您是否有一位用户在 Google 网域中具有某些属性,而在 LDAP 服务器中具有不同的属性?您是否希望保留这些不同的属性?您如何确保 Google Cloud Directory Sync (GCDS) 在同步期间不会更改用户的属性?
答案是,您需要两条排除 规则:一条用于 LDAP 数据,一条用于 Google 网域数据。
示例场景
以下场景中,用户 fred@solarmora.com 同时存在于 LDAP 服务器和 Google 网域中:
- Google 网域 - Fred 在“测试用户”下级单位中。
- LDAP 服务器 - Fred 在“财务”单位部门中。
- 搜索规则 - 有一条搜索规则,用于将“财务”组织部门中的用户放入 Google 域名中的“财务”下级组织。
- 排除规则 - 有一条 Google 组织完整路径排除规则,用于排除 Fred 所属的“/测试用户”。
运行同步时,GCDS 会因“/测试用户”排除规则而忽略 Google 网域中 fred@solarmora.com 的存在,但会在 LDAP 结果中看到他,因此会尝试创建他。由于 Fred 已存在于 Google 网域中,因此系统不会重新创建他,但会执行其他操作(这些操作取决于是否成功创建 Fred)。例如,Fred 会被放入“财务”下级组织。
为避免出现这种情况,您需要从 LDAP 服务器和 Google 网域中排除该用户。 为此,您可以添加一条 LDAP 排除规则,使其与 Google 网域排除规则搭配使用。在本示例中,您将按电子邮件地址添加 LDAP 排除规则。有关详情,请参阅结合使用排除规则和 GCDS。
针对多个用户的最佳方法
使用 GCDS 时,通过 LDAP 服务器可更轻松地管理多个用户。
如果您有一组用户,希望将他们放入 Google 网域中的特殊组织部门,而不论他们在 LDAP 服务器中的组织部门如何,那么最佳方法是:
- 在 LDAP 服务器中,使用自定义属性或群组成员资格标记这些用户。
- 创建仅针对这些用户的搜索规则。例如,使用搜索自定义属性或群组成员资格名称(“memberOf=groupname”)的规则。
将搜索规则映射到特殊组织部门。
注意:您可以将搜索规则的优先级设置为较高,这样,如果 用户符合多条搜索规则,系统就会将他们发送到特殊 组织部门。
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。