שאלות נפוצות על Directory Sync

האם כדאי לעבור מ-Google Cloud Directory Sync ל-Directory Sync?

אם אתם מסנכרנים רק משתמשים וקבוצות, יכול להיות ש-Directory Sync יענה על הדרישות שלכם.

אם אתם מסנכרנים אובייקטים בנוסף למשתמשים ולקבוצות (לדוגמה, רישיונות ל-Google Workspace או אנשי קשר משותפים), כדאי להשתמש ב-Directory Sync לסנכרון המשתמשים והקבוצות, וב-GCDS לאובייקטים האחרים. עם זאת, אם אתם מסנכרנים גם משתמשים וגם קבוצות, אתם צריכים להשתמש באותו כלי סינכרון לשניהם.

מידע נוסף זמין במאמר השוואה בין Directory Sync לבין GCDS.

האם אפשר להשתמש ב-Directory Sync לסנכרון משתמשים וקבוצות, וב-GCDS לסנכרון אנשי קשר משותפים?

כן. אפשר להשתמש ב-Directory Sync כדי לסנכרן משתמשים וקבוצות, וב-GCDS כדי לסנכרן אובייקטים אחרים, כמו אנשי קשר משותפים. מומלץ להשתמש בכלי אחד לסנכרון משתמשים וקבוצות.

האם אפשר להגדיר את Directory Sync לסנכרון סיסמאות?

לא, Directory Sync לא יכול לסנכרן סיסמאות משתמשים מספריות חיצוניות.

למה יש לי חשבון שירות?

בפעם הראשונה שאתם נכנסים לדף Directory Sync במסוף Google Admin, נוצר באופן אוטומטי חשבון שירות עם תפקיד ניהול ספריות בפרויקט פנימי ב-Google Cloud.

החשבון הזה משמש את Directory Sync כדי לגשת לנתונים של ספריית Google Cloud. אתם לא יכולים לראות את החשבון או לנהל אותו. בביקורים הבאים בדף Directory Sync לא נוצרים חשבונות נוספים.

אפשר לבדוק מתי הייתה גישה לחשבון בכלי לחקירת אבטחה. פרטים נוספים זמינים במאמר בנושא אירועים ביומן האדמין.

מה קורה אם הסנכרון לא מתבצע באופן אוטומטי?

אינך נדרש לעשות דבר.

הכלי לסנכרון מדריכים מנסה שוב את התהליך במשך 7 ימים לפחות אחרי הסנכרון האחרון שהושלם בהצלחה. המערכת מנסה להפעיל מחדש את הסנכרון לפחות 9 פעמים לפני שהיא מבטלת את התהליך.

האם אפשר לשנות את השם של קבוצה בספרייה חיצונית?

כן, אפשר לשנות את השם של קבוצה בספרייה חיצונית. אם הפעלתם סנכרון אחרי שהוספתם את הקבוצה בקטע היקף המשתמש של Directory Sync, כשהתיבה השעיית משתמש בספריית Google מסומנת, תצטרכו לבצע כמה שלבים נוספים. במקרה כזה, פועלים לפי ההוראות שבהמשך כדי לשנות את שם הקבוצה.

הערה: אם התרחיש שלמעלה לא רלוונטי להגדרה שלכם, אתם יכולים לשנות את השם של קבוצת הספרייה החיצונית בלי השלבים הנוספים האלה.

1. משביתים את הסנכרון.

   פרטים נוספים זמינים במאמר בנושא הפעלה או השבתה של סנכרון.

2. בדף פרטי הספרייה, ליד סנכרון משתמשים, לוחצים על סמל העריכה .
3. מזינים את השם החדש של הקבוצה ושומרים את הגדרות הסנכרון.
4. בספרייה החיצונית, משנים את השם של הקבוצה.
5. ב-Directory Sync, בקטע User Scope, מסירים את שם הקבוצה הישן ושומרים את הגדרת הסנכרון.

מה קורה למשתמשים אם קבוצה נמחקת בספרייה החיצונית?

אם קבוצה שהוגדרה בהיקף המשתמשים נמחקת בספרייה החיצונית, המשתמש בספריית Google Cloud נשאר פעיל או מושעה אחרי הסנכרון, בהתאם להגדרת ביטול הקצאת הרשאות. הפעולה הזו תימשך עד שתסירו את הקבוצה מההיקף של הסנכרון.

אם מוחקים את הקבוצה בספרייה החיצונית ומוסיפים אותה מחדש עם אותו שם, Directory Sync מסנכרן את הקבוצה כאילו היא קבוצה חדשה (כי יש לה מזהה קבוצה חדש).

מידע נוסף זמין במאמר בנושא השעיית משתמשים שלא נמצאים בספרייה החיצונית.

אפשר לסנכרן משתמשים לדומיין משני?

כן, אפשר להשתמש ב-Directory Sync כדי לסנכרן משתמשים לדומיין משני.

מוודאים שכתובות האימייל של המשתמשים בספרייה החיצונית תואמות לשם הדומיין המשני. אם אתם לא רוצים לבצע שינויים במאפיין האימייל הקיים, אתם יכולים להשתמש במאפיין אחר ולהקצות אותו כשאתם מגדירים את סנכרון המשתמשים. במהלך הסנכרון, Directory Sync יוצר את המשתמשים בספריית Google Cloud באמצעות הדומיין המשני ככתובת האימייל הראשית.

מידע נוסף זמין במאמר החלפת שם הדומיין של משתמשים שסונכרנו.

האם אפשר לסנכרן משתמשי Google עם הרשאות אדמין?

לא. Directory Sync לא מסנכרן נתונים של משתמשים עם הרשאות אדמין ב-Google Workspace.

אם אתם צריכים לסנכרן משתמשי אדמין, כדאי להשתמש ב-Google Cloud Directory Sync. מידע נוסף זמין במאמר מידע על Google Cloud Directory Sync.

האם אפשר לסנכרן קבוצות מקוננות?

כן, אפשר לסנכרן קבוצות מקוננות כשמשתמשים בסנכרון ספריות. ההוראות מופיעות במאמר בנושא הגדרת סנכרון קבוצות.

האם אפשר ליצור את מחבר הגישה ל-VPC בפרויקט נפרד?

כדי לפשט את הגדרת הרשת, מומלץ ליצור את מחבר הגישה לענן הווירטואלי הפרטי (VPC) באותו פרויקט שבו נמצא Cloud VPN או Cloud Interconnect. אם רוצים ליצור את מחבר הגישה ל-VPC בפרויקט אחר, צריך להשתמש ב-VPC משותף. מידע נוסף זמין במאמר סקירה כללית על VPC משותף.

איך מגדירים את הפורמט של ה-Base DN כשמגדירים סנכרון?

שרת ה-LDAP משתמש ב-DN הבסיסי כנקודת התחלה כשמחפשים אובייקטים בספרייה, כמו משתמשים וקבוצות. ככל שההיקף של ה-Base DN מצומצם יותר, כך הביצועים טובים יותר בזמן החיפוש.

דוגמאות

מומלץ להשתמש במאפיינים objectClass ו-objectQuery כדי לצמצם עוד יותר את השאילתה. פרטים נוספים זמינים במאמר בנושא סינון לפי objectCategory ו-objectClass.

נושאים קשורים

• שיקולים לגבי LDAP בכוונון הביצועים של ADDS
• מה הופך שאילתה למהירה?

האם אפשר לסנכרן מכמה חיבורים ל-AD?

כן, אפשר ליצור עד 50 חיבורים ל-AD. דומיין ה-AD חייב להיות ייחודי לכל חיבור.

איך אפשר לשפר את הביצועים של החיפוש באמצעות שאילתות LDAP?

כדי לשפר את ביצועי החיפוש:

• Base DN – כדאי להתאים את ה-Base DN כך שיהיה ספציפי ככל האפשר. לדוגמה, אם המשתמשים או הקבוצות שלכם נמצאים בהיררכיה של יחידות ארגוניות, צריך להשתמש בשאילתת החיפוש כדי להפנות ליחידת האב של ההיררכיה במקום ליחידה הארגונית הבסיסית. כך אפשר להבטיח שהחיפוש ב-LDAP יתבצע בהיררכיה של היחידה הארגונית הספציפית ולא בכל הספריה.
• רמה – צריך לקחת בחשבון את רמת ההיררכיה שנכללת בשאילתת ה-LDAP.

  בדוגמה הזו, ההיררכיה של היחידות הארגוניות מחולקת לאזורים (רמה ראשונה) ולמדינות (רמה שנייה). אם המשתמשים והקבוצות נמצאים ביחידה הארגונית APAC, צריך להגדיר את היקף שאילתת ה-LDAP כרמה אחת כדי שהשאילתה תחפש רק ביחידה APAC (ולא ביחידות ברמה השנייה שלה). אם רוצים לכלול בחיפוש את היחידות הארגוניות ברמה השנייה, מגדירים את ההיקף לעץ משנה.

נושאים קשורים

• שיקולים לגבי LDAP בכוונון הביצועים של ADDS
• מה הופך שאילתה למהירה?

האם יש הגבלה על מספר החיבורים של Azure Active Directory שאפשר לסנכרן?

כן, אפשר להוסיף רק חיבור אחד של Microsoft Azure Active Directory.

כמה קבוצות אפשר להוסיף בהיקף המשתמש והקבוצה?

• היקף המשתמשים – 2,000 קבוצות (מגבלת תווים של 100,000 בסך הכול לכל הקבוצות)
• היקף הקבוצה – 400 קבוצות (מגבלת תווים של 17,000 בסך הכול לכל הקבוצות)