haseł ma bibliotekę DLL „password_sync_dll.dll”, która jest instalowana jako pakiet powiadomień LSA. Więcej informacji o pakietach powiadomień LSA znajdziesz w tym artykule firmy Microsoft (artykuł w języku angielskim).
  • Zmiana hasła w określonym kontrolerze domeny powoduje umieszczenie w pliku DLL zaktualizowanego hasła wraz z nazwą użytkownika. Synchronizacja haseł musi zostać zainstalowana na każdym kontrolerze domeny z możliwością zapisu, ponieważ system Microsoft Windows uruchamia synchronizację haseł na kontrolerze. za każdym razem, gdy hasło jest aktualizowane – niezależnie od tego, czy zmianę wprowadził administrator czy użytkownik końcowy. Więcej informacji o funkcji wywołania zwrotnego PasswordChangeNotify znajdziesz w tym artykule firmy Microsoft (artykuł w języku angielskim).
  • Gdy nazwa użytkownika i hasło trafiają do biblioteki DLL, zostają zaszyfrowane jako skrót SHA512 z ciągiem zaburzającym i wysłane do usługi Password Sync.
  • Usługa Password Sync („password_sync_service.exe”) wyszukuje adres e-mail użytkownika w Active Directory przy użyciu LDAP na podstawie nazwy użytkownika otrzymanej z biblioteki DLL, a następnie aktualizuje konto Google za pomocą interfejsu Directory API. Gdy hasła są zmieniane przy użyciu interfejsu Directory API, niektóre tokeny OAuth aplikacji są unieważniane. W takiej sytuacji użytkownicy mogą zostać poproszeni o ponowne zalogowanie się w aplikacjach przy użyciu swojej nazwy użytkownika i hasła.
  • Synchronizacja haseł działa zgodnie z zasadami programowania filtrowania haseł ustalonymi przez firmę Microsoft. Szczegółowe informacje znajdziesz w tym artykule firmy Microsoft.


Google, Google Workspace i znaki pokrewne są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.