Haben Sie einen Nutzer, der bestimmte Attribute in der Google-Domain und andere Attribute auf dem LDAP-Server hat? Möchten Sie diese verschiedenen Attribute beibehalten? Wie stellen Sie sicher, dass Google Cloud Directory Sync (GCDS) die Attribute des Nutzers bei einer Synchronisierung nicht ändert?
Sie benötigen zwei Ausschlussregeln: eines für Ihre LDAP-Daten und eines für Ihre Google-Domaindaten.
Beispielszenario
Hier ist ein Szenario, in dem der Nutzer fred@solarmora.com auf dem LDAP-Server und in der Google-Domain vorhanden ist:
- Google-Domain: Max befindet sich in der Unterorganisation "Testnutzer".
- LDAP-Server: Max befindet sich in der Organisationseinheit "Finanzen".
- Suchregel: Es gibt eine Suchregel, mit der Nutzer aus der Organisationseinheit „Finanzen“ in die Unterorganisation „Finanzen“ in der Google-Domain verschoben werden.
- Ausschlussregel: Es gibt eine Ausschlussregel für den vollständigen Pfad der Google-Organisation für „/Test Users“, deren Mitglied Fred ist.
Bei der Synchronisierung ignoriert GCDS die Existenz von fred@solarmora.com in der Google-Domain aufgrund der Ausschlussregel „/Test Users“, erkennt ihn aber in den LDAP-Ergebnissen und versucht daher, ihn zu erstellen. Da Fred bereits in der Google-Domain vorhanden ist, wird er nicht neu erstellt. Es werden jedoch andere Aktionen ausgeführt, die davon abhängen, dass Fred erfolgreich erstellt wurde. Beispiel: Fred ist in der Unterorganisation „Finanzen“ platziert.
Um dieses Szenario zu vermeiden, müssen Sie den Nutzer vom LDAP-Server und der Google-Domain ausschließen. Fügen Sie dazu eine LDAP-Ausschlussregel hinzu, die mit der Ausschlussregel für die Google-Domain zusammenarbeitet. In diesem Beispiel fügen Sie die LDAP-Ausschlussregel anhand der E-Mail-Adresse hinzu. Weitere Informationen finden Sie im Hilfeartikel Ausschlussregeln mit GCDS verwenden.
Empfohlene Vorgehensweise bei mehreren Nutzern
Wenn Sie GCDS verwenden, lassen sich mehrere Nutzer einfacher auf dem LDAP-Server verwalten.
Wenn Sie eine Gruppe von Nutzern in eine bestimmte Organisationseinheit in Ihrer Google-Domain einfügen möchten, unabhängig von ihrer Organisationseinheit auf dem LDAP-Server, gehen Sie am besten so vor:
- Markieren Sie diese Nutzer auf dem LDAP-Server mit einem benutzerdefinierten Attribut oder mit einer Gruppenzugehörigkeit.
- Erstellen Sie eine Suchregel speziell für diese Nutzer. Verwenden Sie beispielsweise eine Regel, die nach dem benutzerdefinierten Attribut oder dem Namen der Gruppenmitgliedschaft sucht („memberOf=groupname“).
Ordnen Sie die Suchregel der Organisationseinheit zu, in die Sie die Nutzer verschieben möchten.
Hinweis: Sie können die Suchregel mit einer höheren Priorität versehen. Wenn die Nutzer in mehr als einer Suchregel gefunden werden, werden sie dann an die spezielle Organisationseinheit gesendet.
Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.