Лучшие практики GCDS

Для успешной синхронизации с Google Cloud Directory Sync (GCDS) мы рекомендуем следовать этим рекомендациям.

Подготовьте GCDS

  • Убедитесь, что система соответствует требованиям, особенно в отношении необходимого объема свободной оперативной памяти . Если вы планируете синхронизировать большое количество объектов из вашего LDAP-каталога, убедитесь, что на вашем сервере GCDS достаточно свободной оперативной памяти. Также убедитесь, что вы используете последнюю версию GCDS.
  • Убедитесь в безопасности вашей системы — проверьте безопасность компьютера, на котором установлен GCDS. Учетные данные, хранящиеся в XML-файле конфигурации, зашифрованы, но если злоумышленник получит доступ к компьютеру, он сможет получить доступ как к XML-файлу, так и к ключу шифрования.
  • Согласуйте имя хоста LDAP с базовым DN — Если вы используете Active Directory, убедитесь, что параметр «Имя хоста» соответствует параметру «Базовый DN» в диспетчере конфигураций. Если вы установите более высокий уровень, синхронизация может остановиться после первых 1000 пользователей или при достижении заданного размера страницы. Или выберите контроллер домена (например, dc01.example.com), который содержит объекты учетных записей пользователей в базовом DN.
  • Сначала обновите данные в LDAP и не забудьте имитировать синхронизацию. Когда данные в LDAP будут готовы, запустите имитационную синхронизацию, чтобы проверить настройки. Затем запустите полную синхронизацию, чтобы перенести обновления в вашу учетную запись Google. GCDS работает лучше всего, когда ваши данные Google обновляются в процессе синхронизации.
  • Проверьте и пригласите неуправляемых пользователей — Убедитесь в наличии существующих неуправляемых пользователей. Если вы обнаружите неуправляемых пользователей, пригласите их перенести свои учетные записи в управляемую учетную запись Google вашей организации перед запуском первой синхронизации. Это гарантирует, что синхронизация не создаст конфликтующие учетные записи для этих пользователей.

Управление учетными записями пользователей и администраторов.

  • Учетные записи пользователей: приостанавливайте, а не удаляйте — Если учетные записи пользователей не найдены в вашем LDAP-каталоге, настройте GCDS на приостановку, а не удаление учетных записей. Удаленные учетные записи нельзя восстановить через 20 дней, но данные для приостановленных учетных записей сохраняются. Вы также можете перенести электронную почту и содержимое Google Drive из приостановленной учетной записи в другую учетную запись.

  • Синхронизация учетных записей пользователей по другому расписанию — Вы можете быстро создавать и приостанавливать учетные записи пользователей после их изменения в каталоге LDAP, синхронизируя учетные записи пользователей по отдельному, более частому расписанию. Изменения, которые не являются столь срочными (например, обновление общих контактов или членства в группах), можно синхронизировать реже. Используйте командную строку для синхронизации только учетных записей пользователей.

  • Административные учетные записи: Не приостанавливать и не удалять — По умолчанию GCDS не приостанавливает и не удаляет административные учетные записи Google, которые не найдены в вашем LDAP-каталоге. Сохраните этот параметр, чтобы не потерять ни одной административной учетной записи Google.

Используйте правила и ограничения для синхронизации данных.

  • Проверьте лимиты на удаление — Проверьте лимиты на удаление в GCDS для каждого элемента, который вы хотите синхронизировать. Убедитесь, что лимит соответствует размеру вашей учетной записи и основан на разумном проценте или количестве элементов.

  • Используйте правила исключения, чтобы сохранить пользователей или группы в вашем аккаунте Google. — Если у вас есть учетные записи пользователей или группы в Google, которых нет в вашем каталоге LDAP, вы можете использовать правило исключения, чтобы гарантировать, что пользователи или группы останутся в вашем аккаунте Google. Прежде чем использовать правила исключения, убедитесь, что вы знакомы с их использованием.

  • Исключение данных LDAP с помощью правил целенаправленного поиска — Если вы хотите предотвратить синхронизацию объектов из вашего каталога LDAP с вашей учетной записью Google, мы рекомендуем использовать правила целенаправленного поиска. Правила поиска проще в управлении, чем правила исключения LDAP, и могут повысить производительность синхронизации. Прежде чем использовать правила поиска, ознакомьтесь с их использованием.

Следующий шаг

Скачайте и установите GCDS.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.