Ниже приведены часто задаваемые вопросы о настройке и запуске синхронизации с помощью Directory Sync.
Общие сведения | Синхронизация пользователей и групп | Active Directory | Azure Active Directory
Настраивать
Стоит ли мне переходить с Google Cloud Directory Sync на Directory Sync?
Если вам нужно синхронизировать только пользователей и группы, то функция синхронизации каталогов может удовлетворить ваши потребности.
Если вы синхронизируете не только пользователей и группы, но и другие объекты (например, лицензии Google Workspace или общие контакты), вы можете использовать Directory Sync для синхронизации пользователей и групп, а GCDS — для остальных объектов. Однако, если вы синхронизируете и пользователей, и группы, необходимо использовать один и тот же инструмент синхронизации для обоих случаев.
Для получения более подробной информации ознакомьтесь с разделом «Сравнение синхронизации каталогов с GCDS» .
Можно ли использовать Directory Sync для синхронизации пользователей и групп, а GCDS — для синхронизации общих контактов?
Да. Вы можете использовать Directory Sync для синхронизации пользователей и групп, а GCDS — для синхронизации других объектов, таких как общие контакты. Мы рекомендуем использовать один инструмент для синхронизации пользователей и групп.
Можно ли настроить синхронизацию каталогов для синхронизации паролей?
Нет, функция синхронизации каталогов не может синхронизировать пароли пользователей из внешних каталогов.
Зачем мне нужен сервисный аккаунт?
При первом посещении страницы синхронизации каталогов в консоли администратора Google в рамках внутреннего проекта Google Cloud автоматически создается учетная запись службы с ролью управления каталогами.
Функция синхронизации каталогов использует эту учетную запись для доступа к данным вашего облачного каталога Google. Вы не можете просматривать или управлять этой учетной записью. При последующих посещениях страницы синхронизации каталогов дополнительные учетные записи не создаются.
Вы можете просмотреть информацию о доступе к учетной записи в инструменте расследования инцидентов безопасности. Для получения более подробной информации перейдите в раздел «События журнала администратора» .
Синхронизация пользователей и групп
Что произойдет, если автоматическая синхронизация не запустится?
Вам ничего делать не нужно.
Синхронизация каталогов повторяет процесс как минимум в течение 7 дней после последней успешной синхронизации. Она пытается перезапустить синхронизацию не менее 9 раз, прежде чем отменить процесс.
Можно ли переименовать внешнюю группу каталогов?
Да, вы можете изменить имя внешней группы каталогов. Если после добавления группы в раздел «Область действия пользователя» в функции синхронизации каталогов был установлен флажок «Приостановить доступ пользователя к каталогу Google» , вам потребуются дополнительные действия. В этом случае следуйте приведенным ниже инструкциям, чтобы изменить имя группы.
Примечание : Если описанный выше сценарий не подходит для вашей конфигурации, вы можете переименовать группу внешних каталогов без выполнения этих дополнительных шагов.
- Отключите синхронизацию.
Для получения более подробной информации перейдите в раздел «Активация или деактивация синхронизации» .
- На странице сведений о каталоге , рядом с пунктом «Синхронизация пользователей» , нажмите «Редактировать».
. - Введите новое имя группы и сохраните конфигурацию синхронизации.
- В вашей внешней директории переименуйте группу.
- В разделе «Синхронизация каталогов» в подразделе «Область действия пользователя » удалите старое имя группы и сохраните конфигурацию синхронизации.
Что произойдет с пользователями, если группа будет удалена во внешнем каталоге?
Если группа, определенная в области действия пользователя, удаляется во внешнем каталоге, пользователь в каталоге Google Cloud остается активным или приостановленным после синхронизации в зависимости от настроек деактивации . Это действие продолжается до тех пор, пока вы не удалите группу из области действия синхронизации.
Если удалить группу во внешнем каталоге и добавить её обратно с тем же именем, функция синхронизации каталогов синхронизирует группу как новую (поскольку у неё новый идентификатор группы).
Для получения дополнительной информации перейдите по ссылке «Приостановка работы пользователей, не найденных во внешнем каталоге» .
Можно ли синхронизировать пользователей с дополнительным доменом?
Да, вы можете использовать синхронизацию каталогов для синхронизации пользователей с дополнительным доменом.
Убедитесь, что адреса электронной почты пользователей во внешнем каталоге совпадают с именем вашего дополнительного домена. Если вы не хотите вносить изменения в существующий почтовый атрибут, используйте другой атрибут и назначьте его при настройке синхронизации пользователей. Во время синхронизации Directory Sync создает пользователей в вашем облачном каталоге Google, используя ваш дополнительный домен в качестве основного почтового адреса.
Для получения дополнительной информации перейдите по ссылке «Заменить доменное имя для синхронизированных пользователей» .
Можно ли синхронизировать пользователей Google с правами администратора?
Нет. Функция синхронизации каталогов не синхронизирует данные для администраторов в Google Workspace.
Если вам необходимо синхронизировать учетные записи администраторов, рассмотрите возможность использования Google Cloud Directory Sync. Для получения дополнительной информации перейдите в раздел «О Google Cloud Directory Sync» .
Можно ли синхронизировать вложенные группы?
Да, вы можете синхронизировать вложенные группы при использовании синхронизации каталогов. Инструкции см. в разделе «Настройка синхронизации групп» .
Active Directory
Можно ли создать коннектор доступа к VPC в отдельном проекте?
Для упрощения настройки сети мы рекомендуем создавать коннектор доступа к виртуальной частной сети (VPC) в том же проекте, что и Cloud VPN или Cloud Interconnect. Если вы хотите создать коннектор доступа к VPC в другом проекте, используйте Shared VPC. Для получения дополнительной информации перейдите к обзору Shared VPC .
Как отформатировать базовый DN при настройке синхронизации?
Ваш LDAP-сервер использует базовое DN в качестве отправной точки при поиске объектов каталога, таких как пользователи и группы. Чем уже область действия базового DN, тем лучше производительность поиска.
Примеры
| Тип поиска по базовому DN | Пример | Примечания |
|---|---|---|
| Укажите базовый DN верхнего уровня. | dc=пример, dc=ком | Выполняет поиск по всем объектам в каталоге. Производительность поиска может быть низкой. |
| Укажите организационное подразделение. | ou=продажи, dc=пример, dc=ком | Выполняет поиск всех объектов в рамках организационной единицы. |
Укажите поисковый запрос пользователя. | cn=Users, dc=example, dc=com | Выполняет поиск по всем пользователям в каталоге. |
Мы рекомендуем использовать атрибуты objectClass и objectQuery для дальнейшего сужения запроса. Подробнее см. в разделе «Фильтр по objectCategory и objectClass» .
Связанные темы
Можно ли синхронизировать данные из нескольких подключений к Active Directory?
Да, вы можете создать до 50 подключений к Active Directory. Домен Active Directory должен быть уникальным для каждого подключения.
Как я могу улучшить производительность поиска с помощью LDAP-запросов?
Для повышения эффективности поиска:
- Базовый DN — скорректируйте базовый DN, чтобы сделать его максимально конкретным. Например, если ваши пользователи или группы находятся в иерархии организационных подразделений, используйте поисковый запрос, указывающий на родительский элемент иерархии, а не на корневое организационное подразделение. Это гарантирует, что поиск LDAP будет выполняться в конкретной иерархии организационных подразделений, а не во всем каталоге.
- Область применения – Учитывайте уровень иерархии, включенный в ваш LDAP-запрос.
В этом примере иерархия организационных подразделений разделена на регионы (1-й уровень) и страны (2-й уровень). Если ваши пользователи и группы находятся в организационном подразделении APAC, установите область поиска LDAP-запроса как «Один уровень» , чтобы запрос выполнял поиск только в подразделении APAC (а не в подразделениях 2-го уровня). Если вы хотите включить в поиск организационные подразделения 2-го уровня, установите область поиска как «Поддерево» .
Связанные темы
Azure Active Directory
Существует ли ограничение на количество синхронизируемых подключений к Azure Active Directory?
Да, вы можете добавить только одно подключение к Microsoft Azure Active Directory.
Сколько групп я могу добавить в рамках группы пользователей?
- Ограничение по количеству пользователей – 2000 групп (общее количество символов для всех групп – 100 000).
- Объем группы – 400 групп (общее количество символов для всех групп ограничено 17 000).
Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.