Preguntas frecuentes sobre Directory Sync

¿Debo migrar de Google Cloud Directory Sync a Directory Sync?

Si solo sincronizas usuarios y grupos, es posible que Directory Sync satisfaga tus requisitos.

Si sincronizas objetos además de usuarios y grupos (por ejemplo, licencias de Google Workspace o contactos compartidos), puedes considerar usar Directory Sync para la sincronización de usuarios y grupos, y GCDS para los demás objetos. Sin embargo, si sincronizas usuarios y grupos, debes usar la misma herramienta de sincronización para ambos.

Consulta Comparación de Directory Sync con GCDS para obtener más información.

¿Puedo usar Directory Sync para sincronizar usuarios y grupos, y GCDS para sincronizar contactos compartidos?

Sí. Puedes usar Directory Sync para sincronizar usuarios y grupos, y GCDS para sincronizar otros objetos, como los contactos compartidos. Te recomendamos que uses una sola herramienta para sincronizar usuarios y grupos.

¿Puedo configurar Directory Sync para sincronizar contraseñas?

No, Directory Sync no puede sincronizar contraseñas de usuarios desde directorios externos.

¿Por qué tengo una cuenta de servicio?

La primera vez que accedes a la página de Directory Sync en la consola del administrador de Google, se crea automáticamente una cuenta de servicio con un rol de administración de directorios en un proyecto interno de Google Cloud.

Directory Sync usa esta cuenta para acceder a los datos de tu directorio de Google Cloud. No puedes ver ni administrar la cuenta. Las visitas posteriores a la página de Sincronización de directorios no crean cuentas adicionales.

Puedes revisar cuándo se accedió a la cuenta en la herramienta de investigación de seguridad. Para obtener más información, consulta Eventos de registro de administrador.

¿Qué sucede si una sincronización no se ejecuta automáticamente?

No es necesario que haga nada.

La Sincronización de directorios vuelve a intentar el proceso durante al menos 7 días después de la última sincronización correcta. Intenta reiniciar la sincronización al menos 9 veces antes de cancelar el proceso.

¿Puedo cambiar el nombre de un grupo de directorio externo?

Sí, puedes cambiar el nombre de un grupo de directorio externo. Debes seguir algunos pasos adicionales si ejecutaste una sincronización después de agregar el grupo en la sección User scope de Directory Sync con la casilla Suspend user in Google directory marcada. En este caso, sigue las instrucciones que se indican a continuación para cambiar el nombre del grupo.

Nota: Si la situación anterior no se aplica a tu configuración, puedes cambiar el nombre del grupo de directorios externos sin seguir estos pasos adicionales.

1. Inhabilita la sincronización.

   Para obtener más información, consulta Cómo activar o desactivar una sincronización.

2. En la página Detalles del directorio, junto a Sincronización de usuarios, haz clic en Editar .
3. Ingresa el nombre del grupo nuevo y guarda la configuración de sincronización.
4. En tu directorio externo, cambia el nombre del grupo.
5. En Directory Sync, en User Scope, quita el nombre del grupo anterior y guarda la configuración de sincronización.

¿Qué sucede con los usuarios si se borra un grupo en el directorio externo?

Si se borra un grupo definido en el alcance del usuario en el directorio externo, el usuario en el directorio de Google Cloud permanecerá activo o suspendido después de una sincronización, según tu configuración de Desaprovisionamiento. Esta acción continúa hasta que quitas el grupo del alcance de la sincronización.

Si borras el grupo en el directorio externo y lo vuelves a agregar con el mismo nombre, Directory Sync sincronizará el grupo como si fuera uno nuevo (porque tiene un ID de grupo nuevo).

Para obtener más información, consulta Cómo suspender a los usuarios que no se encuentran en el directorio externo.

¿Puedo sincronizar usuarios con un dominio secundario?

Sí, puedes usar Directory Sync para sincronizar usuarios con un dominio secundario.

Asegúrate de que las direcciones de correo electrónico de los usuarios en tu directorio externo coincidan con el nombre de tu dominio secundario. Si no quieres realizar cambios en tu atributo de correo electrónico existente, usa otro atributo y asígnale el atributo cuando configures la sincronización de usuarios. Durante la sincronización, Directory Sync crea los usuarios en tu directorio de Google Cloud con tu dominio secundario como dirección de correo electrónico principal.

Para obtener más información, consulta Cómo reemplazar el nombre de dominio de los usuarios sincronizados.

¿Puedo sincronizar usuarios de Google que tengan privilegios de administrador?

No. Directory Sync no sincroniza los datos de los usuarios administradores en Google Workspace.

Si necesitas sincronizar usuarios administradores, considera usar Google Cloud Directory Sync. Para obtener más información, consulta Acerca de Google Cloud Directory Sync.

¿Puedo sincronizar grupos anidados?

Sí, puedes sincronizar grupos anidados cuando usas Directory Sync. Para conocer los pasos, consulta Cómo configurar la sincronización de grupos.

¿Puedo crear el conector de acceso a VPC en un proyecto independiente?

Para simplificar la configuración de la red, te recomendamos que crees el conector de acceso a la nube privada virtual (VPC) en el mismo proyecto que Cloud VPN o Cloud Interconnect. Si deseas crear el conector de acceso a la VPC en un proyecto diferente, usa la VPC compartida. Para obtener más información, consulta la Descripción general de la VPC compartida.

¿Cómo le doy formato al DN base cuando configuro una sincronización?

Tu servidor LDAP usa el DN base como punto de partida cuando busca objetos de directorio, como usuarios y grupos. Cuanto más acotado sea el alcance del DN base, mejor será el rendimiento de la búsqueda.

Ejemplos

Te recomendamos que uses los atributos objectClass y objectQuery para acotar aún más tu búsqueda. Para obtener más información, consulta Cómo filtrar por objectCategory y objectClass.

Temas relacionados

• Consideraciones sobre LDAP en el ajuste del rendimiento de ADDS
• ¿Qué hace que una búsqueda sea rápida?

¿Puedo sincronizar desde varias conexiones de AD?

Sí, puedes crear hasta 50 conexiones de AD. El dominio de AD debe ser único para cada conexión.

¿Cómo puedo mejorar el rendimiento de la búsqueda con mis consultas LDAP?

Para mejorar el rendimiento de la búsqueda, haz lo siguiente:

• DN base: Ajusta el DN base para que sea lo más específico posible. Por ejemplo, si tus usuarios o grupos se encuentran en una jerarquía de unidades organizativas, usa la búsqueda para apuntar al elemento superior de la jerarquía en lugar de la unidad organizativa raíz. De esta manera, se garantiza que la búsqueda de LDAP se realice en la jerarquía de la unidad organizativa específica en lugar de en todo el directorio.
• Alcance: Considera el nivel de la jerarquía que se incluye en tu consulta LDAP.

  En este ejemplo, la jerarquía de unidades organizativas se divide en regiones (1ᵉʳ nivel) y países (2ᵉʳ nivel). Si tus usuarios y grupos se encuentran en la unidad organizativa de APAC, establece el alcance de la consulta de LDAP como Un nivel para que la consulta solo busque en la unidad de APAC (y no en sus unidades de 2º nivel). Si deseas incluir las unidades organizativas de 2º nivel en la búsqueda, establece el alcance en Sub-tree.

Temas relacionados

• Consideraciones sobre LDAP en el ajuste del rendimiento de ADDS
• ¿Qué hace que una búsqueda sea rápida?

¿Existe un límite para la cantidad de conexiones de Azure Active Directory que puedo sincronizar?

Sí, solo puedes agregar una conexión de Microsoft Azure Active Directory.

¿Cuántos grupos puedo agregar en el permiso de usuario y grupo?

• Alcance del usuario: 2,000 grupos (un límite de caracteres de 100,000 en total para todos los grupos)
• Alcance del grupo: 400 grupos (un límite de caracteres de 17,000 en total para todos los grupos)