您是否在 Google 网域中拥有某些属性,而在 LDAP 服务器中拥有不同属性的用户?您是否希望保留这些不同的属性?您如何确保 Google Cloud Directory Sync (GCDS) 在同步期间不会更改用户的属性?
答案是,您需要两条排除 规则:一条用于 LDAP 数据,另一条用于 Google 网域数据。
示例场景
以下场景中,用户 fred@solarmora.com 同时存在于 LDAP 服务器和 Google 网域中:
- Google 网域 - Fred 在“测试用户”下级单位中。
- LDAP 服务器 - Fred 在“财务”单位部门中。
- 搜索规则 - 有一条搜索规则,用于将“财务”组织部门中的用户放入 Google 域名中的“财务”下级组织。
- 排除规则 - 有一条 Google 组织完整路径排除规则,用于排除 Fred 所属的“/测试用户”。
运行同步时,GCDS 会因“/测试用户”排除规则而忽略 Google 网域中 fred@solarmora.com 的存在,但会在 LDAP 结果中看到他,因此会尝试创建他。由于 Fred 已存在于 Google 网域中,因此系统不会重新创建他,但会执行其他操作(这些操作取决于 Fred 是否已成功创建)。例如,Fred 会被放入“财务”下级组织。
为避免出现此场景,您需要从 LDAP 服务器和 Google 网域中排除该用户。 为此,您可以添加一条 LDAP 排除规则,使其与 Google 网域排除规则搭配使用。在此示例中,您将按电子邮件地址添加 LDAP 排除规则。有关详情,请参阅结合使用排除规则和 GCDS。
针对多个用户的最佳方法
使用 GCDS 时,通过 LDAP 服务器可更轻松地管理多个用户。
如果您有一组用户,无论他们在 LDAP 服务器中的单位部门如何,您都希望将他们放入 Google 网域中的特殊组织部门,那么最佳方法是:
- 在 LDAP 服务器中,使用自定义属性或群组成员资格标记这些用户。
- 创建仅针对这些用户的搜索规则。例如,使用搜索自定义属性或群组成员资格名称(“memberOf=groupname”)的规则。
将搜索规则映射到特殊组织部门。
注意:您可以将搜索规则设置为更高的优先级,这样,如果 用户在多个搜索规则中被找到,系统会将他们发送到特殊 组织部门。
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。