Korzystanie z zewnętrznego narzędzia do szybkiej zbiorczej obsługi administracyjnej

Ten artykuł jest przeznaczony dla administratorów IT,którzy mają ograniczony czas na obsługę ponad 50 tys. kont użytkowników.

Aby zapewnić szybką obsługę administracyjną kont na dużą skalę, możesz użyć rozwiązań innych firm. Na przykład bezpłatny, dostępny do pobrania program open source o nazwie Google Apps Manager (GAM) korzysta z interfejsu Admin SDK Directory API, by umożliwić tworzenie kont użytkowników Google Workspace i grup oraz zarządzanie nimi.

GAM współpracuje z wieloma interfejsami API Google, których możesz też używać do zarządzania innymi funkcjami i zasobami kont. Więcej informacji o integracji z narzędziami innych firm znajdziesz na stronie samouczków Solve with Google Cloud (Rozwiązywanie problemów dzięki Google Cloud).

Zanim zaczniesz

Obsługa administracyjna kont na dużą skalę wymaga:

  • Umiejętności obsługi wiersza poleceń.
  • Płatne konto Google Workspace, które:

Krok 1. Unikaj konfliktów kont

Niektórzy użytkownicy mogą mieć osobiste konta Google, na przykład adres Gmail, co może powodować konflikty podczas obsługi administracyjnej nowych, zarządzanych kont Google Workspace lub Cloud Identity. Aby uniknąć takich problemów:

  1. Przeczytaj artykuł Informacje o kontach w konflikcie.
  2. Dowiedz się, jak wyszukiwać istniejące konta i nimi zarządzać.

Krok 2. Utwórz prostą, płaską strukturę organizacyjną

Unikaj tworzenia złożonej hierarchii jednostek organizacyjnych z wieloma poziomami. Później możesz zmodyfikować hierarchię i przenieść użytkowników. Oto kilka wskazówek dotyczących konfigurowania uproszczonej struktury organizacyjnej:

  • Skup się na usługach i funkcjach, których potrzebują zarządzani przez Ciebie użytkownicy.
  • Ogranicz dostępność usług i funkcji w jednostce organizacyjnej najwyższego poziomu, zapewniając dostęp jednostkom podrzędnym.

Dowiedz się więcej o strukturze organizacyjnej.

Przykład jednostki organizacyjnej w szkole

W poniższej tabeli po lewej znajduje się rzeczywista struktura organizacji. Początkowo struktura ta może być trudna w zarządzaniu, jeśli na przykład musisz wielokrotnie przyznawać nauczycielom dostęp do zaawansowanych funkcji Google Meet w wielu jednostkach organizacyjnych w szkole.

Proponowana struktura koncentruje się na funkcjonalności. Jako administrator możesz łatwo wyłączać usługi i funkcje dla wszystkich uczniów w jednostce organizacyjnej /Uczniowie. Możesz na przykład wyłączyć samodzielne odzyskiwanie hasła i zastosować ograniczenia dotyczące YouTube. Możesz też włączyć zaawansowane funkcje dla nauczycieli i innych pracowników szkoły, takie jak odtwarzanie i nagrywanie w Meet oraz weryfikacja dwuetapowa.

Przykładowa struktura organizacyjna Zalecana struktura organizacyjna

/School 1/Staff/Teachers

/School 1/Students/Year 2020/Class A

/School 1/Students/Year 2020/...

/School 2/Staff/Teachers

/School 2/Students/Year 2020/Class C

/School 2/Students/Year 2020/...

/ (root OrgUnit)

/Students

/Staff/IT

/Staff/Teachers

Przykład dużej organizacji

Najpierw określ usługi i funkcje, których potrzebują Twoi użytkownicy. Następnie:

  1. Zastosuj te ustawienia w jednostce organizacyjnej najwyższego poziomu.
    Jeśli nie zastąpisz tych ustawień, podrzędne jednostki organizacyjne je odziedziczą. Przykłady:
  2. Dla zwiększenia bezpieczeństwa wymagaj od działów korzystania z weryfikacji dwuetapowej.
Przykładowa struktura organizacyjna Zalecana struktura organizacyjna

/

/Sales

/IT

/Legal

/ (jednostka organizacyjna najwyższego poziomu)

/2SV-Enforced (dla działów IT i prawnego)

/2SV (i zezwalaj na udostępnianie poza organizację)

Krok 3. Przygotuj źródło danych

Utwórz plik CSV z odpowiednimi danymi, aby kontynuować tworzenie kont użytkowników. Pola wymagane:

  • FirstName
  • LastName
  • PrimaryEmail – adres e-mail, z którego użytkownik będzie korzystać, by się logować.
  • Password – hasło musi składać się z co najmniej 8 znaków.

  • OrgUnit – aby utworzyć użytkowników w odpowiednich jednostkach organizacyjnych z uwzględnieniem powyższych zaleceń.

    Uwaga: aby umieścić użytkowników w jednostce organizacyjnej najwyższego poziomu, wpisz / (ukośnik). Oddzielaj podrzędne jednostki organizacyjne ukośnikiem (np. /Staff/Teachers.

Przykład jednostki organizacyjnej w szkole

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students

John,Smith,john.smith@example.com,X2Ae+pME,/Staff

Przykład dużej organizacji

FirstName,LastName,PrimaryEmail,Password,OrgUnit

Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/

John,Smith,john.smith@example.com,9/t0UHQ6,/Sales

Krok 4. Skonfiguruj GAM

Jeśli zdecydujesz się na GAM, wykonaj te czynności:

  1. W GAM w wersji 5.10 lub nowszej przed pierwszym uruchomieniem utwórz plik o nazwie noshorturls.txt w tym samym folderze co GAM.
    Spowoduje to wyłączenie krótkich adresów URL gam-shortn.appspot.com
  2. Pobierz GAM ze strony tego narzędzia.
  3. Skonfiguruj narzędzie.
  4. Gdy podczas konfiguracji pojawi się pytanie o gotowość do autoryzowania GAM do zarządzania danymi i ustawieniami użytkowników Google Workspace, odpowiedz N (nie), aby pominąć przekazywanie dostępu w całej domenie.

To polecenie pomaga potwierdzić powiązanie GAM z właściwym kontem Google Workspace:

gam info domain

Krok 5. Utwórz wiele kont użytkowników za pomocą GAM

Aby utworzyć konta użytkowników, GAM odczytuje dane z pliku CSV i wysyła odpowiednie żądania do interfejsu Admin SDK Directory API.

Jeśli utworzysz plik CSV z polami określonymi wyżej w kroku 3, to polecenie spowoduje utworzenie kont użytkowników w pliku CSV:

gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on

Pamiętaj, aby:

  1. utworzyć unikalne hasło dla każdego użytkownika;
  2. użyć opcjonalnego parametru changepassword on, by wymusić zmianę hasła po pierwszym zalogowaniu się przez użytkownika.

Inny sposób – jeśli w źródle danych brakuje niektórych pól:

Jeśli źródło danych zawiera tylko imię i nazwisko oraz jedno hasło dla każdego użytkownika, możesz utworzyć nazwy użytkowników w formacie first.last@example.com. W przypadku użytkownika o imieniu i nazwisku Jan Kowalski użyj Charlie.Smith@example.com.

Użyj polecenia:

gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on

Ta metoda zakłada, że nie ma użytkowników:

  • o takim samym imieniu i nazwisku,
  • o imionach i nazwiskach zawierających:
    • Pokoje
    • inne niedozwolone znaki.

Zapoznaj się z zasadami dotyczącymi nazw użytkowników i grup.

Pytania

Gdzie znajdę informacje o składaniu wniosków i zatwierdzaniu Google Workspace for Education?

Szczegółowe informacje o procedurach dotyczących Google Workspace for Education znajdziesz tutaj:

Gdzie znajdę informacje o G Suite dla Organizacji Non-Profit?

Aby dowiedzieć się więcej o korzyściach z udziału w programie, kryteriach uczestnictwa itp., odwiedź Centrum pomocy Google dla Organizacji Non-Profit.

Nie mogę uzyskać dostępu do konsoli administracyjnej ani konta administratora. Co mam zrobić?

Otwórz stronę logowania, wpisz swoją nazwę użytkownika i kliknij Nie pamiętasz hasła?

Jeśli po wykonaniu tych czynności nadal nie możesz uzyskać dostępu, skontaktuj się z zespołem pomocy Google Cloud. Poprosimy Cię o dowód własności domeny i zadamy kilka pytań zabezpieczających.

Jak mogę sprawdzić, czy własność domeny została potwierdzona?

Po utworzeniu konta Google Workspace pojawi się prośba o potwierdzenie własności domeny. Jeśli nie pamiętasz, czy własność domeny jest potwierdzona, zaloguj się w konsoli administracyjnej, otwórz sekcję domen i kliknij Zarządzaj domenami.

Domena podstawowa jest wymieniona jako pierwsza. Kolumna stanu pokazuje, czy domena wymaga weryfikacji.

Czy zespół pomocy Google Cloud może mi pomóc z pytaniami dotyczącymi GAM?

Zespół pomocy Google Cloud nie obsługuje tych ani innych rozwiązań innych firm, a jedynie interfejs Admin SDK Directory API, z którego korzystają te narzędzia. Nie udzielimy Ci pomocy dotyczącej samego narzędzia GAM, ale możemy pomóc, jeśli błędy pochodzą z interfejsów API – zwłaszcza interfejsu Admin SDK Directory API. Więcej informacji o poleceniach i technikach GAM znajdziesz w witrynie wiki GAM.

Potrzebujesz pomocy dotyczącej narzędzia GAM? Skontaktuj się ze społecznością administratorów Google Workspace chętnych do udzielania pomocy na grupie dyskusyjnej GAM.

Jeśli uważasz, że problem dotyczy interfejsu Admin SDK Directory API, podaj zespołowi pomocy Google Cloud te informacje:

  • metoda HTTP i punkt końcowy, które wywołuje rozwiązanie innej firmy (np. POST /admin/directory/v1/users?fields=primaryEmail);

  • kod odpowiedzi i komunikat (np. „403: Not Authorized to access this resource/api - forbidden”);

  • data nagłówka HTTP odpowiedzi (np. Date: Wed, 22 Jun 2020 17:48:48 GMT);
  • element wywołujący: nazwa użytkownika, konto usługi lub identyfikator projektu Google Cloud.

Usuń takie informacje jak nazwy, hasła, nagłówki żądań uwierzytelniania, adresy IP, wartości schematów niestandardowych lub wszelkie inne informacje, które uznasz za poufne.

Mój projekt wyczerpał limit miejsca. Co mam zrobić?

Domyślne limity powinny być wystarczające dla większości klientów. Więcej informacji o limitach interfejsu API znajdziesz w artykule Directory API: Limity i limity wykorzystania.

Jeśli jednak potrzebujesz więcej miejsca na dane projektu, zapoznaj się z wymaganiami w sekcji limitów konsoli Google Cloud:

  1. Otwórz konsolę Google Cloud.
  2. U góry wybierz utworzony projekt GAM.
  3. Po lewej stronie kliknij Menu nawigacyjne  > Administracja > Limity.
  4. W sekcji Usługa zastosuj filtr Admin SDK (odpowiedni do obsługi administracyjnej użytkowników).
  5. Wybierz elementy, dla których chcesz uzyskać więcej miejsca.
  6. U góry kliknij Edytuj limity.

Aby włączyć płatności za projekt Google Cloud utworzony w GAM, przeczytaj artykuł Jak włączyć płatności za bieżące projekty.