Najczęstsze pytania na temat Directory Sync

Czy warto przejść z Google Cloud Directory Sync na Directory Sync?

Jeśli synchronizujesz tylko użytkowników i grupy, Directory Sync może spełniać Twoje wymagania.

Jeśli synchronizujesz też inne obiekty (na przykład licencje Google Workspace czy kontakty udostępnione), być może warto używać Directory Sync do synchronizowania kont użytkowników i grup oraz GCDS do obsługi innych obiektów. Jeśli jednak synchronizujesz zarówno konta użytkowników, jak i grupy, w obu przypadkach musisz używać tego samego narzędzia do synchronizacji.

Więcej informacji znajdziesz w porównaniu narzędzi Directory Sync i GCDS.

Czy mogę używać Directory Sync do synchronizacji kont użytkowników i grup oraz GCDS do synchronizowania kontaktów udostępnionych?

Tak. Directory Sync umożliwia synchronizowanie kont użytkowników i grup, a GCDS pozwala synchronizować inne obiekty, takie jak kontakty udostępnione. Zalecamy korzystanie z jednego narzędzia do synchronizacji kont użytkowników i grup.

Czy mogę skonfigurować Directory Sync do synchronizowania haseł?

Nie, Directory Sync nie może synchronizować haseł użytkowników z katalogów zewnętrznych.

Dlaczego mam konto usługi?

Gdy po raz pierwszy otworzysz stronę Directory Sync w konsoli administracyjnej Google, w wewnętrznym projekcie Google Cloud zostanie automatycznie utworzone konto usługi z rolą zarządzania katalogiem.

Directory Sync używa tego konta, aby uzyskiwać dostęp do danych z katalogu Google Cloud. Nie możesz wyświetlać tego konta ani nim zarządzać. Kolejne wizyty na stronie Directory Sync nie powodują tworzenia kont dodatkowych.

W narzędziu do analizy zagrożeń możesz sprawdzić, kiedy uzyskano dostęp do konta. Więcej informacji znajdziesz w artykule Zdarzenia z dziennika administratora.

Co się stanie, jeśli synchronizacja nie zostanie uruchomiona automatycznie?

Nie musisz nic robić. 

Directory Sync ponawia proces przez co najmniej 7 dni od ostatniej pomyślnej synchronizacji. Przed anulowaniem procesu próbuje on ponownie uruchomić synchronizację co najmniej 9 razy.

Czy mogę zmienić nazwę grupy katalogów zewnętrznych?

Tak, możesz zmienić nazwę grupy katalogów zewnętrznych. Jeśli synchronizacja została przeprowadzona po dodaniu grupy w sekcji Zakres użytkownika w Directory Sync, gdy pole Zawieś konto użytkownika w katalogu Google było zaznaczone, może być konieczne wykonanie dodatkowych czynności. W takim przypadku postępuj zgodnie z instrukcjami poniżej, aby zmienić nazwę grupy.

Uwaga: jeśli opisana powyżej sytuacja nie dotyczy Twojej konfiguracji, możesz zmienić nazwę grupy katalogów zewnętrznych bez wykonywania dodatkowych czynności.

1. Wyłącz synchronizację.

   Szczegółowe informacje znajdziesz w tym artykule.

2. Na stronie Szczegóły katalogu kliknij Edytuj  obok Synchronizacja użytkowników.
3. Wpisz nową nazwę grupy i zapisz konfigurację synchronizacji.
4. Zmień nazwę grupy w katalogu zewnętrznym.
5. W usłudze Directory Sync w sekcji Zakres użytkownika usuń starą nazwę grupy i zapisz konfigurację synchronizacji.

Co się stanie z użytkownikami, jeśli grupa zostanie usunięta w katalogu zewnętrznym?

Jeśli grupa zdefiniowana w zakresie użytkownika zostanie usunięta z katalogu zewnętrznego, użytkownik w katalogu w Google Cloud pozostanie aktywny lub zawieszony po synchronizacji w zależności od ustawienia Wyrejestrowywanie. To działanie będzie aktywne, dopóki nie usuniesz grupy z zakresu synchronizacji.

Jeśli usuniesz grupę w katalogu zewnętrznym i dodasz ją ponownie z taką samą nazwą, Directory Sync zsynchronizuje ją tak, jakby była nową grupą (ponieważ ma nowy identyfikator grupy).

Więcej informacji znajdziesz w sekcji Zawieszanie kont użytkowników spoza katalogu zewnętrznego.

Czy mogę zsynchronizować użytkowników z domeną dodatkową?

Tak. Możesz użyć Directory Sync, aby zsynchronizować użytkowników z domeną dodatkową.

Sprawdź, czy adresy e-mail użytkowników w katalogu zewnętrznym są zgodne z nazwą domeny dodatkowej. Jeśli nie chcesz zmieniać istniejącego atrybutu poczty, użyj innego atrybutu i przypisz go podczas konfigurowania synchronizacji użytkowników. Podczas synchronizacji Directory Sync tworzy konta użytkowników w katalogu w chmurze Google, używając domeny dodatkowej jako podstawowego adresu e-mail.

Więcej informacji znajdziesz w artykule Zastępowanie nazwy domeny w przypadku zsynchronizowanych użytkowników.

Czy mogę zsynchronizować konta użytkowników Google, którzy mają uprawnienia administratora?

Nie. Directory Sync nie synchronizuje danych na kontach administratorów w Google Workspace.

Jeśli chcesz zsynchronizować konta administratorów, użyj Google Cloud Directory Sync. Więcej informacji znajdziesz w artykule Informacje o Google Cloud Directory Sync.

Czy mogę synchronizować zagnieżdżone grupy?

Tak. Podczas korzystania z Directory Sync możesz synchronizować zagnieżdżone grupy. Instrukcje znajdziesz w artykule na temat konfigurowania synchronizacji grup.

Czy oprogramowanie sprzęgające z dostępem do VPC mogę utworzyć w osobnym projekcie?

Aby uprościć konfigurację sieci, zalecamy utworzenie oprogramowania sprzęgającego z dostępem do prywatnego środowiska wirtualnego w chmurze (VPC) w tym samym projekcie co Cloud VPN lub Cloud Interconnect. Jeśli chcesz utworzyć oprogramowanie w innym projekcie, użyj współdzielonego środowiska VPC. Więcej informacji znajdziesz w omówieniu współdzielonego środowiska VPC.

Jak sformatować podstawową nazwę wyróżniającą podczas konfigurowania synchronizacji?

Serwer LDAP używa podstawowej nazwy wyróżniającej jako punktu początkowego podczas wyszukiwania obiektów katalogu, takich jak użytkownicy i grupy. Im węższy zakres podstawowej nazwy wyróżniającej, tym większa skuteczność wyszukiwania.

Przykłady

Aby zawęzić wyniki wyszukiwania, zalecamy użycie atrybutów objectClass i objectQuery. Szczegółowe informacje znajdziesz w artykule na temat filtrowania według obiektu objectCategory i objectClass.

Powiązane artykuły

• Uwagi dotyczące LDAP podczas optymalizacji wydajności usług ADDS
• Czym jest szybkie zapytanie?

Czy mogę synchronizować dane z wielu połączeń z AD?

Tak. Możesz utworzyć do 50 połączeń z AD. Domena AD musi być unikalna dla każdego połączenia.

Jak zwiększyć skuteczność wyszukiwania za pomocą zapytań LDAP?

Aby poprawić skuteczność wyszukiwania:

• Podstawowa nazwa wyróżniająca – dostosuj podstawową nazwę wyróżniającą, aby była jak najbardziej precyzyjna. Jeśli na przykład konta użytkowników lub grupy znajdują się w hierarchii jednostek organizacyjnych, użyj zapytania wyszukiwania wskazującego nadrzędny element hierarchii zamiast głównej jednostki organizacyjnej. Dzięki temu wyszukiwanie LDAP będzie obejmować określoną hierarchię jednostek organizacyjnych, a nie cały katalog.
• Zakres – zwróć uwagę na poziom hierarchii uwzględniony w zapytaniu LDAP.

  W tym przykładzie hierarchia jednostek organizacyjnych jest podzielona na regiony (pierwszy poziom) i kraje (drugi poziom). Jeśli konta użytkowników i grupy znajdują się w jednostce organizacyjnej APAC, ustaw zakres zapytania LDAP na 1 poziom, aby wyszukiwanie obejmowało tylko jednostkę APAC (a nie jednostki drugiego poziomu). Jeśli w wyszukiwaniu chcesz uwzględnić jednostki organizacyjne drugiego poziomu, ustaw zakres na Drzewo podrzędne.

Powiązane artykuły

• Uwagi dotyczące LDAP podczas optymalizacji wydajności usług ADDS
• Czym jest szybkie zapytanie?

Czy istnieje limit liczby połączeń z Azure Active Directory, które mogę zsynchronizować?

Tak. Możesz dodać tylko 1 połączenie z Microsoft Azure Active Directory.

Ile grup mogę dodać w zakresie użytkownika oraz grupy?

• W zakresie użytkownika – 2000 grup (łączny limit znaków dla wszystkich grup wynosi 100 tysięcy)
• W zakresie grupy – 400 grup (łączny limit znaków dla wszystkich grup wynosi 17 000)