Drittanbietertools zur schnellen Bereitstellung vieler Konten verwenden

Dieser Artikel richtet sich an IT-Administratoren,die in kurzer Zeit mehr als 50.000 Nutzerkonten bereitstellen müssen.

Für eine schnelle, umfangreiche Kontenbereitstellung können Sie auf Lösungen von Drittanbietern zurückgreifen. Beim Google Apps Manager (GAM), einer kostenlos herunterladbaren Open-Source-Anwendung, wird beispielsweise die Admin SDK Directory API zum Erstellen und Verwalten von Google Workspace-Nutzern und ‑Gruppen verwendet.

GAM interagiert mit vielen Google APIs, mit denen Sie auch andere Kontofunktionen und -ressourcen verwalten können. Weitere Informationen zu Integrationen mit Drittanbietern finden Sie auf der Seite mit Anleitungen unter Mit Google Cloud Lösungen erstellen.

Hinweis

Die Bereitstellung vieler Konten erfordert Folgendes:

  • Übung im Umgang mit Befehlszeilen-Eingabeaufforderungen
  • Ein kostenpflichtiges Google Workspace-Konto, das:

Schritt 1: Konflikte zwischen Konten vermeiden

Einige Ihrer Nutzer haben möglicherweise ein privates Google-Konto, z. B. eine Gmail-Adresse. Dies kann zu Konflikten führen, wenn Sie ihr neues, verwaltetes Google Workspace- oder Cloud Identity-Konto bereitstellen. Sehen Sie sich hierzu die folgenden Hilfeartikel an:

  1. Lesen Sie mehr über widersprüchliche Konten.
  2. Bestehende Konten suchen und verwalten

Schritt 2: Einfache, flache Organisationsstruktur erstellen

Vermeiden Sie komplexe Hierarchien von Organisationseinheiten mit vielen Ebenen. Sie können Hierarchien auch später ändern und Nutzer verschieben. Hier finden Sie einige Tipps zum Einrichten einer vereinfachten Organisationsstruktur:

  • Konzentrieren Sie sich auf die Dienste und Funktionen, auf die Nutzer, die Sie verwalten, zugreifen müssen.
  • Beschränken Sie die Verfügbarkeit von Diensten und Funktionen der obersten Organisationseinheit und gewähren Sie Zugriff auf untergeordnete Organisationseinheiten.

Weitere Informationen zur Funktionsweise der Organisationsstruktur

Beispiel für Bildungseinrichtungen

In der Tabelle unten ist links die aktuelle Struktur der Organisation zu sehen. Anfangs mag diese Struktur schwierig zu verwalten sein, z. B. wenn Sie Lehrkräften wiederholt Zugriff auf erweiterte Google Meet-Funktionen für zahlreiche Organisationseinheiten in der Bildungseinrichtung gewähren müssen.

Bei der empfohlenen Struktur liegt der Fokus auf der Funktion. Als Administrator haben Sie die Möglichkeit, Dienste und Funktionen für alle Schüler und Studenten ganz einfach in der Organisationseinheit /Schüler zu deaktivieren. Sie können beispielsweise die Passwortwiederherstellung für Nutzer deaktivieren und YouTube-Einschränkungen anwenden. Außerdem lassen sich erweiterte Funktionen für Lehrkräfte und andere Mitarbeiter aktivieren, z. B. Streaming und Aufzeichnung in Meet sowie die Bestätigung in zwei Schritten.

Aktuelle Organisationsstruktur Empfohlene Organisationsstruktur

/School 1/Staff/Teachers

/School 1/Students/Year 2020/Class A

/School 1/Students/Year 2020/...

/School 2/Staff/Teachers

/School 2/Students/Year 2020/Class C

/School 2/Students/Year 2020/...

/ (root OrgUnit)

/Students

/Staff/IT

/Staff/Teachers

Beispiel für eine große Organisation

Ermitteln Sie zuerst, welche Dienste und Funktionen Ihre Nutzer benötigen. Gehen Sie anschließend so vor:

  1. Wenden Sie die jeweiligen Einstellungen auf die oberste Organisationseinheit an.
    Wenn Sie diese Einstellungen nicht überschreiben, werden sie für untergeordnete Organisationseinheiten übernommen. Beispiele:
  2. Für zusätzliche Sicherheit sollten Abteilungen oder Fachbereiche die Bestätigung in zwei Schritten (2SV, 2-Step Verification) verwenden.
Aktuelle Organisationsstruktur Empfohlene Organisationsstruktur

/

/Sales

/IT

/Legal

/ (Stammorganisationseinheit)

/2SV-Enforced (IT und Rechtsabteilung)

/2SV (und externe Freigabe zulassen)

Schritt 3: Datenquelle vorbereiten

Erstellen Sie eine CSV-Datei (kommagetrennte Werte) mit den erforderlichen Daten, damit Sie weitere Nutzerkonten anlegen können. Pflichtfelder:

  • FirstName
  • LastName
  • PrimaryEmail: Die E-Mail-Adresse, mit der sich der Nutzer anmeldet.
  • Password : Das Passwort muss aus mindestens acht Zeichen bestehen.

  • OrgUnit : Berücksichtigen Sie die oben genannten Empfehlungen, wenn Sie einen Nutzer einer Organisationseinheit zuweisen.

    Hinweis: Geben Sie einen / (Schrägstrich) ein, um Nutzer in Ihre oberste (Stamm-)Organisationseinheit aufzunehmen. Trennen Sie die untergeordneten Organisationseinheiten mit einem Schrägstrich, z. B. /Staff/Teachers.

Beispiel für Bildungseinrichtungen

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students

John,Smith,john.smith@example.com,X2Ae+pME,/Staff

Beispiel für eine große Organisation

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/

John,Smith,john.smith@example.com,9/t0UHQ6,/Sales

Schritt 4: GAM einrichten

Wenn Sie sich für GAM entscheiden, gehen Sie so vor:

  1. Erstellen Sie mit GAM, Version 5.10 oder höher, vor dem ersten Ausführen von GAM die Datei „noshorturls.txt“ im GAM-Ordner.
    Dadurch wird gam-shortn.appspot.com für Kurz-URLs deaktiviert.
  2. Laden Sie GAM von der Website herunter, download GAM.
  3. Konfigurieren Sie das Tool.
  4. Wenn Sie während der Einrichtung gefragt werden, ob Sie GAM autorisieren möchten, Google Workspace-Nutzerdaten und ‑einstellungen zu verwalten, geben Sie N (nein) ein, um die domainweite Delegierung zu überspringen.

Mit diesem Befehl können Sie überprüfen, ob GAM mit dem richtigen Google Workspace-Konto verknüpft ist:

gam info domain

Schritt 5: Mehrere Nutzer mit GAM erstellen

Zum Erstellen der Nutzer wird in GAM eine CSV-Datei (kommagetrennte Werte) gelesen und die relevanten Anfragen werden an die Admin SDK Directory APIgesendet.

Wenn Sie eine CSV-Datei mit den oben in Schritt 3 angegebenen Feldern erstellt haben, werden die folgenden Nutzer in diesem CSV-Format angelegt:

gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on

Gehen Sie so vor:

  1. Erstellen Sie für jeden Nutzer ein eigenes Passwort.
  2. Verwenden Sie den optionalen Parameter changepassword on, um den Nutzer zu zwingen, sein Passwort nach der ersten Anmeldung zu ändern.

Vorgehensweise, wenn in der Datenquelle Felder fehlen

Wenn Ihre Datenquelle nur den Vor- und Nachnamen sowie ein Passwort für jeden Nutzer enthält, können Sie Nutzernamen im Format first.last@example.com erstellen. Beispiel: Charlie.Smith@example.com.

Der Befehl lautet:

gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on

Bei diesem Ansatz wird davon ausgegangen, dass Folgendes zutrifft:

  • Es gibt keine Nutzer mit demselben Namen.
  • Es gibt keine Vor- und Nachnamen mit:
    • Gruppenbereichen
    • Anderen unzulässigen Zeichen

Weitere Informationen

Fragen

Wo finde ich Informationen zu Google Workspace for Education und zur entsprechenden Zulassung?

Weitere Informationen zur Vorgehensweise in Google Workspace for Education finden Sie unter:

  • Erste Schritte mit Google Workspace for Education
  • Häufig gestellte Fragen zu Google Workspace for Education

Wo finde ich Informationen zu G Suite for Nonprofits?

Informationen zu den Vorteilen des Programms und zu den Richtlinien zur Teilnahmeberechtigung finden Sie in der Google for Nonprofits-Hilfe.

Ich habe keinen Zugriff auf die Admin-Konsole oder mein Administratorkonto. Wie gehe ich am besten vor?

Rufen Sie die Anmeldeseite auf, geben Sie Ihren Nutzernamen ein und klicken Sie auf Passwort vergessen?

Wenn Sie den Aufforderungen folgen, den Zugriff aber trotzdem nicht wiederherstellen können, wenden Sie sich bitte an den Google Cloud-Support. Sie benötigen dort einen Nachweis der Domaininhaberschaft und müssen einige Sicherheitsfragen beantworten.

Wie kann ich prüfen, ob meine Domain bestätigt wurde?

Nachdem Sie ein Google Workspace-Konto erstellt haben, werden Sie aufgefordert, die Inhaberschaft für Ihre Domain zu bestätigen. Wenn Sie sich nicht mehr erinnern, ob Sie das getan haben, melden Sie sich in der Admin-Konsole an, rufen Sie den Abschnitt „Domains“ auf und klicken Sie auf Domains verwalten.

Die erste aufgeführte Domain ist Ihre primäre Domain. In der Statusspalte wird angezeigt, ob die Domain noch bestätigt werden muss.

Kann der Google Cloud-Support mir bei Fragen zu GAM helfen?

Der Google Cloud-Support unterstützt weder GAM noch Lösungen von Drittanbietern, dafür aber die Admin SDK Directory API, die von diesen Tools verwendet wird. Zwar können wir Ihnen also nicht mit dem GAM-Tool selbst helfen, wenn jedoch die zugrunde liegenden APIs Fehler zurückgeben, insbesondere die Admin SDK Directory API, sind wir der richtige Ansprechpartner. Weitere Informationen zu GAM-Befehlen und -Verfahren finden Sie im GAM-Wiki.

Benötigen Sie Hilfe mit GAM? Dann wenden Sie sich einfach im GAM-Forum an eine Community von Google Workspace-Administratoren, die gern ihre Unterstützung anbieten.

Wenn Sie vermuten, dass ein Problem mit der Admin SDK Directory API vorliegt, wenden Sie sich bitte an den Google Cloud-Support. Halten Sie dazu die folgenden Informationen bereit:

  • Die HTTP-Methode und den Endpunkt, den die Drittanbieterlösung aufruft (z. B. POST /admin/directory/v1/users?fields=primaryEmail)

  • Den Antwortcode und die zugehörige Meldung (z. B. 403: Nicht für den Zugriff auf diese Ressource/API autorisiert – unzulässig)

  • Das Datum des Antwort-HTTP-Headers (z. B. Datum: Mi, 22 Jun 2020 17:48:48 GMT)
  • Die Entität, die den Aufruf ausführt: Nutzername, Dienstkonto oder Google Cloud-Projekt-ID

Entfernen Sie Informationen wie Namen, Passwörter, Anfrageheader für die Authentifizierung, IP-Adressen, Werte von benutzerdefinierten Schemas oder andere vertrauliche Informationen.

Das Kontingent meines Projekts ist erschöpft. Wie gehe ich am besten vor?

Die Standardkontingente sollten für die meisten Kunden ausreichen. Weitere Informationen zu API-Limits finden Sie im englischsprachigen Artikel Directory API: Limits and Quotas.

Wenn Sie zusätzliche Kontingente für Ihr Projekt benötigen, lesen Sie die Anforderungen im Abschnitt „Kontingente“ in der Google Cloud Console:

  1. Öffnen Sie die Google Cloud Console.
  2. Wählen Sie oben das Projekt aus, das mit GAM erstellt wurde.
  3. Klicken Sie links auf das Navigationsmenü > IAM & Verwaltung > Kontingente.
  4. Filtern Sie unter Dienst nach Admin SDK (relevant für die Bereitstellung von Nutzern).
  5. Wählen Sie die Elemente aus, für die Sie ein höheres Kontingent anfordern möchten.
  6. Klicken Sie oben auf Kontingente bearbeiten.

Die Aktivierung der Abrechnung für das von GAM erstellte Google Cloud-Projekt wird in diesem Hilfeartikel im entsprechenden Abschnitt beschrieben: Wie aktiviere ich die Abrechnung für mein(e) aktuelle(n) Projekt(e)?.