U kunt LDAP-zoekregels gebruiken om gegevens van uw LDAP-directoryserver te synchroniseren met het Google-account van uw organisatie met Google Cloud Directory Sync (GCDS). Wanneer u een zoekregel toevoegt, worden gegevens die aan de zoekregel voldoen, gesynchroniseerd tijdens de volgende synchronisatie. Gegevens die niet aan de zoekregel voldoen, worden verwijderd.
Belangrijk : Google biedt geen ondersteuning voor het debuggen van LDAP-query's.
Basissyntaxis voor LDAP-query's
U kunt elke gewenste aangepaste LDAP-zoekopdracht maken, zolang deze voldoet aan RFC 2254 .
| Operator | Karakter | Gebruik |
|---|---|---|
| Gelijk aan | = | Hiermee wordt een filter aangemaakt dat vereist dat een veld een bepaalde waarde heeft. |
| Elk | * | Dit vertegenwoordigt een veld dat elke waarde kan aannemen, behalve NULL. |
| Haakjes | ( ) | Scheidt filters om andere logische operatoren te laten functioneren. |
| En | & | Voegt filters samen. Alle voorwaarden in de reeks moeten waar zijn. |
| Of | | | Voegt filters samen. Ten minste één voorwaarde in de reeks moet waar zijn. |
| Niet | ! | Sluit alle objecten uit die aan het filter voldoen. |
Voeg een LDAP-zoekregel toe
Je kunt deze stappen gebruiken voor elk type zoekregel.
- Ga in Configuration Manager naar Gebruikersaccounts .
Zoekregels . - Klik op Zoekregel toevoegen .
- Selecteer in het menu een optie om het bereik van de zoekregel te kiezen:
- Subboom — De zoekregel is van toepassing op het basis-DN-object en al zijn onderliggende objecten.
- Eén niveau — De zoekregel is van toepassing op de directe kinderen van het basis-DN-object, maar sluit het basis-DN zelf uit.
- Object — De zoekregel is alleen van toepassing op het basis-DN-object.
Voer bij 'Regel' de zoekregel in met behulp van de LDAP-zoekopdrachtsyntaxis.
Zie onderstaande voorbeelden.
Kies voor Base DN een optie:
- Voer de basis-DN in.
- Laat het veld leeg om de basis-DN te gebruiken die is opgegeven op de pagina LDAP-verbinding .
Klik op LDAP-query testen om de resultaten van uw query te controleren.
Je kunt het aantal gevonden objecten en de eerste 5 resultaten bekijken. Gebruikers zonder e-mailadres worden niet weergegeven.
Klik op OK .
(Optioneel) Om nog een zoekregel toe te voegen, herhaalt u de stappen.
Gegevens uitsluiten van een zoekregel
Uitsluitingsregels
U kunt uitsluitingsregels gebruiken om gegevens op de LDAP-directoryserver uit te sluiten die u niet wilt synchroniseren met het Google-account van uw organisatie. U kunt bijvoorbeeld een LDAP-zoekregel gebruiken om aan te geven dat alle e-mailadressen moeten worden gesynchroniseerd. Vervolgens kunt u een uitsluitingsregel gebruiken om e-mailadressen te negeren die met een bepaalde tekenreeks beginnen.
Zoekopdrachten van gebruikers
Bij een zoekopdracht van een gebruiker identificeert GCDS de gebruikers in uw Google-account die overeenkomen met de resultaten van de zoekopdracht. Als een Google-gebruiker niet overeenkomt met de resultaten, voert GCDS de synchronisatie uit alsof de gebruiker niet bestaat.
Als u een zoekopdracht voor gebruikers gebruikt, zorg er dan voor dat de LDAP-zoekregels geen gebruikers retourneren die wel in Google bestaan, maar niet in de zoekresultaten voorkomen. Anders probeert GCDS de gebruikers bij elke synchronisatie opnieuw aan te maken.
Bijvoorbeeld, yuri@altostrat.com bestaat in je Google-account en wordt ook weergegeven in de LDAP-zoekregel. Als je email:m* als zoekopdracht voor gebruikers gebruikt, probeert GCDS bij elke synchronisatie yuri@altostrat.com aan te maken, omdat yuri@altostrat.com niet met de letter m begint.
Voor meer informatie, zie Gegevens weglaten met uitsluitingsregels en -query's .
Voorbeelden van LDAP-query's en zoekregels
De volgende voorbeelden zijn algemeen en mogelijk niet van toepassing op uw situatie. Regeleinden dienen uitsluitend voor paginaopmaak.
Basis LDAP-query's
- Alle objecten (kunnen laadproblemen veroorzaken)
objectClass=*
- Alle gebruikersobjecten die zijn aangeduid als "persoon"
(&(objectClass=user)(objectCategory=person))
- Alleen mailinglijsten
(objectCategory=group)
- Alleen openbare mappen
(objectCategory=publicfolder)
- Alle gebruikersobjecten, behalve die met primaire e-mailadressen die beginnen met "test".
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Alle gebruikersobjecten, behalve die met primaire e-mailadressen die eindigen op "test".
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Alle gebruikersobjecten, behalve die met primaire e-mailadressen die het woord 'test' bevatten.
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
Specifieke LDAP-query's
- Alle gebruikers- en aliasobjecten die zijn aangeduid als "persoon" en deel uitmaken van een groep of distributielijst.
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Alle gebruikersobjecten die zijn aangewezen als "persoon", alle groepsobjecten en alle contactpersonen, behalve die met een waarde gedefinieerd als "extensionAttribute9".
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Alle gebruikers die lid zijn van de groep die wordt geïdentificeerd door de DN "CN=Group,OU=Users,DC=Domain,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Geeft alle gebruikers weer
- Voor Active Directory: (&(objectCategory=person)(objectClass=user))
- Voor OpenLDAP: (objectClass=inetOrgPerson)
- Voor HCL Domino: (objectClass=dominoPerson)
- Alle objecten met het e-mailadres dat is aangeduid als een "persoon" of "groep" (in een Domino LDAP-directory).
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Alle actieve (niet-uitgeschakelde) gebruikers met een e-mailadres in Active Directory.
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Alle gebruikers die lid zijn van Groep_1 of Groep_2, zoals gedefinieerd door de groeps-DN.
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Alle gebruikers die de waarde "Engineering" of "Sales" hebben in extensionAttribute1
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Haal recursief de groepsleden op die zich onder de opgegeven groep in Active Directory bevinden.
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Groepslidmaatschap opvragen met ObjectGUID in Active Directory. De hexadecimale waarde van het ObjectGUID-attribuut van een groep is 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Optimaliseer uw zoekregels
Je kunt zoekregels optimaliseren om de synchronisatieprestaties te verbeteren.
| Voorbeeld 1: Gebruikers retourneren met een e-mailadres | Gebruiksvoorbeeld |
|---|---|
| Gebruikerszoekregel: (&(objectClass=user)(objectCategory=person)(mail=*)) | In plaats van een standaardregel te gebruiken om alle gebruikers terug te geven, optimaliseer je je regel door de query 'mail=' te gebruiken. De synchronisatie verloopt efficiënter omdat de LDAP-server en GCDS geen gegevens hoeven te verwerken die anders zouden worden weggegooid. |
| Voorbeeld 2: Gebruikers retourneren waarvan het e-mailadres overeenkomt met de tekenreeks | Gebruiksvoorbeeld |
|---|---|
| Gebruikerszoekregel: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | In plaats van een basisregel en een uitsluitingsregel te gebruiken om alle gebruikers te retourneren met een e-mailadres dat geen verkopen heeft, kunt u beter een geoptimaliseerde regel met een overeenkomende tekenreeks gebruiken. De LDAP-server en GCDS hoeven geen gegevens te verwerken die anders zouden worden weggegooid. Bovendien hoeft u geen uitsluitingsregel in te stellen of rekening te houden met het prioriteitsniveau. |
Gerelateerd onderwerp
Bereid uw LDAP-directory voor.
Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.