以下是有关使用目录同步设置和运行同步的常见问题。
常规 | 同步用户和群组 | Active Directory | Azure Active Directory
设置
我是否应从 Google Cloud Directory Sync 改为使用 Directory Sync?
如果您只同步用户和群组,目录同步功能或许可以满足您的要求。
如果您同步对象以及用户和群组(例如 Google Workspace 许可或共享联系人),可以考虑将 Directory Sync 用于同步用户和群组,将 GCDS 用于其他对象。不过,如果要同时同步用户和群组,则必须对这两者使用相同的同步工具。
请查看比较 Directory Sync 与 GCDS,以了解详情。
我可以将 Directory Sync 用于同步用户和群组,并使用 GCDS 同步共享联系人吗?
可以。您可以使用 Directory Sync 同步用户和群组,并使用 GCDS 同步其他对象,例如共享联系人。我们建议您使用一种工具来同步用户和群组。
我可以设置 Directory Sync 来同步密码吗?
不可以,Directory Sync 不能同步外部目录中的用户密码。
为什么我拥有服务账号?
首次在 Google 管理控制台中前往“目录同步”页面时,系统会在内部 Google Cloud 项目中自动创建一个具有目录管理角色的服务账号。
Directory Sync 使用此账号访问您的 Google Cloud 目录数据。您无法查看或管理相应账号。后续访问 Directory Sync 页面不会创建其他账号。
您可以在安全调查工具中查看账号的访问时间。如需了解详情,请参阅管理员日志事件。
同步用户和群组
如果同步无法自动运行,会发生什么情况?
您无需采取任何操作。
在最后一次成功同步后,目录同步至少在 7 天内重试该流程。在取消进程之前,它会尝试重新开始同步至少 9 次。
是否可以重命名外部目录群组?
可以,您可以更改外部目录群组的名称。如果您在 Directory Sync 的用户范围部分添加群组并勾选在 Google 目录中暂停用户复选框后运行同步,则需要执行一些额外的步骤。在这种情况下,请按照以下说明更改群组名称。
注意:如果上述情形不适用于您的设置,您可以直接重命名外部目录群组,而无需执行这些额外的步骤。
- 停用同步功能。
如需了解详情,请参阅启用或停用同步。
- 在目录详情页面上,点击用户同步旁边的“修改”图标
。 - 输入新的群组名称,然后保存同步配置。
- 在外部目录中重命名该群组。
- 在目录同步中,移除用户范围下的旧群组名称,然后保存同步配置。
如果外部目录中的某个群组被删除,用户会受到什么影响?
如果在用户范围中定义的群组在外部目录中被删除,则 Google Cloud 目录中的用户在同步后会保持活跃状态或被暂停,具体取决于您的取消配置设置。此操作会继续执行,直到您从同步范围中移除该群组。
如果您删除外部目录中的群组,然后使用相同名称添加回去,则 Directory Sync 会像同步新群组一样同步该群组(因为它具有新的群组 ID)。
如需了解详情,请参阅暂停在外部目录中找不到的用户。
我可以将用户同步到辅助网域吗?
可以,您可以使用 Directory Sync 将用户同步到辅助网域。
请确保外部目录中用户的电子邮件地址与您的辅助域名相匹配。如果您不想更改现有的邮箱属性,请使用其他属性,并在设置用户同步时指定该属性。在同步期间,Directory Sync 会使用您的辅助域名作为主要邮件地址在 Google Cloud 目录中创建用户。
如需了解详情,请参阅为已同步的用户替换域名。
是否可以同步具有管理员权限的 Google 用户?
不可以。Directory Sync 不会同步 Google Workspace 中管理员用户的数据。
如果您需要同步管理员用户,请考虑使用 Google Cloud Directory Sync。如需了解详情,请参阅关于 Google Cloud Directory Sync。
我可以同步嵌套群组吗?
可以,使用 Directory Sync 时可以同步嵌套群组。如需了解相关步骤,请参阅设置群组同步。
Active Directory
我可以在单独的项目中创建 VPC 访问连接器吗?
为简化网络配置,建议您在与 Cloud VPN 或 Cloud Interconnect 相同的项目中创建虚拟私有云 (VPC) 访问连接器。如果您想在其他项目中创建 VPC 访问连接器,请使用共享 VPC。如需了解详情,请参阅共享 VPC 概览。
如何在设置同步时设定基本 DN 格式?
在搜索目录对象(例如用户和群组)时,LDAP 服务器会使用基本 DN 作为起点。基本 DN 的范围越窄,搜索时的效果就越好。
示例
| 基本 DN 搜索的类型 | 示例 | 备注 |
|---|---|---|
| 指定顶级基本 DN | dc=example, dc=com | 搜索目录中的所有对象。搜索效果可能较差。 |
| 指定组织部门 | ou=sales, dc=example, dc=com |
搜索组织部门下的所有对象。 |
|
指定用户的搜索内容 |
cn=Users, dc=example, dc=com |
搜索目录中的所有用户。 |
建议您使用 objectClass 和 objectQuery 属性进一步缩小查询范围。如需了解详情,请参阅按 objectCategory 和 objectClass 进行过滤。
相关主题
是否可以从多个 AD 连接同步数据?
可以,您最多可以创建 50 个 AD 连接。每个连接的 AD 网域必须唯一。
如何使用 LDAP 查询改善搜索效果?
如需改善搜索效果,请按以下说明操作:
- 基本 DN - 调整基本 DN,使其尽可能具体。例如,如果您的用户或群组位于某个组织部门层次结构中,请使用搜索查询指向层次结构的上级组织部门,而不是根级组织部门。这样可确保 LDAP 搜索在特定组织部门层次结构(而非整个目录)中进行。
- 范围 - 请考虑 LDAP 查询中包含的层次结构级别。
在此示例中,您的组织部门层次结构分为区域(第 1 级)和国家/地区(第 2 级)。如果您的用户和群组属于亚太地区组织部门,请将 LDAP 查询的范围设置为一级,以便查询仅搜索亚太地区组织部门(而不是其第 2 级组织部门)。如果您想在搜索中包含第 2 级组织部门,请将范围设置为 Sub-tree。
相关主题
Azure Active Directory
可以同步的 Azure Active Directory 连接数量是否存在限制?
有,您只能添加一个 Microsoft Azure Active Directory 连接。
可以在“用户和群组”范围下添加多少个群组?
- 用户范围 - 2,000 个群组(所有群组总共不得超过 10 万个字符)
- 群组范围 - 400 个群组(所有群组总共不得超过 17,000 个字符)
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。