Часто задаваемые вопросы о синхронизации каталогов

Стоит ли мне перейти с Google Cloud Directory Sync на Directory Sync?

Если вы синхронизируете только пользователей и группы, Directory Sync может удовлетворить ваши требования.

Если вы синхронизируете не только пользователей и группы, но и объекты (например, лицензии Google Workspace или общие контакты), вы можете использовать Directory Sync для синхронизации пользователей и групп, а GCDS — для остальных объектов. Однако, если вы синхронизируете и пользователей, и группы, для обоих вариантов необходимо использовать один и тот же инструмент синхронизации.

Для получения дополнительной информации ознакомьтесь с разделом Сравнение синхронизации каталогов с GCDS .

Можно ли использовать Directory Sync для синхронизации пользователей и групп, а GCDS — для синхронизации общих контактов?

Да. Вы можете использовать Directory Sync для синхронизации пользователей и групп, а GCDS — для синхронизации других объектов, например, общих контактов. Мы рекомендуем использовать один инструмент для синхронизации пользователей и групп.

Можно ли настроить Directory Sync для синхронизации паролей?

Нет, Directory Sync не может синхронизировать пароли пользователей из внешних каталогов.

Зачем мне нужна учетная запись сервиса?

При первом посещении страницы синхронизации каталогов в консоли администратора Google во внутреннем проекте Google Cloud автоматически создается учетная запись службы с ролью управления каталогами.

Directory Sync использует эту учётную запись для доступа к данным вашего облачного каталога Google. Вы не можете просматривать или управлять этой учётной записью. Последующие посещения страницы Directory Sync не приводят к созданию дополнительных учётных записей.

Вы можете проверить, когда к учётной записи осуществлялся доступ, с помощью инструмента анализа безопасности. Подробнее см. в разделе «События журнала администратора» .

Что произойдет, если синхронизация не запустится автоматически?

Вам не нужно ничего делать.

Directory Sync повторяет попытку в течение как минимум 7 дней после последней успешной синхронизации. Синхронизация повторяется не менее 9 раз, прежде чем процесс будет отменен.

Можно ли переименовать внешнюю группу каталогов?

Да, вы можете изменить имя группы внешнего каталога. Если вы запустили синхронизацию после добавления группы в раздел «Область действия пользователя» в разделе «Синхронизация каталогов» с установленным флажком « Заморозить пользователя в каталоге Google» , вам потребуется выполнить некоторые дополнительные действия. В этом случае следуйте инструкциям ниже, чтобы изменить имя группы.

Примечание : Если описанный выше сценарий не применим к вашей настройке, вы можете переименовать группу внешнего каталога без этих дополнительных шагов.

1. Отключить синхронизацию.

   Подробную информацию см. в разделе Активация или деактивация синхронизации .

2. На странице сведений о каталоге , рядом с опцией «Синхронизация пользователей» , нажмите «Изменить». .
3. Введите новое имя группы и сохраните конфигурацию синхронизации.
4. Во внешнем каталоге переименуйте группу.
5. В разделе «Синхронизация каталогов» в разделе «Область пользователя » удалите старое имя группы и сохраните конфигурацию синхронизации.

Что произойдет с пользователями, если группа будет удалена во внешнем каталоге?

Если группа, определённая в области действия пользователя, удаляется из внешнего каталога, пользователь в облачном каталоге Google остаётся активным или заблокированным после синхронизации в зависимости от настроек деинициализации . Это действие будет продолжаться до тех пор, пока группа не будет удалена из области действия синхронизации.

Если вы удалите группу во внешнем каталоге и добавите ее снова с тем же именем, Directory Sync синхронизирует группу, как будто это новая группа (поскольку у нее новый идентификатор группы).

Для получения более подробной информации перейдите в раздел Приостановка пользователей, не найденных во внешнем каталоге .

Могу ли я синхронизировать пользователей с дополнительным доменом?

Да, вы можете использовать Directory Sync для синхронизации пользователей с дополнительным доменом.

Убедитесь, что адреса электронной почты пользователей во внешнем каталоге соответствуют имени вашего дополнительного домена. Если вы не хотите вносить изменения в существующий атрибут электронной почты, используйте другой атрибут и назначьте его при настройке синхронизации пользователей. Во время синхронизации Directory Sync создаёт пользователей в вашем облачном каталоге Google, используя ваш дополнительный домен в качестве основного адреса электронной почты.

Для получения дополнительной информации перейдите в раздел Замена доменного имени для синхронизированных пользователей .

Могу ли я синхронизировать пользователей Google, имеющих права администратора?

Нет. Directory Sync не синхронизирует данные для пользователей-администраторов в Google Workspace.

Если вам нужно синхронизировать пользователей с правами администратора, рассмотрите возможность использования Google Cloud Directory Sync. Подробнее см. в статье «О Google Cloud Directory Sync» .

Можно ли синхронизировать вложенные группы?

Да, вы можете синхронизировать вложенные группы при использовании Directory Sync. Инструкции см. в статье Настройка синхронизации групп .

Могу ли я создать соединитель доступа VPC в отдельном проекте?

Для упрощения настройки сети мы рекомендуем создать коннектор доступа к виртуальному частному облаку (VPC) в том же проекте, что и Cloud VPN или Cloud Interconnect. Если вы хотите создать коннектор доступа к VPC в другом проекте, используйте Shared VPC. Подробнее см. в разделе «Обзор Shared VPC» .

Как отформатировать базовое DN при настройке синхронизации?

Ваш LDAP-сервер использует базовое DN в качестве отправной точки при поиске объектов каталога, таких как пользователи и группы. Чем уже область действия базового DN, тем выше эффективность поиска.

Примеры

Мы рекомендуем использовать атрибуты objectClass и objectQuery для дальнейшего сужения запроса. Подробнее см. в статье Фильтрация по objectCategory и objectClass .

Похожие темы

• Учет LDAP при настройке производительности ADDS
• Что делает запрос быстрым?

Можно ли синхронизировать данные из нескольких подключений AD?

Да, вы можете создать до 50 подключений AD. Домен AD должен быть уникальным для каждого подключения.

Как можно повысить эффективность поиска с помощью LDAP-запросов?

Чтобы улучшить эффективность поиска:

• Базовое DN – скорректируйте базовое DN, сделав его максимально конкретным. Например, если ваши пользователи или группы находятся в иерархии организационного подразделения, используйте поисковый запрос, указывающий на родительский элемент иерархии, а не на корневое подразделение. Это гарантирует, что поиск LDAP будет выполняться в иерархии конкретного организационного подразделения, а не во всем каталоге.
• Область действия – рассмотрите уровень иерархии, включенный в ваш запрос LDAP.

  В этом примере иерархия подразделений вашей организации разделена на регионы (первый уровень) и страны (второй уровень). Если ваши пользователи и группы находятся в подразделении APAC, установите область действия запроса LDAP как «Один уровень» , чтобы поиск выполнялся только в подразделении APAC (а не в подразделениях второго уровня). Если вы хотите включить в поиск подразделения второго уровня, установите область действия как «Поддерево» .

Похожие темы

• Учет LDAP при настройке производительности ADDS
• Что делает запрос быстрым?

Существует ли ограничение на количество подключений Azure Active Directory, которые я могу синхронизировать?

Да, вы можете добавить только одно подключение Microsoft Azure Active Directory.

Сколько групп я могу добавить в область пользователей и групп?

• Область действия пользователя – 2000 групп (ограничение по количеству символов для всех групп – 100 000 в общей сложности)
• Область действия группы – 400 групп (общее количество символов для всех групп – 17 000)