以下是設定及執行目錄同步作業時的常見問題。
一般 | 同步處理使用者與群組 | Active Directory | Azure Active Directory
設定
我是否應從 Google Cloud Directory Sync 遷移至 Directory Sync?
如果您只需同步處理使用者和群組,Directory Sync 應該可以滿足您的需求。
如果您除了使用者和群組之外還要同步處理物件 (例如 Google Workspace 授權或共用聯絡人),便可以考慮使用 Directory Sync 來同步使用者和群組,其他物件的同步作業則使用 GCDS。不過,如要同步處理使用者和群組,您就必須為兩者使用相同的同步處理工具。
詳情請參閱「比較 Directory Sync 與 GCDS」。
我可以透過 Directory Sync 同步處理使用者和群組資料,並使用 GCDS 同步處理共用聯絡人嗎?
可以。您可以使用 Directory Sync 同步處理使用者和群組,並使用 GCDS 同步處理其他物件,例如共用聯絡人。建議您使用單一工具同步處理使用者和群組。
我可以設定 Directory Sync 來同步處理密碼嗎?
不可以,Directory Sync 無法同步外部目錄的使用者密碼。
我為什麼會有服務帳戶?
您第一次前往 Google 管理控制台的「Directory Sync」頁面時,系統會在內部 Google Cloud 專案中,自動建立具有目錄管理角色的服務帳戶。
Directory Sync 會使用這個帳戶存取 Google 雲端目錄資料。您無法查看或管理這個帳戶。再次造訪 Directory Sync 頁面時,系統不會再建立其他帳戶。
您可以在安全調查工具中查看這個帳戶的存取記錄。詳情請參閱「管理員記錄事件」。
同步處理使用者和群組
如果同步作業無法自動執行,會有什麼影響?
因此您不必採取任何動作。
目錄同步會在前一次順利完成同步作業後,至少在 7 天內重新嘗試執行該程序。這項功能會嘗試重新啟動同步作業至少 9 次,之後才會取消該程序。
我可以重新命名外部目錄群組嗎?
可以,您可以變更外部目錄群組的名稱。如果您在目錄同步的「使用者範圍」部分新增群組後執行同步處理作業,並勾選「在 Google 目錄中將使用者停權」方塊,則需要採取一些額外步驟。在這種情況下,請按照下列操作說明變更群組名稱。
注意:如果上述設定不適用於您的設定,您可以重新命名這些外部目錄群組,不必執行其他步驟。
- 停用同步處理功能。
詳情請參閱「啟用或停用同步處理功能」。
- 在「目錄詳細資料」頁面中,按一下「使用者同步」旁邊的「編輯」圖示
。 - 輸入新的群組名稱並儲存同步處理設定。
- 在外部目錄中重新命名群組。
- 在 Directory Sync 的「使用者範圍」下方移除舊群組名稱,然後儲存同步處理設定。
如果群組在外部目錄中遭到刪除,使用者會有什麼影響?
如果在外部目錄中刪除使用者範圍中定義的群組,那麼視您取消佈建的設定而定,Google 雲端目錄中的使用者在同步處理後仍會保持有效或停權狀態。這項操作會繼續執行,直到您將群組從同步處理作業範圍中移除為止。
如果您在外部目錄中刪除該群組,並使用相同的名稱加回群組,Directory Sync 會將該群組視為新群組 (因為有新的群組 ID) 進行同步處理作業。
詳情請參閱「將外部目錄中找不到的使用者停權」。
可以將使用者同步到次要網域嗎?
可以,您可以使用 Directory Sync 將使用者同步到次要網域。
請確保外部目錄中的使用者電子郵件地址與次要網域名稱相符。如果不想變更現有的郵件屬性,請在設定使用者同步處理作業時,使用其他屬性並指派該屬性。在同步處理期間,Directory Sync 會使用您的次要網域做為主要電子郵件地址,在 Google 雲端目錄中建立使用者。
詳情請參閱「為已同步使用者更換網域名稱」。
我可以同步處理具有管理員權限的 Google 使用者嗎?
不可以。Directory Sync 不會同步處理 Google Workspace 中管理員使用者的資料。
如要同步處理管理員使用者,建議使用 Google Cloud Directory Sync。詳情請參閱「關於 Google Cloud Directory Sync」。
可以同步處理巢狀群組嗎?
可以,您可以使用 Directory Sync 同步處理巢狀群組。操作步驟請見「設定群組同步程序」。
Active Directory
我可以在其他專案中建立虛擬私有雲存取連接器嗎?
為簡化網路設定,建議您在與 Cloud VPN 或 Cloud Interconnect 相同的專案中建立虛擬私有雲 (VPC) 存取連接器。如要在其他專案中建立虛擬私有雲存取連接器,請使用共用虛擬私有雲。詳情請參閱「共用虛擬私有雲總覽」。
如何在設定同步處理作業時設定基準 DN 格式?
LDAP 伺服器在搜尋目錄物件 (例如使用者和群組) 時,會使用基準 DN 做為起點。基準 DN 的範圍越小,搜尋的成效越好。
範例
| 基準 DN 搜尋類型 | 範例 | 附註 |
|---|---|---|
| 指定頂層基準 DN | dc=example, dc=com | 搜尋目錄中的所有物件。搜尋成效可能偏低。 |
| 指定機構單位 | ou=sales, dc=example, dc=com |
搜尋組織單位下的所有物件。 |
|
指定使用者搜尋 |
cn=Users, dc=example, dc=com |
搜尋目錄中所有使用者。 |
建議您使用 objectClass 和 objectQuery 屬性來進一步縮小查詢範圍。詳情請參閱「篩選 objectCategory 和 objectClass」。
相關主題
我可以從多個 AD 連線進行同步處理作業嗎?
可以,您最多可以建立 50 個 AD 連線。每個連線的 AD 網域均不得重複。
如何透過 LDAP 查詢提升搜尋成效?
提升搜尋成效:
- 基準 DN:調整基準 DN,盡可能提供具體資訊。舉例來說,如果您的使用者或群組位於組織單位階層中,請使用搜尋查詢以指明該階層的上層,而非根組織單位。這麼做可確保系統在特定機構單位階層中執行 LDAP 搜尋,而非整個目錄。
- 範圍:查看 LDAP 查詢中包含的階層層級。
在本範例中,您的機構單位階層分為區域 (第 1 層) 和國家/地區 (第 2 層)。如果您的使用者和群組位於 APAC 組織單位,只要將 LDAP 查詢的範圍設為「單一層級」,即可讓查詢僅搜尋 APAC 單位 (而非第 2 層單位)。如要在搜尋結果中加入第 2 層機構單位,請將範圍設為「子樹狀結構」。
相關主題
Azure Active Directory
可以同步處理的 Azure Active Directory 連線數量是否有限制?
可以,您只能新增一個 Microsoft Azure Active Directory 連線。
根據使用者和群組範圍,我可以新增多少群組?
- 使用者範圍:2,000 個群組 (所有群組的總字元限制為 100,000 個)
- 群組範圍:400 個群組 (所有群組的總字元限制為 17,000 個)
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。