Najczęstsze pytania na temat Directory Sync

Czy warto przejść z Google Cloud Directory Sync na Directory Sync?

Jeśli synchronizujesz tylko konta użytkowników i grupy, synchronizacja katalogu może spełniać Twoje wymagania.

Jeśli synchronizujesz też inne obiekty (na przykład licencje Google Workspace czy kontakty udostępnione), być może warto używać Directory Sync do synchronizowania kont użytkowników i grup oraz GCDS do obsługi innych obiektów. Jeśli jednak synchronizujesz zarówno konta użytkowników, jak i grupy, w obu przypadkach musisz używać tego samego narzędzia do synchronizacji.

Więcej informacji znajdziesz w porównaniu narzędzi Directory Sync i GCDS.

Czy mogę używać Directory Sync do synchronizacji kont użytkowników i grup oraz GCDS do synchronizowania kontaktów udostępnionych?

Tak. Directory Sync umożliwia synchronizowanie kont użytkowników i grup, a GCDS pozwala synchronizować inne obiekty, takie jak kontakty udostępnione. Zalecamy korzystanie z jednego narzędzia do synchronizacji kont użytkowników i grup.

Czy mogę skonfigurować Directory Sync do synchronizowania haseł?

Nie, Directory Sync nie może synchronizować haseł użytkowników z katalogów zewnętrznych.

Dlaczego mam konto usługi?

Gdy po raz pierwszy otworzysz stronę Directory Sync w konsoli administracyjnej Google, w wewnętrznym projekcie Google Cloud zostanie automatycznie utworzone konto usługi z rolą zarządzania katalogiem.

Directory Sync używa tego konta, aby uzyskiwać dostęp do danych z katalogu Google Cloud. Nie możesz wyświetlać konta ani nim zarządzać. Kolejne wizyty na stronie Directory Sync nie powodują tworzenia kont dodatkowych.

W narzędziu do analizy zagrożeń możesz sprawdzić, kiedy uzyskano dostęp do konta. Więcej informacji znajdziesz w artykule Zdarzenia z dziennika administratora.

Co się stanie, jeśli synchronizacja nie zostanie uruchomiona automatycznie?

To znaczy, że nie musisz nic więcej robić.

Synchronizacja katalogu powtarza proces przez co najmniej 7 dni po ostatniej pomyślnej synchronizacji. Przed anulowaniem procesu próbuje on ponownie uruchomić synchronizację co najmniej 9 razy.

Czy mogę zmienić nazwę grupy katalogów zewnętrznych?

Tak, możesz zmienić nazwę grupy katalogów zewnętrznych. Jeśli synchronizacja została przeprowadzona po dodaniu grupy w sekcji Zakres użytkownika w synchronizacji katalogu, gdy pole Zawieś konto użytkownika w katalogu Google było zaznaczone, może być konieczne wykonanie dodatkowych czynności. W takim przypadku postępuj zgodnie z instrukcjami poniżej, aby zmienić nazwę grupy.

Uwaga: jeśli opisana powyżej sytuacja nie dotyczy Twojej konfiguracji, możesz zmienić nazwę grupy katalogów zewnętrznych bez wykonywania dodatkowych czynności.

1. Wyłącz synchronizację.

   Szczegółowe informacje znajdziesz w tym artykule.

2. Na stronie Szczegóły katalogu kliknij Edytuj  obok Synchronizacja użytkowników.
3. Wpisz nową nazwę grupy i zapisz konfigurację synchronizacji.
4. Zmień nazwę grupy w katalogu zewnętrznym.
5. W usłudze Directory Sync w sekcji Zakres użytkownika usuń starą nazwę grupy i zapisz konfigurację synchronizacji.

Co się stanie z użytkownikami, jeśli grupa zostanie usunięta w katalogu zewnętrznym?

Jeśli grupa zdefiniowana w zakresie użytkownika zostanie usunięta z katalogu zewnętrznego, użytkownik w katalogu w Google Cloud pozostanie aktywny lub zawieszony po synchronizacji w zależności od ustawienia Wyrejestrowywanie. To działanie będzie aktywne, dopóki nie usuniesz grupy z zakresu synchronizacji.

Jeśli usuniesz grupę w katalogu zewnętrznym i dodasz ją ponownie z taką samą nazwą, Directory Sync zsynchronizuje ją tak, jakby była nową grupą (ponieważ ma nowy identyfikator grupy).

Więcej informacji znajdziesz w sekcji Zawieszanie kont użytkowników spoza katalogu zewnętrznego.

Czy mogę zsynchronizować użytkowników z domeną dodatkową?

Tak. Możesz użyć synchronizacji katalogu, aby zsynchronizować użytkowników z domeną dodatkową.

Sprawdź, czy adresy e-mail użytkowników w katalogu zewnętrznym są zgodne z nazwą domeny dodatkowej. Jeśli nie chcesz zmieniać istniejącego atrybutu poczty, użyj innego atrybutu i przypisz go podczas konfigurowania synchronizacji użytkowników. Podczas synchronizacji Directory Sync tworzy konta użytkowników w katalogu w chmurze Google, używając domeny dodatkowej jako podstawowego adresu e-mail.

Więcej informacji znajdziesz w artykule Zastępowanie nazwy domeny w przypadku zsynchronizowanych użytkowników.

Czy mogę zsynchronizować konta użytkowników Google, którzy mają uprawnienia administratora?

Nie. Directory Sync nie synchronizuje danych na kontach administratorów w Google Workspace.

Jeśli chcesz zsynchronizować konta administratorów, użyj Google Cloud Directory Sync. Więcej informacji znajdziesz w artykule Informacje o Google Cloud Directory Sync.

Czy mogę synchronizować zagnieżdżone grupy?

Tak. Podczas korzystania z Directory Sync możesz synchronizować zagnieżdżone grupy. Instrukcje znajdziesz w artykule na temat konfigurowania synchronizacji grup.

Czy oprogramowanie sprzęgające z dostępem do VPC mogę utworzyć w osobnym projekcie?

Aby uprościć konfigurację sieci, zalecamy utworzenie oprogramowania sprzęgającego z dostępem do wirtualnej chmury prywatnej (VPC) w tym samym projekcie co Cloud VPN lub Cloud Interconnect. Jeśli chcesz utworzyć oprogramowanie w innym projekcie, użyj współdzielonego środowiska VPC. Więcej informacji znajdziesz w omówieniu współdzielonego środowiska VPC.

Jak sformatować podstawową nazwę wyróżniającą podczas konfigurowania synchronizacji?

Podczas wyszukiwania obiektów katalogu (takich jak konta użytkowników czy grupy) serwer LDAP używa podstawowej nazwy wyróżniającej. Im węższy zakres podstawowej nazwy wyróżniającej, tym większa skuteczność wyszukiwania.

Przykłady

Aby zawęzić wyniki wyszukiwania, zalecamy użycie atrybutów objectClass i objectQuery. Szczegółowe informacje znajdziesz w artykule na temat filtrowania według obiektu objectCategory i objectClass.

Powiązane artykuły

• Uwagi dotyczące LDAP podczas optymalizacji wydajności usług ADDS
• Czym jest szybkie zapytanie?

Czy mogę synchronizować dane z wielu połączeń z AD?

Tak. Możesz utworzyć do 50 połączeń z AD. Domena AD musi być unikalna dla każdego połączenia.

Jak zwiększyć skuteczność wyszukiwania za pomocą zapytań LDAP?

Aby poprawić skuteczność wyszukiwania:

• Podstawowa nazwa wyróżniająca – dostosuj podstawową nazwę wyróżniającą, aby była jak najbardziej precyzyjna. Jeśli na przykład konta użytkowników lub grupy znajdują się w hierarchii jednostek organizacyjnych, użyj wyszukiwanego hasła wskazującego nadrzędny element hierarchii zamiast głównej jednostki organizacyjnej. Dzięki temu wyszukiwanie LDAP będzie obejmować określoną hierarchię jednostek organizacyjnych, a nie cały katalog.
• Zakres – zwróć uwagę na poziom hierarchii uwzględniony w zapytaniu LDAP.

  W tym przykładzie hierarchia jednostek organizacyjnych jest podzielona na regiony (pierwszy poziom) i kraje (drugi poziom). Jeśli konta użytkowników i grupy znajdują się w jednostce organizacyjnej APAC, ustaw zakres zapytania LDAP na 1 poziom, aby wyszukiwanie obejmowało tylko jednostkę APAC (a nie jednostki drugiego poziomu). Jeśli w wyszukiwaniu chcesz uwzględnić jednostki organizacyjne drugiego poziomu, ustaw zakres na Drzewo podrzędne.

Powiązane artykuły

• Uwagi dotyczące LDAP podczas optymalizacji wydajności usług ADDS
• Czym jest szybkie zapytanie?

Czy istnieje limit liczby połączeń z Azure Active Directory, które mogę zsynchronizować?

Tak. Możesz dodać tylko 1 połączenie z Microsoft Azure Active Directory.

Ile grup mogę dodać w zakresie użytkownika oraz grupy?

• W zakresie użytkownika – 2000 grup (łączny limit znaków dla wszystkich grup wynosi 100 tysięcy)
• W zakresie grupy – 400 grup (łączny limit znaków dla wszystkich grup wynosi 17 000)