Как работает синхронизация паролей?

Функция Password Sync позволяет обновлять пароли пользователей Google Workspace и Cloud Identity непосредственно из Microsoft Active Directory.

Функция синхронизации паролей доступна администраторам Google Workspace и Cloud Identity.

Как это работает

После установки и настройки Password Sync обновленные пароли будут отправляться в вашу учетную запись Google каждый раз, когда пользователь Active Directory изменит свой пароль.

  1. При изменении пароля пользователя запрос на обновление отправляется на контроллер домена (DC).
  2. Библиотека динамической подключимой синхронизации паролей (DLL) вызывается операционной системой Microsoft Windows на этом контроллере домена с новым паролем и именем пользователя.
  3. Сервис получает хешированный пароль и имя пользователя из DLL-библиотеки.
  4. Сервис получает адрес электронной почты пользователя из Active Directory с помощью LDAP.
  5. Сервис обновляет вашу учетную запись Google, используя API каталога . Кроме того, для корректной работы API Google Workspace необходимо открыть несколько портов и добавить некоторые имена хостов в список разрешенных. Подробнее.
  6. Затем пользователь может войти в свою учетную запись Google, используя свой пароль от Active Directory.

Технические характеристики

  • В Active Directory пароли хранятся только для записи. Их нельзя прочитать через какой-либо интерфейс, например, LDAP. Поэтому традиционные методы синхронизации (например, Google Cloud Directory Sync ) не могут получить к ним доступ. Единственный способ прочитать пароли — это перехватить их при установке или изменении.
  • В программе Password Sync установлен DLL-файл с именем "password_sync_dll.dll", который является пакетом уведомлений LSA. Для получения дополнительной информации о пакетах уведомлений LSA обратитесь к этой статье Microsoft .
  • Когда на конкретном контроллере домена происходит изменение пароля, DLL-библиотека получает обновленный пароль и имя пользователя. Синхронизация паролей должна быть установлена ​​на каждом контроллере домена с возможностью записи, поскольку Windows на контроллере домена, получившем изменение пароля, запускает синхронизацию паролей. Запуск происходит при каждом обновлении пароля, независимо от того, выполняется ли оно администратором или конечным пользователем. Для получения дополнительной информации о функции обратного вызова PasswordChangeNotify обратитесь к этой статье Microsoft .
  • Когда DLL-библиотека получает имя пользователя и пароль, она хеширует пароль с помощью алгоритма SHA512 с добавлением соли и отправляет его в службу синхронизации паролей.
  • Служба синхронизации паролей ("password_sync_service.exe") затем находит адрес электронной почты пользователя в Active Directory с помощью LDAP на основе имени пользователя, отправленного DLL-файлом. Затем она обновляет учетную запись Google, используя API каталога. При изменении паролей через API каталога некоторые токены OAuth приложения отзываются. Пользователям может потребоваться повторно войти в приложения, используя свое имя пользователя и пароль.
  • Функция синхронизации паролей учитывает особенности программирования фильтров паролей, разработанные Microsoft. Более подробную информацию можно найти в этой статье Microsoft .


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.