Haben Sie einen Nutzer, der in der Google-Domain bestimmte Attribute und auf dem LDAP-Server andere Attribute hat? Und möchten Sie diese unterschiedlichen Attribute beibehalten? Wie können Sie verhindern, dass Google Cloud Directory Sync (GCDS) die Attribute des Nutzers bei einer Synchronisierung ändert?
Dazu benötigen Sie zwei Ausschluss regeln: eine für Ihre LDAP-Daten und eine für Ihre Google-Domain-Daten.
Beispielszenario
Hier ein Szenario, in dem der Nutzer fred@solarmora.com auf dem LDAP-Server und in der Google-Domain vorhanden ist:
- Google-Domain: Max befindet sich in der Unterorganisation „Testnutzer“.
- LDAP-Server: Max befindet sich in der Organisationseinheit „Finanzen“.
- Suchregel: Es gibt eine Suchregel, mit der Nutzer aus der Organisationseinheit „Finanzen“ in die Unterorganisation „Finanzen“ in der Google-Domain verschoben werden.
- Ausschlussregel: Es gibt eine Ausschlussregel für den vollständigen Pfad der Google-Organisation „/Testnutzer“, deren Mitglied Max ist.
Bei der Synchronisierung ignoriert GCDS die Existenz von fred@solarmora.com in der Google-Domain aufgrund der Ausschlussregel „/Testnutzer“. Er wird jedoch in den LDAP-Ergebnissen angezeigt, sodass GCDS versucht, ihn zu erstellen. Da Max bereits in der Google-Domain vorhanden ist, wird er nicht noch einmal erstellt. Es werden jedoch andere Aktionen ausgeführt, die davon abhängen, dass Max erfolgreich erstellt wurde. So wird Max beispielsweise in die Unterorganisation „Finanzen“ verschoben.
Um dieses Szenario zu vermeiden, müssen Sie den Nutzer vom LDAP-Server und aus der Google-Domain ausschließen. Dazu fügen Sie eine LDAP-Ausschlussregel hinzu, die mit der Ausschlussregel für die Google-Domain zusammenarbeitet. In diesem Beispiel fügen Sie die LDAP-Ausschlussregel anhand der E‑Mail-Adresse hinzu. Weitere Informationen finden Sie im Hilfeartikel Ausschlussregeln mit GCDS verwenden.
Empfohlene Vorgehensweise bei mehreren Nutzern
Wenn Sie GCDS verwenden, lassen sich mehrere Nutzer einfacher auf dem LDAP-Server verwalten.
Wenn Sie eine Gruppe von Nutzern in eine bestimmte Organisationseinheit in Ihrer Google-Domain verschieben möchten, unabhängig von ihrer Organisationseinheit auf dem LDAP-Server, gehen Sie so vor:
- Markieren Sie diese Nutzer auf dem LDAP-Server mit einem benutzerdefinierten Attribut oder einer Gruppenmitgliedschaft.
- Erstellen Sie eine Suchregel speziell für diese Nutzer. Verwenden Sie beispielsweise eine Regel, die nach dem benutzerdefinierten Attribut oder dem Namen der Gruppenmitgliedschaft sucht („memberOf=Gruppenname“).
Ordnen Sie die Suchregel der Organisationseinheit zu, in die Sie die Nutzer verschieben möchten.
Hinweis: Sie können die Suchregel mit einer höheren Priorität versehen, sodass die Nutzer in die spezielle Organisationseinheit verschoben werden, wenn sie in mehr als einer Suchregel gefunden werden.
Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.