سوالات متداول GCDS

چگونه می‌توانم GCDS را روی دستگاهی که رابط کاربری گرافیکی (GUI) ندارد، مجاز کنم؟

1. مطمئن شوید که از نسخه ۴.۷.۱۴ یا بالاتر GCDS استفاده می‌کنید.

   برای جزئیات، به به‌روزرسانی GCDS مراجعه کنید.

2. GCDS را روی رایانه‌ای که رابط کاربری گرافیکی (GUI) دارد، مجاز کنید.

   برای جزئیات بیشتر، به «مجاز کردن حساب گوگل» خود بروید.

3. فایل XML را ایجاد و ذخیره کنید.
4. در همان رایانه، از خط فرمان برای اجرای ابزار upgrade-config با استفاده از پارامتر -exportkeys استفاده کنید.

   مثال: upgrade-config -exportkeys فایل کلید رمزگذاری [ password ]

   در این مثال، کلیدها به فایلی به نام فایل کلید رمزگذاری (encryption key file ) منتقل می‌شوند. استفاده از رمز عبور اختیاری است.

5. فایل کلید رمزگذاری و فایل پیکربندی را در رایانه‌ای بدون رابط کاربری گرافیکی کپی کنید.
6. در کامپیوتری که رابط کاربری گرافیکی ندارد، با استفاده از پارامتر -importkeys ، از خط فرمان برای اجرای ابزار upgrade-config استفاده کنید.

   مثال: upgrade-config -importkeys نام فایل

   مهم : پارامتر ‎-importkeys ‎ هرگونه پیکربندی مجاز GCDS که ممکن است روی رایانه خود داشته باشید را حذف می‌کند.

7. در صورت نیاز، رمز عبوری را که در مرحله ۴ تنظیم کرده‌اید، وارد کنید.

   شما باید تأیید کنید که کلیدها با موفقیت وارد شده‌اند.

نکته : برای گزینه‌های بیشتر، از خط فرمان، دستور upgrade-config -help را وارد کنید.

چگونه می‌توانم GCDS را به سرور دیگری منتقل کنم؟

1. اگر فکر می‌کنید که آدرس ایمیل کاربر (تغییر نام کاربر) را تغییر داده‌اید یا مطمئن نیستید که این کار را انجام داده‌اید، یکی از گزینه‌ها را انتخاب کنید:
   • همگام‌سازی را روی سرور قدیمی اجرا کنید.
   • فایل‌های مقادیر جدا شده با تب (TSV) را در سرور جدید کپی کنید.

     می‌توانید با جستجوی ‎.tsv ‎ نام و محل فایل‌های TSV را در فایل پیکربندی پیدا کنید.

   • GCDS را روی سرور جدید نصب کنید. برای دستورالعمل‌ها، به «دانلود و نصب GCDS» بروید.
2. فایل پیکربندی را به سرور جدید کپی کنید.
3. در سرور جدید، در Configuration Manager ، فایل پیکربندی را باز کنید.
4. مجوز GCDS را برای حساب گوگل خود دوباره فعال کنید. برای دستورالعمل‌ها، به بخش «مجاز کردن حساب گوگل» بروید.
5. در صفحه پیکربندی LDAP ، رمز عبور LDAP را به‌روزرسانی کنید. برای دستورالعمل‌ها، به تنظیمات اتصال LDAP بروید.
6. در صفحه اعلان‌ها ، رمز عبور SMTP را به‌روزرسانی کنید. برای دستورالعمل‌ها، به ویژگی‌های اعلان مراجعه کنید.
7. یک همگام‌سازی شبیه‌سازی‌شده را اجرا کنید.
8. همگام‌سازی را بررسی کنید تا مطمئن شوید هیچ تغییر غیرمنتظره‌ای رخ نداده است.
9. همگام‌سازی کامل را اجرا کنید.

   پس از همگام‌سازی، فایل‌های TSV از سرور قدیمی به‌روزرسانی می‌شوند. اگر فایل‌های TSV را منتقل نکرده باشید، فایل‌های جدید ایجاد می‌شوند.

اگر در مورد گواهینامه‌ها مشکل داشته باشم، چه کاری می‌توانم انجام دهم؟

اگر هنگام اجرای GCDS با هرگونه مشکلی در گواهی‌ها مواجه شدید، به بخش عیب‌یابی مشکلات مربوط به گواهی مراجعه کنید.

GCDS از چه APIهایی استفاده می‌کند؟

GCDS از APIهای Google Workspace برای همگام‌سازی داده‌های دایرکتوری شما با حساب گوگل شما استفاده می‌کند. APIها برای احراز هویت از OAuth استفاده می‌کنند، نه رمز عبور ادمین. این رویکرد به ویژگی‌هایی مانند تأیید هویت دو مرحله‌ای (2SV) اجازه می‌دهد بدون تأثیر بر عملکرد GCDS فعال بمانند.

GCDS از API های زیر استفاده می کند:

• API دایرکتوری
• رابط برنامه‌نویسی کاربردی هویت ابری
• API تنظیمات گروه‌ها
• API مدیریت لایسنس سازمانی
• API مخاطبین مشترک دامنه

چرا تغییرات مورد انتظار را در حساب گوگل خود نمی‌بینم؟

ممکن است تا ۸ روز طول بکشد تا تغییری در حساب گوگل خود مشاهده کنید. برای درک دلیل آن، باید نحوه‌ی ذخیره‌سازی داده‌ها توسط GCDS را درک کنید.

GCDS حداکثر ۸ روز داده‌های حساب گوگل شما را در حافظه پنهان (cache) نگه می‌دارد. GCDS می‌تواند بسته به اندازه داده‌های ذخیره شده، حافظه پنهان را با فواصل زمانی کمتری پاک کند. با این حال، اگر حافظه پنهان پاک نشود، ممکن است تا ۸ روز طول بکشد تا تغییراتی که مستقیماً در حساب گوگل شما (با استفاده از کنسول مدیریت یا یک سرویس‌دهنده API دیگر) ایجاد شده‌اند، مشاهده شوند.

پس از پاک شدن حافظه پنهان، GCDS تغییر در حساب گوگل را شناسایی کرده و آن را با داده‌های منبع در دایرکتوری LDAP مقایسه می‌کند. اگر داده‌ها مطابقت نداشته باشند، GCDS تغییر ایجاد شده در حساب گوگل را لغو می‌کند.

برای پاک کردن دستی حافظه پنهان:

• همگام‌سازی را از Configuration Manager اجرا کنید و هنگام انجام همگام‌سازی، پاک کردن حافظه پنهان را انتخاب کنید.
• از پرچم خط فرمان -f برای پاکسازی اجباری حافظه پنهان استفاده کنید.
• فایل پیکربندی XML را تغییر دهید تا مقدار maxCacheLifetime را روی ۰ تنظیم کنید.

مهم : خالی کردن حافظه پنهان می‌تواند زمان همگام‌سازی را به میزان قابل توجهی افزایش دهد.

چگونه GCDS به داده‌های پروفایل کاربر در حساب گوگل من دسترسی دارد؟

پروفایل‌های کاربری، شامل ویژگی‌های اضافی کاربر، در حساب کاربری گوگل نوشته می‌شوند و در فهرست راهنمای حساب قابل مشاهده هستند. GCDS به فهرست راهنما در مخاطبین گوگل دسترسی دارد. برای جزئیات بیشتر، به نمای کلی: راه‌اندازی و مدیریت فهرست راهنما مراجعه کنید.

GCDS چگونه تعیین می‌کند که کدام آدرس‌های ایمیل مستعار به حساب گوگل اضافه شوند؟

در پیکربندی GCDS، می‌توانید ویژگی‌هایی را که GCDS ارزیابی می‌کند، مشخص کنید. GCDS داده‌های ذخیره شده در ویژگی را تنها در صورتی ارزیابی می‌کند که با یک آدرس SMTP معتبر مطابقت داشته باشد.

هنگام استفاده از Microsoft Active Directory proxyAddresses ، GCDS پیشوند smtp: را در طول همگام‌سازی حذف می‌کند، بنابراین پیشوند در دامنه گوگل شما نمایش داده نمی‌شود.

آیا می‌توانم همزمان با بیش از یک حساب گوگل همگام‌سازی کنم؟

بله. شما می‌توانید با استفاده از بیش از یک فایل پیکربندی، از GCDS برای همگام‌سازی از یک دایرکتوری LDAP به چندین حساب گوگل استفاده کنید. اگر چندین همگام‌سازی را همزمان اجرا می‌کنید، مطمئن شوید که فایل‌های پیکربندی با نام‌های منحصر به فرد ذخیره می‌شوند.

برای کپی کردن یک فایل پیکربندی موجود، از گزینه Save as در Configuration Manager استفاده کنید و فایل را با نام جدید ذخیره کنید.

GCDS چگونه حساب‌های متناقض را حل و فصل می‌کند؟

GCDS از تنظیمات مدیریت حساب‌های متناقض که در کنسول مدیریت گوگل تنظیم کرده‌اید، پیروی می‌کند. برای جزئیات بیشتر، به مدیریت حساب‌های متناقض با GCDS مراجعه کنید.

چگونه می‌توانم GCDS را طوری پیکربندی کنم که فقط زیرمجموعه‌ای از کاربران را مدیریت کند؟

اگر می‌خواهید زیرمجموعه‌ای از کاربران را با حساب گوگل خود همگام‌سازی کنید، می‌توانید از یک گروه دایرکتوری Active Directory یا LDAP به عنوان منبع خود استفاده کنید. استفاده از یک گروه، تعداد کاربرانی را که در حساب گوگل شما تأمین می‌شوند، محدود می‌کند.

مثال:

پرس و جوی کاربر
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

این کوئری تمام کاربرانی را که عضو گروه شناسایی‌شده توسط DN گروه هستند، آدرس ایمیل دارند و حساب‌های کاربری‌شان غیرفعال نشده است، برمی‌گرداند.

چگونه می‌توانم یک واحد سازمانی را در حساب گوگل خود از همگام‌سازی مستثنی کنم؟

شما می‌توانید GCDS را طوری پیکربندی کنید که یک واحد سازمانی که در حساب گوگل شما راه‌اندازی شده است را با تعریف یک قانون حذف مسیر کامل سازمان در پیکربندی دامنه گوگل، مستثنی کند.

مثال:

قاعده مستثنی کردن
نوع: مسیر کامل سازمان
نوع تطابق: تطابق دقیق
قانون: /OUPath/MyExcludedOU

آیا می‌توانم کاربران را با یک دامنه ثانویه همگام‌سازی کنم؟

اگر یک دامنه اضافی (ثانویه) اضافه کرده‌اید، می‌توانید از GCDS برای همگام‌سازی کاربران با آن دامنه استفاده کنید. برای همگام‌سازی کاربران با دامنه ثانویه خود، مطمئن شوید که آدرس‌های ایمیل کاربران در سرور LDAP شما با نام دامنه ثانویه شما مطابقت دارند. GCDS کاربران را در حساب گوگل شما با استفاده از دامنه ثانویه شما به عنوان آدرس ایمیل اصلی ایجاد می‌کند.

اگر نمی‌خواهید تغییری در ویژگی ایمیل LDAP موجود خود ایجاد کنید، ویژگی دیگری را برای همگام‌سازی آدرس‌های ایمیل کاربران دامنه ثانویه خود اختصاص دهید. برای جزئیات بیشتر در مورد دامنه‌های ثانویه، به افزودن دامنه مستعار کاربر یا دامنه ثانویه مراجعه کنید.

آیا می‌توانم از کاراکترهای عمومی (wildcards) در جستجوی کاربر LDAP استفاده کنم؟

بله، تا زمانی که سرور LDAP از کاراکترهای جایگزین پشتیبانی کند.

دایرکتوری‌های LDAP هنگام جستجوی کاربر، از کاراکترهای جایگزین (wildcards) در ویژگی‌های نام متمایز (DN) پشتیبانی نمی‌کنند. برای مثال، می‌توانید از (mail=user*) استفاده کنید، اما نمی‌توانید از (distinguishedName=*,DC=domain,DC=com) استفاده کنید.

آیا می‌توانم از جستجوی بازگشتی memberOf برای جستجوی کاربران استفاده کنم؟

بله، اگر از سرور LDAP استفاده می‌کنید که از جستجوهای بازگشتی memberOf پشتیبانی می‌کند. این جستجوها توسط Active Directory پشتیبانی می‌شوند، اما توسط OpenLDAP پشتیبانی نمی‌شوند.

چرا حساب کاربری Google Workspace من پس از اجرای GCDS به حالت تعلیق در می‌آید؟

اگر حساب کاربری Google Workspace پس از اجرای GCDS به حالت تعلیق درآید، خطایی دریافت خواهید کرد که دلیل این اتفاق را توضیح می‌دهد. برای جلوگیری از تکرار این خطای خاص در همگام‌سازی‌های بعدی، می‌توانید بسته به علت مشکل، یکی از راه‌حل‌های زیر را اجرا کنید:

• مشکل: کاربر در سرور LDAP وجود ندارد.

  راه حل: از آنجایی که کاربر در سرور LDAP وجود ندارد، مشتری باید یک قانون حذف کاربر گوگل تنظیم کند تا از تعلیق این کاربر توسط GCDS در Google Workspace جلوگیری شود.

• مشکل: کاربر ایمیل معتبری در سرور LDAP ندارد.

  راه حل: شما باید یک آدرس ایمیل برای این کاربر پیکربندی کنید یا یک قانون حذف کاربر گوگل تنظیم کنید تا از تعلیق کاربر توسط GCDS در Google Workspace جلوگیری شود.

  همچنین می‌توانید پیکربندی GCDS را طوری تغییر دهید که از ویژگی آدرس ایمیل کاربر که در سرور LDAP قرار دارد استفاده کند. برای مثال، به جای ویژگی mail از ویژگی userPrincipalName (UPN) استفاده کنید.

• مشکل: کاربر توسط قوانین حذف در سرور LDAP رد می‌شود.

  راه حل: اگر نمی‌خواهید این کاربر را به حالت تعلیق درآورید، باید قوانین حذف را اصلاح کنید.

• مشکل: کاربر در قوانین جستجو پیدا و مسدود می‌شود زیرا گزینه Suspend these users in the Google Domain تیک خورده است.

  راه حل: ممکن است لازم باشد دسترسی کاربر به حالت تعلیق درآید.

• مشکل: کاربر در سرور LDAP به حالت تعلیق درآمده است.

  راه حل: ممکن است لازم باشد دسترسی کاربر به حالت تعلیق درآید.

آیا GCDS می‌تواند عضویت‌های گروهی دوره‌ای را همگام‌سازی کند؟

در عضویت گروهی چرخه‌ای، دو (یا بیشتر) گروه عضو یکدیگر هستند. برای مثال، گروه A عضو گروه B و گروه B عضو گروه A است.

عضویت‌های گروهی چرخه‌ای توسط LDAP و Microsoft Active Directory پشتیبانی می‌شوند. با این حال، توسط Google Groups پشتیبانی نمی‌شوند. اگر سعی کنید عضویت چرخه‌ای را همگام‌سازی کنید، خطای "عضویت‌های چرخه‌ای مجاز نیست" را مشاهده خواهید کرد.

چگونه می‌توانم مطمئن شوم که GCDS گروه‌های موجودی را که ایجاد کرده‌ام حذف یا تغییر نمی‌دهد؟

شما می‌توانید GCDS را طوری پیکربندی کنید که با تعریف یک قانون حذف آدرس ایمیل گروهی در پیکربندی دامنه گوگل، یک گروه را مستثنی کند. برای جزئیات بیشتر، به «استفاده از قوانین برای داده‌های گوگل» مراجعه کنید.

مثال:

قاعده مستثنی کردن
نوع: آدرس ایمیل گروهی
نوع تطابق: تطابق دقیق
قانون: GCP_Project1@example.com

توجه : توصیه می‌کنیم این گروه‌ها را در دایرکتوری LDAP خود ایجاد و مدیریت کنید. عضویت‌های گروه هنگام همگام‌سازی داده‌ها توسط GCDS در حساب Google شما به‌روز نگه داشته می‌شوند.

برای حفظ گروه‌های موجودی که در LDAP نیستند، می‌توانید تنظیم «گروه‌های گوگل در LDAP یافت نشدند» را فعال کنید. برای جزئیات بیشتر، به سیاست حذف گروه گوگل مراجعه کنید.

آیا GCDS گروه‌های ایجاد شده توسط کاربر را همگام‌سازی می‌کند؟

یک گروه ایجاد شده توسط کاربر، گروهی است که در Google Groups for Business ایجاد شده است. اگر یک گروه LDAP با یک گروه ایجاد شده توسط کاربر مطابقت داشته باشد، GCDS آن گروه را نادیده می‌گیرد، گویی یک قانون حذف GCDS برای آن گروه خاص وجود دارد. اگر گروه با داده‌های LDAP مطابقت نداشته باشد، آن را حذف نمی‌کند.

اگر اعضایی را به شیء یا موجودیت مربوطه در LDAP اضافه کرده باشید، GCDS آن اعضا را به گروه اضافه می‌کند. اگر کاربرانی را به گروه گوگل اضافه کرده باشید که با داده‌های LDAP شما مطابقت ندارند، آن اعضا در طول فرآیند همگام‌سازی حذف نخواهند شد.

برای اطلاعات بیشتر در مورد گروه‌های ایجاد شده توسط کاربر، به بخش سوالات متداول مدیران گروه‌ها مراجعه کنید.

آیا GCDS می‌تواند عضویت‌های گروه‌های تو در تو را همگام‌سازی کند؟

بله، GCDS عضویت‌های گروه‌های تودرتو را همگام‌سازی می‌کند. با این حال، محدودیت‌هایی در مورد گروه‌های تودرتو و ارسال ایمیل با Google Groups for Business وجود دارد. همه اعضای گروه‌های تودرتو، محتوای ایمیلی را که به گروه ارسال می‌شود، در موارد زیر دریافت نمی‌کنند:

• مجوز مدیریت فعال است. تا زمانی که مدیر گروه تأیید نکند، ایمیلی به طور خودکار به اعضای گروه یا سایر گروه‌های تو در تو ارسال نمی‌شود.
• گروه والد اجازه ارسال پیام به گروه‌های تودرتو را ندارد.

مباحث مرتبط

• اضافه کردن یک گروه به گروه دیگر
• ببینید چه کسی می‌تواند پست‌ها را مشاهده، مدیریت و مدیریت کند

آیا GCDS می‌تواند عضویت‌های گروه‌های تو در تو را جستجو کند؟

بله. GCDS اعضای گروه‌ها را صرف نظر از اینکه عضو، کاربر باشد یا گروه، همگام‌سازی می‌کند. با این حال، GCDS از قانون جستجو برای گسترش اعضای گروه‌های تو در تو پشتیبانی نمی‌کند، اگر آن قانون جستجو توسط سرور LDAP شما پشتیبانی نشود.

چگونه می‌توانم فقط اعضای معتبر گروه را همگام‌سازی کنم؟

شما می‌خواهید فقط اعضایی را همگام‌سازی کنید که در سرور LDAP فعال هستند. برای مثال، شما گروه ۱ را در سرور LDAP دارید که دارای ۲ عضو، user1 و user2 است. با این حال، User1 در سرور LDAP به حالت تعلیق درآمده است. پس از همگام‌سازی، گروه ۱ در حساب گوگل شما باید شامل user2 به عنوان تنها عضو باشد، در حالی که user1 به حالت تعلیق درآمده است (یا بر اساس تنظیمات GCDS شما حذف شده است).

برای همگام‌سازی اعضای معتبر گروه:

1. فایل پیکربندی را پیدا کنید. این همان فایل XML است که برای بارگذاری پیکربندی GCDS خود استفاده می‌کنید.
2. فایل پیکربندی را با یک ویرایشگر متن باز کنید.
3. گزینه INDEPENDENT_GROUP_SYNC را پیدا کرده و حذف کنید.
4. گزینه ADD_VALID_GROUP_MEMBERS_ONLY را جستجو کنید.

   اگر وجود ندارد، آن را به فایل اضافه کنید.

5. مطمئن شوید که همگام‌سازی حساب‌های کاربری فعال است.

   برای جزئیات بیشتر، به تعریف فهرست کاربران خود بروید.

6. قبل از اجرای همگام‌سازی کامل، شبیه‌سازی را اجرا کنید تا نتایج را تأیید کنید.

چگونه می‌توانم یک feature flag اختیاری به فایل پیکربندی GCDS اضافه کنم؟

قبل از شروع : مطمئن شوید که GCDS از این ویژگی پشتیبانی می‌کند.

1. فایل پیکربندی را پیدا کنید. این همان فایل XML است که برای بارگذاری پیکربندی GCDS خود استفاده می‌کنید.
2. فایل پیکربندی را با یک ویرایشگر متن باز کنید.
3. در فایل XML، تگ <features> را پیدا کنید و یک خط جدید درون تگ وارد کنید.
4. در خط جدید، یک تگ <optional> جدید با نام ویژگی درون آن اضافه کنید.
5. فایل را ذخیره کنید و ببندید.

مثال

مثال زیر نحوه‌ی افزودن ویژگی DONT_RESOLVE_USER_CONFLICT_ACCOUNTS را نشان می‌دهد.

<ویژگی‌ها>

<اختیاری>حل_تعارض_کاربر_حساب‌ها</اختیاری>

ویژگی‌ها

چرا GCDS هنگام پاک کردن حافظه پنهان، مرتباً خطا می‌دهد؟

این خطا ممکن است ناشی از یک مشکل پیکربندی، مانند پیکربندی اشتباه یک قانون استثنا باشد. این پیکربندی اشتباه می‌تواند توسط ذخیره‌سازی GCDS پنهان شود.

GCDS حداکثر ۸ روز داده‌های مربوط به سرویس گوگل شما (مانند Google Workspace یا Cloud Identity) را در حافظه پنهان (cache) نگه می‌دارد. GCDS می‌تواند بسته به اندازه داده‌های ذخیره شده، حافظه پنهان را با فواصل زمانی بیشتری پاک کند. با این حال، اگر حافظه پنهان پاک نشود، ممکن است تا ۸ روز طول بکشد تا تغییراتی که مستقیماً در حساب گوگل شما (با استفاده از کنسول مدیریت یا یک سرویس‌دهنده API دیگر) ایجاد شده‌اند، مشاهده شوند.

برای پاک کردن دستی حافظه پنهان:

• همگام‌سازی را از Configuration Manager اجرا کنید و هنگام انجام همگام‌سازی، پاک کردن حافظه پنهان را انتخاب کنید.
• از پرچم خط فرمان -f برای پاکسازی اجباری حافظه پنهان استفاده کنید.
• فایل پیکربندی XML را تغییر دهید تا مقدار maxCacheLifetime را روی ۰ تنظیم کنید.

مهم : خالی کردن حافظه پنهان می‌تواند زمان همگام‌سازی را به میزان قابل توجهی افزایش دهد.

مثال: شما گروهی دارید که هم در سرور LDAP و هم در حساب گوگل شما وجود دارد. شما یک قانون حذف گوگل برای این گروه ایجاد می‌کنید، به این امید که از تغییر گروه توسط GCDS در حین همگام‌سازی جلوگیری کنید.

با این حال، این قانون در واقع باعث می‌شود GCDS طوری رفتار کند که انگار گروه در حساب گوگل شما وجود ندارد. GCDS سعی می‌کند گروه را ایجاد کند، اما از آنجا که گروه از قبل وجود دارد، با خطایی مواجه می‌شوید و GCDS آن را به حافظه پنهان اضافه می‌کند. همگام‌سازی‌های بعدی از حافظه پنهان استفاده می‌کنند و GCDS تشخیص می‌دهد که گروه از قبل وجود دارد. سپس، پس از پاک شدن حافظه پنهان، GCDS دوباره طوری رفتار می‌کند که انگار گروه وجود ندارد.

چرا باید GCDS را برای همگام‌سازی رمزهای عبور پیکربندی کنم؟

تنظیمات پیش‌فرض همگام‌سازی رمز عبور در GCDS برای تعریف نحوه ایجاد رمزهای عبور برای حساب‌های کاربری جدید توسط GCDS استفاده می‌شود. اگر نمی‌خواهید رمز عبور اولیه حساب را سفارشی کنید، نیازی به انجام هیچ کاری نیست. فقط از تنظیمات پیش‌فرض استفاده کنید.

اگر از Active Directory استفاده می‌کنید، می‌توانید از Password Sync برای همگام‌سازی رمزهای عبور کاربران از Active Directory با دامنه گوگل خود استفاده کنید.

چگونه GCDS اختلافات را هنگامی که چندین قانون همگام‌سازی اعمال می‌شود، حل می‌کند؟

GCDS قوانین را به ترتیب، از بالاترین به پایین‌ترین، در نظر می‌گیرد.

برای مثال، شما یک قانون همگام‌سازی حساب‌های کاربری را برای ایجاد کاربران در واحد سازمانی ریشه یا / پیکربندی می‌کنید. سپس یک قانون پایین‌تر برای ایجاد کاربران در واحد سازمانی /Exceptions ایجاد می‌کنید. پس از همگام‌سازی، کاربرانی که با هر دو قانون مطابقت دارند در واحد سازمانی ریشه ایجاد می‌شوند زیرا آن قانون اولویت بالاتری دارد.

برای اطمینان از اینکه کاربران به درستی در /Exceptions قرار گرفته‌اند، مطمئن شوید که قانون مورد نظر بالاتر از هر قانون متناقض دیگری فهرست شده است. یا، مطمئن شوید که اولین قانون در لیست مرتب شده است.

چگونه می‌توانم همگام‌سازی GCDS را ممیزی و بررسی کنم؟

GCDS از OAuth 2.0 سه‌گانه برای احراز هویت استفاده می‌کند. این فرآیند به GCDS یک توکن OAuth 2.0 اعطا می‌کند. این توکن به GCDS اجازه می‌دهد تا از طرف مدیری که احراز هویت را انجام داده است، اقدام کند.

تمام رویدادهای حسابرسی توسط مدیری که GCDS را مجاز کرده است، فهرست می‌شوند. ایجاد یک حساب کاربری مدیر اختصاصی GCDS را در نظر بگیرید تا بتوانید تغییرات و حسابرسی‌های انجام شده توسط GCDS را به وضوح مشاهده کنید.

موضوع مرتبط

حساب گوگل خود را تأیید کنید

آیا اگر همگام‌سازی طرحواره را فعال کنم، GCDS طرحواره‌های من را حذف می‌کند؟

در طول همگام‌سازی، GCDS تنظیمات فعلی LDAP را در نظر می‌گیرد تا تعیین کند که آیا یک طرحواره سفارشی باید در حساب Google شما حفظ یا حذف شود.

علاوه بر این، فایل پیکربندی GCDS دارای تنظیمات schemaHistory است که شامل اطلاعات مربوط به طرحواره‌های سفارشی است که قبلاً همگام‌سازی شده‌اند. اگر یک طرحواره سفارشی توسط GCDS همگام‌سازی شده باشد، به طور خودکار به schemaHistory اضافه می‌شود. اگر تنظیمات schemaHistory را در فایل پیکربندی به صورت دستی حذف کنید و اگر طرحواره سفارشی در دایرکتوری LDAP شما وجود نداشته باشد، GCDS طرحواره سفارشی را در حساب Google شما حذف نمی‌کند.

برای حذف دستی schemaHistory در فایل پیکربندی خود، به دنبال موارد زیر باشید:

<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>

آیا می‌توانم GCDS را از چندین دایرکتوری LDAP همگام‌سازی کنم؟

GCDS فقط می‌تواند از یک دایرکتوری LDAP همگام‌سازی کند. اگر چندین دایرکتوری LDAP دارید، داده‌های سرور LDAP خود را در یک دایرکتوری واحد تجمیع کنید. برای جزئیات بیشتر، به مرحله 2 در «آماده‌سازی دایرکتوری LDAP» مراجعه کنید.

چگونه GCDS کلید متقارن را تولید و به طور ایمن ذخیره می‌کند؟

کلید متقارنی که توکن به‌روزرسانی GCDS را رمزگذاری می‌کند، توسط تولیدکننده‌ی کلید رمزنگاری پیش‌فرض جاوا با استفاده از AES 128 تولید می‌شود.

ذخیره‌سازی کلید متقارن توسط متد userNodeForPackage در کلاس Preferences در جاوا مدیریت می‌شود. مکان دقیق کلید توسط GCDS کنترل نمی‌شود و به سیستم عامل بستگی دارد.

در ویندوز، داده‌های تنظیمات در رجیستری کاربر ذخیره می‌شوند. در لینوکس، این داده‌ها در دایرکتوری خانگی کاربر ذخیره می‌شوند.

ما به مشتریان توصیه می‌کنیم که با استفاده از یک سیستم فایل رمزگذاری شده و همچنین با اطمینان از ACL های محدود، از بهترین شیوه‌ها برای اطمینان از ایمن بودن صحیح کلید استفاده کنند.

شناسه منحصر به فرد چیست؟

شناسه منحصر به فرد (که به آن کلید اصلی غیر آدرسی نیز گفته می‌شود) به صورت داخلی توسط GCDS استفاده می‌شود و با Google Workspace همگام‌سازی نمی‌شود. GCDS شناسه منحصر به فرد را در یک فایل TSV در رایانه‌ای که GCDS روی آن نصب شده است، ذخیره می‌کند. می‌توانید نام فایل TSV و مسیر کامل آن را در فایل پیکربندی XML پیدا کنید.

اگر نام کاربری در سرور LDAP تغییر داده شود اما در Google Workspace تغییر نکند، GCDS از شناسه منحصر به فرد برای جلوگیری از حذف یا کپی شدن اطلاعات کاربر استفاده می‌کند.

توجه: اگر آدرس‌های ایمیل کاربر را هم در سرور LDAP و هم در Google Workspace به صورت دستی تغییر دهید، ممکن است با مشکلات همگام‌سازی مواجه شوید. برای جلوگیری از این مشکل، قبل از اجرای GCDS، سوابق کاربر مربوطه را از فایل TSV حذف کنید.

چگونه می‌توانم گروه‌های امنیتی را از Active Directory یا دایرکتوری LDAP خود همگام‌سازی کنم و از آنها در Cloud IAM استفاده کنم؟

شما می‌توانید GCDS را طوری پیکربندی کنید که گروه‌های امنیتی را با استفاده از قوانین جستجوی LDAP همگام‌سازی کند.

مثال ۱: جستجوی همه گروه‌های امنیتی

این مثال جستجوی LDAP را برای همه گروه‌های امنیتی که آدرس ایمیل دارند نشان می‌دهد:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

مثال ۲: جستجوی زیرمجموعه‌ای از گروه‌های امنیتی

اگر می‌خواهید زیرمجموعه‌ای از گروه‌های امنیتی را همگام‌سازی کنید، استفاده از extensionAttribute1 را در نظر بگیرید و یک مقدار خاص، مانند GoogleCloud، تنظیم کنید. سپس می‌توانید کوئری GCDS را اصلاح کنید تا فقط زیرمجموعه خاصی از گروه‌های امنیتی را ارائه دهد.

این مثال جستجوی LDAP را برای تمام گروه‌های امنیتی که دارای آدرس ایمیل و ویژگی GoogleCloud هستند، نشان می‌دهد:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

مهم:

• همه گروه‌های موجود در یک دامنه گوگل توسط یک آدرس ایمیل ارجاع داده می‌شوند. شما باید مطمئن شوید که همه گروه‌های امنیتی که می‌خواهید همگام‌سازی کنید، یک ویژگی ایمیل معتبر تعریف کرده‌اند.
• گروهی که در یک دامنه گوگل ایجاد می‌شود، به طور خودکار نقش مدیریت هویت و دسترسی ابری گوگل (IAM) را به طور صریح ندارد. پس از ایجاد گروه، باید از Cloud IAM برای اختصاص یک گروه به نقش‌های خاص استفاده کنید.

چگونه می‌توانم کاربرانی را اضافه کنم که فقط برای پروژه‌های Google Cloud به حساب کاربری نیاز دارند؟

شما می‌توانید GCDS را با اضافه کردن یک قانون همگام‌سازی کاربر برای کاربران Google Cloud پیکربندی کنید. ساده‌ترین راه این است که یک کوئری جدید بر اساس عضویت کاربران در یک گروه ایجاد کنید، برای مثال:

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

سپس، می‌توانید از فیلتر جستجوی زیر برای یافتن کاربرانی که عضو گروه هستند، آدرس ایمیل دارند و حساب‌هایشان به حالت تعلیق درنیامده است، استفاده کنید:

گروه cn=CloudUsers، cn=users، dc=corporate، dc=domain، dc=com

قرار دادن این کاربران در یک واحد سازمانی واحد را در نظر بگیرید. برای انجام این کار، یک نام واحد سازمانی (مثلاً کاربران ابری) در قانون تعریف کنید. اگر واحد سازمانی از قبل وجود ندارد، آن را ایجاد کنید.

مسائل مربوط به صدور مجوز

نحوه پیکربندی دامنه خود را در نظر بگیرید تا بتوانید مجوزهای محصول را به طور مناسب به حساب‌های کاربری اختصاص دهید. اگر مجوز خودکار فعال است، ممکن است بخواهید واحد سازمانی Cloud Users را از اختصاص مجوز محصول مستثنی کنید. برای جزئیات بیشتر، به تنظیم گزینه‌های مجوز خودکار برای یک سازمان مراجعه کنید.

برای الزامات پیچیده‌تر مجوز، می‌توانید GCDS را طوری پیکربندی کنید که تمام مجوزهای تخصیص داده شده به کاربر را همگام‌سازی و مدیریت کند. برای جزئیات بیشتر، به بخش «همگام‌سازی مجوزها» مراجعه کنید.