Confira abaixo perguntas comuns sobre como configurar e executar uma sincronização com o Directory Sync.
Geral | Sincronização de usuários e grupos | Active Directory | Azure Active Directory
Configuração
Devo migrar do Google Cloud Directory Sync para o Directory Sync?
Se você estiver sincronizando apenas usuários e grupos, o Directory Sync talvez atenda aos seus requisitos.
Ao sincronizar objetos com usuários e grupos, como contatos compartilhados ou licenças do Google Workspace, use o Directory Sync para sincronizar usuários e grupos e o GCDS para os outros objetos. Se você estiver sincronizando usuários e grupos, precisará usar a mesma ferramenta para ambos.
Confira mais informações em Comparar o Directory Sync com o GCDS.
Posso usar o Directory Sync para sincronizar usuários e grupos e o GCDS para sincronizar contatos compartilhados?
Sim. Você pode usar o Directory Sync para sincronizar usuários e grupos e o GCDS para sincronizar outros objetos, como contatos compartilhados. Recomendamos o uso de uma ferramenta para sincronizar usuários e grupos.
Posso configurar o Directory Sync para sincronizar senhas?
Não, o Directory Sync não pode sincronizar senhas de usuário de diretórios externos.
Por que tenho uma conta de serviço?
Na primeira vez que você acessar a página do Directory Sync no Google Admin Console, uma conta de serviço com uma função de gerenciamento de diretório será criada automaticamente em um projeto interno do Google Cloud.
O Directory Sync usa essa conta para acessar os dados do diretório do Google Cloud. Não é possível acessar ou gerenciar a conta. As visitas subsequentes à página do Directory Sync não criam contas adicionais.
É possível conferir quando a conta é acessada na ferramenta de investigação de segurança. Saiba mais detalhes em Eventos de registro do administrador.
Sincronização de usuários e grupos
O que acontece se uma sincronização não for executada automaticamente?
Não é necessário fazer nada.
A Sincronização de diretório tenta novamente o processo por pelo menos sete dias após a última sincronização bem-sucedida. Ele tenta reiniciar a sincronização pelo menos nove vezes antes de cancelar o processo.
Posso renomear um grupo de diretórios externo?
Sim, você pode mudar o nome de um grupo de diretórios externo. Você precisará de algumas etapas extras se tiver executado uma sincronização após adicionar o grupo na seção Escopo do usuário do Directory Sync com a opção Suspender usuário no diretório do Google marcada. Nesse caso, siga as instruções abaixo para mudar o nome do grupo.
Observação: se o cenário acima não se aplicar à sua configuração, renomeie o grupo do diretório externo sem estas etapas adicionais.
- Desative a sincronização.
Veja mais detalhes em Ativar ou desativar uma sincronização.
- Na página Detalhes do diretório, clique em Editar
ao lado de Sincronização do usuário. - Digite o nome do novo grupo e salve a configuração de sincronização.
- No diretório externo, renomeie o grupo.
- Na Sincronização de diretório, em Escopo do usuário, remova o nome do grupo antigo e salve a configuração de sincronização.
O que acontece com os usuários se um grupo for excluído do diretório externo?
Se um grupo definido no escopo do usuário for excluído do diretório externo, o usuário no diretório do Google Cloud vai permanecer ativo ou suspenso após uma sincronização, dependendo da configuração de Desprovisionamento. Essa ação continua até que você remova o grupo do escopo da sincronização.
Se você excluir o grupo no diretório externo e adicioná-lo novamente com o mesmo nome, a Sincronização de diretório vai sincronizar o grupo como se fosse um novo grupo porque ele tem um novo ID.
Confira mais informações em Suspender usuários não encontrados no diretório externo.
Posso sincronizar usuários com um domínio secundário?
Sim, você pode usar o Directory Sync para sincronizar usuários com um domínio secundário.
Verifique se os endereços de e-mail dos usuários no diretório externo correspondem ao nome de domínio secundário. Se você não quiser fazer alterações no atributo de e-mail atual, use outro atributo e o atribua ao configurar a sincronização de usuários. Durante uma sincronização, o Directory Sync cria os usuários no seu diretório do Google Cloud usando o domínio secundário como o endereço de e-mail principal.
Confira mais informações em Substituir o nome de domínio dos usuários sincronizados.
Posso sincronizar usuários do Google que têm privilégios de administrador?
Não. O Directory Sync não sincroniza dados de usuários administradores no Google Workspace.
Se você precisar sincronizar usuários administradores, use o Google Cloud Directory Sync. Para mais informações, acesse Sobre o Google Cloud Directory Sync.
Posso sincronizar grupos aninhados?
Sim, é possível sincronizar grupos aninhados ao usar o Directory Sync. Confira as etapas em Configurar a sincronização de grupos.
Active Directory
Posso criar o conector de acesso à VPC em um projeto separado?
Para simplificar a configuração de rede, recomendamos que você crie o conector de acesso à nuvem privada virtual (VPC) no mesmo projeto da VPN do Cloud ou do Cloud Interconnect. Se você quiser criar o conector de acesso à VPC em um projeto diferente, use a VPC compartilhada. Para mais informações, consulte Visão geral da VPC compartilhada.
Como formato o DN de base ao configurar uma sincronização?
O servidor LDAP usa o DN de base como ponto de partida ao pesquisar objetos de diretório, como usuários e grupos. Quanto mais restrito for o escopo do DN de base, melhor será o desempenho dele na pesquisa.
Exemplos
| Tipo de pesquisa de DN de base | Exemplo | Observações |
|---|---|---|
| Especificar o DN de base de nível superior | dc=example, dc=com | Pesquisa todos os objetos no diretório. O desempenho da pesquisa pode ser baixo. |
| Especificar uma unidade organizacional | ou=sales, dc=example, dc=com |
Pesquisa todos os objetos em uma unidade organizacional. |
|
Especificar a pesquisa de um usuário |
cn=Users, dc=example, dc=com |
Pesquisa todos os usuários no diretório. |
Recomendamos que você use os atributos objectClass e objectQuery para restringir ainda mais sua consulta. Confira mais detalhes em Filtrar com objectCategory e objectClass.
Temas relacionados
Posso sincronizar usando várias conexões do AD?
Sim, você pode criar até 50 conexões do AD. O domínio do AD precisa ser exclusivo para cada conexão.
Como posso melhorar o desempenho das pesquisas com minhas consultas LDAP?
Para melhorar o desempenho da pesquisa:
- DN de base: ajuste o DN de base para torná-lo o mais específico possível. Por exemplo, caso seus usuários ou grupos estejam em uma hierarquia de unidade organizacional, use a consulta de pesquisa para apontar para o pai da hierarquia em vez da unidade organizacional raiz. Isso garante que a pesquisa LDAP ocorra na hierarquia de unidades organizacionais específica, e não em todo o diretório.
- Escopo: considere o nível de hierarquia incluído na consulta LDAP.
Neste exemplo, a hierarquia de unidades organizacionais está dividida em regiões (primeiro nível) e países (segundo nível). Se os usuários e grupos estiverem na unidade organizacional APAC, defina o escopo da consulta LDAP como Um nível para que a consulta pesquise apenas a unidade APAC (e não as unidades de segundo nível). Se você quiser incluir as unidades organizacionais de segundo nível na pesquisa, defina o escopo como Subárvore.
Temas relacionados
Azure Active Directory
Existe um limite para o número de conexões do Active Directory do Azure que posso sincronizar?
Sim, só é possível adicionar uma conexão do Microsoft Azure Active Directory.
Quantos grupos posso adicionar no escopo "Usuário e grupo"?
- Escopo do usuário: 2.000 grupos (um limite de 100.000 caracteres para todos os grupos)
- Escopo do grupo: 400 grupos (um limite de 17.000 caracteres para todos os grupos)
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.