Czy masz użytkownika, który ma określone atrybuty w domenie Google i inne atrybuty na serwerze LDAP? Czy chcesz zachować te różne atrybuty? Jak zapewnić, że Google Cloud Directory Sync (GCDS) nie będzie zmieniać atrybutów użytkownika podczas synchronizacji?
Odpowiedź brzmi: potrzebujesz 2 reguł wykluczania: jednej dla danych LDAP i jednej dla danych domeny Google.
Przykładowy scenariusz
Oto scenariusz, w którym użytkownik fred@solarmora.com istnieje na serwerze LDAP i w domenie Google:
- Domena Google – Jan należy do organizacji podrzędnej „Użytkownicy testowi”.
- Serwer LDAP – Jan należy do jednostki organizacyjnej „Finanse”.
- Reguła wyszukiwania – istnieje reguła wyszukiwania, która umieszcza użytkowników z jednostki organizacyjnej „Finanse” w organizacji podrzędnej „Finanse” w domenie Google.
- Reguła wykluczania – istnieje reguła wykluczania pełnej ścieżki organizacji Google dla grupy „/Test Users”, której Fred jest członkiem.
Podczas synchronizacji GCDS ignoruje istnienie adresu fred@solarmora.com w domenie Google ze względu na regułę wykluczania „/Test Users”, ale widzi go w wynikach LDAP, więc próbuje go utworzyć. Ponieważ Fred istnieje już w domenie Google, nie jest tworzony ponownie, ale wykonywane są inne działania (które zależą od pomyślnego utworzenia Freda). Na przykład Fred jest umieszczony w organizacji podrzędnej „Finanse”.
Aby uniknąć takiej sytuacji, musisz wykluczyć użytkownika z serwera LDAP i domeny Google. Aby to zrobić, dodaj regułę wykluczania LDAP, która będzie współpracować z regułą wykluczania domeny Google. W tym przykładzie dodasz regułę wykluczania LDAP według adresu e-mail. Więcej informacji znajdziesz w artykule Używanie reguł wykluczania w GCDS.
Najlepsza metoda w przypadku wielu użytkowników
Gdy używasz narzędzia GCDS, wieloma użytkownikami łatwiej jest zarządzać przy użyciu serwera LDAP.
Jeśli masz grupę użytkowników, których chcesz umieścić w specjalnej jednostce organizacyjnej w domenie Google, niezależnie od ich jednostki organizacyjnej na serwerze LDAP, najlepszym rozwiązaniem jest:
- Oznacz tych użytkowników na serwerze LDAP za pomocą atrybutu niestandardowego lub członkostwa w grupie.
- Utwórz regułę wyszukiwania zgodną tylko z tymi użytkownikami, Użyj na przykład reguły, która wyszukuje atrybut niestandardowy lub nazwę członkostwa w grupie („memberOf=nazwagrupy”).
Zamapuj tę regułę wyszukiwania na specjalną jednostkę organizacyjną.
Uwaga: możesz ustawić regułę wyszukiwania na wyższy priorytet, aby w przypadku znalezienia użytkowników w więcej niż 1 regule wyszukiwania byli oni wysyłani do specjalnej jednostki organizacyjnej.
Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.