详细了解配置管理器选项

您可以使用 Google Cloud Directory Sync (GCDS) 配置管理器来创建和测试同步所需的配置文件。下文详细介绍了配置管理器中的各个字段。

您可通过开始菜单打开配置管理器。

连接、通知和日志记录

LDAP 连接设置

LDAP 配置页上指定您的 LDAP 连接和身份验证信息。输入相应信息后,点击测试连接。如果连接失败,请参阅:

LDAP 连接设置 说明
服务器类型 您正在同步的 LDAP 服务器的类型。请务必为您的 LDAP 服务器选择正确类型。GCDS 与不同类型服务器的交互方式略有不同。
连接类型
选择是否使用加密连接。

如果您的 LDAP 服务器支持 SSL,或者您在 Windows 服务器上使用 Microsoft Active Directory 并启用了 LDAP 签名,请选择 LDAP + SSL,并输入正确的端口号(见下文)。否则,请选择标准 LDAP
主机名 输入您的 LDAP 目录服务器的域名或 IP 地址。

示例:ad.example.com 或 10.22.1.1。
端口

指定主机端口。常用选项:

  • 如果选择标准 LDAP,请使用 389
  • 如果选择基于 SSL 的 LDAP,请使用 636

注意:如果您使用 Active Directory,则可以使用 3268(全局目录)或 3269(基于 SSL 的全局目录)。

示例:389
身份验证类型 适用于您 LDAP 服务器的身份验证方法。

如果您的 LDAP 服务器允许匿名连接,而您也希望进行匿名连接,请选择 Anonymous(匿名)。否则,请选择 Simple
授权用户 输入将连接到服务器的用户。该用户应具备读取所有对象和执行 LDAP 搜索查询的权限。

如果您的 LDAP 目录服务器登录时需要指明网域,请在输入时包括用户所在网域的名称。

示例:admin1
密码 为授权用户输入密码。密码以加密格式存储。

示例:swordfishX23
基本 DN

为要同步的子树输入基本 DN 以进行同步。逗号之间不包含空格。如果您不知道基本 DN,请向您的 LDAP 管理员咨询或查看 LDAP 浏览器。

如果您将此字段留空,则系统会搜索森林结构中的所有网域。

示例:ou=test,ou=sales,ou=melbourne,dc=ad,dc=example,dc=com

通知属性

同步完成后,GCDS 会向指定用户发送一封电子邮件,用于验证同步和排查任何问题。在通知页面上,您可以指定接收通知的用户和您的邮件服务器设置。

通知设置 说明
SMTP 中继主机

用于通知的 SMTP 邮件服务器。GCDS 会将此邮件服务器用作中继主机。

示例

  • 127.0.0.1
  • smtp.gmail.com
结合使用 SMTP 和 TLS

勾选复选框即可结合使用 SMTP 和 TLS(需使用 smtp.gmail.com)。

支持的 TLS 版本:1.0、1.1 和 1.2(受 GCDS 4.7.6 及更高版本支持)。
User Name(用户名)
Password(密码)		 如果 SMTP 服务器要求使用用户名和密码进行身份验证,请在此处输入用户名和密码。

示例

用户名:admin@solarmora.com
密码:ud6rTYX2!
发件人地址 输入通知邮件的发件人地址。此地址会显示在收件方的通知发件人一栏中。

示例:admin@solarmora.com
收件人地址(收件人)

通知将发送到此列表上的所有地址。如需输入多个地址,请在输入每个电子邮件地址后点击添加

根据您的邮件服务器设置,GCDS 可能无法向外部电子邮件地址发送邮件。点击测试通知以确认邮件正常发送。

示例:dirsync-admins@solarmora.com
使用附件 选中此复选框就能以电子邮件附件的形式接收同步报告。如果取消选中此复选框,系统会在电子邮件正文中发送报告。
压缩附件 选中此复选框即可接收压缩为 ZIP 文件格式的同步报告。
(可选)不加入通知中

限制电子邮件通知中发送的信息。您可以选择排除以下内容:

  • Extra details(额外详细信息)- 例如已排除对象的列表。
  • 警告 - 警告消息。
  • 错误 - 错误消息。
主题前缀 输入添加到电子邮件通知主题行开头处的字符串。

示例:为您 Google 账号中的用户设置通知

  1. SMTP Relay Host(SMTP 中继主机)字段,输入 smtp.gmail.com
  2. 勾选结合使用 SMTP 和 TLS 复选框。
  3. User Name(用户名)中,输入您的 Google 账号电子邮件地址。
  4. 密码部分,输入您的密码。
  5. 如果您使用两步验证,则需要创建应用专用密码。有关详情,请参阅使用应用专用密码登录
  6. From address(发件人地址)中,输入您希望用作电子邮件通知发件人的地址。
  7. 收件人地址部分,输入应接收 GCDS 报告的用户的电子邮件地址。如需输入多个地址,请在输入每个电子邮件地址后点击添加
  8. (可选)如果 SMTP 连接中断,请使用 Wireshark 等数据包捕获工具确定问题的根本原因。

日志记录设置

日志记录页上指定日志记录设置。

日志记录设置 说明
文件名 输入要用于日志文件的目录和文件名,或点击浏览以浏览您的文件系统。

示例:sync.log

您可以在文件名中添加占位符 #{timestamp}。每次执行日志记录时,此占位符都会在文件被保存到磁盘之前被实际时间戳(例如 20190501-104023)替换。

如果您使用占位符,则 GCDS 会在每次进行模拟或同步时生成新的日志文件。系统会删除 30 天前的日志。

示例:sync.#{timestamp}.log

如果您在 2019 年 5 月 1 日上午 10 点 40 分 23 秒进行同步,则日志文件名为 sync.20190501-104023.log。
日志级别 日志的详细程度。从以下选项中进行选择:
  • FATAL - 仅记录重大操作问题。
  • 错误 - 记录错误和重大操作问题。
  • 警告 - 记录警告、错误和重大操作问题。
  • 信息 - 记录摘要信息。
  • 调试 - 记录更详尽的信息。
  • TRACE - 记录所有可能的详细信息。

详细程度是累积的;每个级别均包含之前级别的所有详情(例如,ERROR 包括所有 ERROR 和 FATAL 信息)。
最大日志大小

日志文件的大小上限(以兆字节 [MB] 为单位)。

日志大小上限指的是所有备份文件以及当前文件的合计大小上限。备份文件的数量由日志文件计数属性决定(见下文)。

要计算日志文件的大小上限,请使用 <日志大小上限> / (<日志文件计数> + 1)

示例:500
日志文件数量

保存到磁盘的日志文件数量。默认值为 10。

注意:您只能在配置文件的 <日志文件计数> 标记中修改此设置。

用户

用户属性设置

用户账号页面指定 GCDS 生成 LDAP 用户列表时所使用的属性。

LDAP 用户属性设置 说明
电子邮件地址属性 包含用户主要电子邮件地址的 LDAP 属性。默认是 mail

示例:邮件

启用无效字符替换

无效字符替换

如果您选中此复选框,系统会将电子邮件地址中的无效字符和空格替换为无效字符替换字段中指定的字符串。

如果您勾选此复选框并将字段留空,GCDS 会移除地址中的空格和无效字符。

示例

LDAP 服务器上的电子邮件地址为
x yz@example.com。

  • 如果您在无效字符替换字段中添加下划线 (_),GCDS 会将电子邮件地址转换为 x_y_z@example.com。
  • 如果 无效字符替换字段留空,GCDS 会将电子邮件地址转换为 xyz@example.com。
(可选)唯一标识符属性 包含您 LDAP 服务器上每个用户实体的唯一标识符的 LDAP 属性。提供该值使 GCDS 能够检测到 LDAP 服务器上用户名称的更改,并将这些更改同步到您的 Google 网域。此字段为选填字段,但建议填写。

示例:objectGUID
(可选)别名地址属性 用于保留别名地址的一个或多个属性。这些地址将作为电子邮件地址属性字段所列的主要地址的别名添加到 Google 网域。输入地址,然后点击添加

示例:proxyAddresses

如果将此字段留空,GCDS 同步后,系统不会移除与 Google 用户个人资料关联的任何别名。别名仍然可以在 Google 中管理。
Google 网域用户删除/暂停政策 删除和暂停用户的选项。
  • 仅删除未在 LDAP 中找到的 Google 网域活跃用户(系统会保留已暂停的用户)- 如果您的 Google 网域内的活跃用户不在 LDAP 服务器中,就会遭到删除。已暂停的用户不会受到影响。这是默认设置。
  • 删除未在 LDAP 中找到的活跃用户和已暂停用户 - 不在您的 LDAP 服务器中的所有 Google 网域用户都会遭到删除,包括已暂停的用户。
  • 将未在 LDAP 中找到的 Google 用户暂停,而不是删除 - 如果您的 Google 网域内的活跃用户不在 LDAP 服务器中,则会遭到暂停。已暂停的用户不会受到影响。
  • 不暂停或删除未在 LDAP 中找到的 Google 网域用户 - 您的 Google 网域中的任何用户都不会遭到暂停或删除(除非您设置了暂停用户的搜索规则)。
不暂停或删除未在 LDAP 中找到的 Google 管理员 如果选中此选项(系统默认为选中),则 GCDS 不会暂停或删除存在于您的 Google 网域但在 LDAP 服务器无法找到的管理员账号。
(可选)唯一标识符属性

您可以使用此字段指定一个 LDAP 属性,该属性可用作 LDAP 服务器上用户实体的唯一标识符。提供此属性后,GCDS 可以监控对 LDAP 服务器上用户电子邮件地址的更改。这样可确保在更新用户电子邮件地址时,GCDS 可以将更改与您的 Google 网域同步,而无需删除现有用户并使用更新的电子邮件地址创建新用户。

如果您设置此字段,GCDS 会自动在主目录中使用以下名称创建新映射文件:nonAddressKeyMappingsFilePath.tsv

如需更改此文件的名称或位置,请更新 XML 配置文件中的以下标记:<nonAddressKeyMappingsFilePath>

此字段为选填字段,但我们建议您填写。

示例:objectGUID

其他用户属性

其他用户属性为选填的 LDAP 属性,您可以用这些属性来导入关于您 Google 用户的其他信息,包括密码。在用户账号页面上输入其他用户属性。

LDAP 其他用户属性设置 说明
Given Name Attribute(s)(名字属性) 包含每个用户的名字(在英语中,通常是第一个名字)的 LDAP 属性,该名字与 Google 网域中的用户名同步。

您还可以为名字使用多个属性。如果您使用多个属性,请将每个属性字段名称放置在方括号内。

示例:名字,[cn]-[ou]
Family Name Attribute(s)(姓氏属性) 包含每个用户的姓氏(在英语中,通常是最后一个名字)的 LDAP 属性,该姓氏与 Google 网域中的用户名同步。

示例:姓氏,[cn]-[ou]
Display Name Attribute(s)(显示名称属性)

包含每个用户显示名称的 LDAP 属性。

示例:displayName
同步密码 表明 GCDS 同步的密码。如果您使用的是 Active Directory 或 HCL Domino,请参见下文“密码加密方法”中的说明。请选择以下选项之一:
  • 仅限新用户 - GCDS 创建新用户后会同步相应用户的密码。现有密码不会被同步。如果您希望用户在 Google 网域中管理自己的密码,请使用此选项。注意:如果您为新用户使用临时或一次性密码,请使用此选项。
  • 针对新用户和现有用户 - GCDS 一律会同步所有用户密码。您的 Google 网域内的现有密码会遭到覆盖。此选项适合管理 LDAP 服务器上的用户密码,但不如 Only changed passwords(仅限已更改的密码)选项高效。
  • 仅限已更改的密码 - GCDS 只会同步在您上次同步后发生更改的密码。如果您想管理 LDAP 服务器上的用户密码,建议您使用此选项。注意:如果您使用此选项,还必须为 Password timestamp attribute(密码时间戳属性)提供值。
密码属性 包含每个用户密码的 LDAP 属性。如果您设置此属性,您用户的 Google 密码将被同步以匹配其 LDAP 密码。该字段支持字符串或二进制属性。

示例:CustomPassword1
密码时间戳属性 包含表示用户密码上次更改时间的时间戳的 LDAP 属性。每当用户更改密码时,LDAP 服务器便会更新此属性。仅在您为同步密码字段选择仅适用于已更改的密码选项时使用此字段。该字段支持字符串属性。

示例:PasswordChangedTime
密码加密方法 密码属性使用的加密算法。请选择以下选项之一:
  • SHA1 - LDAP 目录服务器中的密码使用未插入特定字符串的 SHA1 进行哈希处理。
  • MD5 - LDAP 目录服务器中的密码使用未插入特定字符串的 MD5 进行哈希处理。
  • Base64 - LDAP 目录服务器中的密码使用 Base64 编码。
  • 明文 - LDAP 目录服务器中的密码不加密。GCDS 会将密码属性读取为未加密文本,然后立即使用 SHA1 加密方法进行加密,并与您的 Google 网域同步。

注意:GCDS 从不保存、记录或传输未加密的密码。如果您 LDAP 目录中的密码是 Base64 编码或明文形式,GCDS 会立即使用 SHA1 加密方法对密码进行加密,并与您的 Google 网域同步。模拟同步和完全同步日志会将密码显示为 SHA1 密码。

仅在您还指定了密码属性时再使用此字段。如果您将密码属性字段留空,则保存和重新加载时,配置会重置为 SHA1 的默认值。请注意,某些密码编码格式不受支持。通过目录浏览器检查您的 LDAP 目录服务器,以查找或更改您的密码加密。

默认情况下,Active Directory 和 HCL Domino 目录服务器不会以上述任一格式存储密码。您可以考虑为新用户设置默认密码,并要求用户在首次登录时更改密码。
强制新用户更改密码

如果勾选此选项,新用户必须在首次登录 Google 账号时更改密码。这样一来,您就可以通过 LDAP 属性或通过为新用户指定默认密码来设置初始密码,用户首次登录时必须更改该密码。

如果您在以下任一字段中设置了属性,请使用此选项:

  • 密码属性字段中,但它只是临时密码或动态密码
  • 新用户的默认密码字段中

注意:如果您的用户不自行管理 Google 密码,例如您使用的是 Password Sync 或单点登录 (SSO),我们建议您不要启用此设置。
新用户的默认密码 输入文本字符串,用作所有新用户的默认密码。如果用户的密码属性中没有密码,GCDS 将使用默认密码。

重要提示:如果您在此处输入默认密码,请务必勾选强制新用户更改密码复选框,以防止用户保留默认密码。

示例:swordfishX2!
生成的密码长度 随机生成的密码的字符数。如果您的 LDAP 服务器中没有某位用户的密码,而您又未指定默认密码,则系统会为此用户随机生成密码。

用户搜索规则

用户账户页的搜索规则标签中添加用户搜索规则。有关搜索规则的详细信息,请参阅利用 LDAP 查询收集同步数据

LDAP 用户搜索规则字段 说明
将用户加入下列 Google 网域单位部门中

指定哪些 Google 组织部门应包含符合此规则的用户。如果指定的组织部门不存在,GCDS 会将用户添加到 Google 网域中的根级组织部门。

仅当您在常规设置页面上启用组织部门后,此选项才会显示。

选项包括:

  • 基于组织部门映射和 DN 的组织部门 - 将用户添加到映射到 LDAP 服务器上用户 DN 的组织部门。此操作基于您的组织映射,并会在 LDAP 用户同步列表中显示为 [衍生]。
  • 组织部门名称 - 将符合此规则的所有用户都添加到同一个 Google 组织部门中。在文本字段中指定组织部门。

    示例:用户

  • 使用此 LDAP 属性指定的组织部门名称 - 利用 LDAP 目录服务器上的某个属性所指定的名称将各个用户添加到组织部门中。在文本字段中输入属性。

    示例:extensionAttribute11
在 Google 网域中暂停这些用户

暂停所有符合此 LDAP 用户同步规则的用户。

注意:

  • 根据“GCDS 用户账号删除/暂停政策”设置,GCDS 会暂停或删除您 Google 网域中的现有用户。
  • 如果您在网域中暂停的用户与未启用暂停用户设置的搜索规则相匹配,那么 GCDS 会重新启用这些用户。
  • 此功能通常用于在网域中规划用户账号。新用户会被创建为已暂停用户。如果您使用此规则导入有效用户,请勿选中此选项。
范围
规则
基本 DN		 有关这些字段的详情,请参阅利用 LDAP 查询收集同步数据

用户个人资料属性

用户个人资料页面上指定 GCDS 在生成 LDAP 用户个人资料时使用什么属性。

LDAP 其他用户属性设置 说明
主要电子邮件地址 包含用户主要电子邮件地址的 LDAP 属性。这通常与 LDAP 用户部分中所列的主要电子邮件地址相同。
职位 包含用户在其主要工作单位所担任职位的 LDAP 属性。
公司名称 包含用户主要工作单位的公司名称的 LDAP 属性。
助理的 DN 包含用户助理的 LDAP 标识名 (DN) 的 LDAP 属性。
主管的 DN 包含用户直属经理的 LDAP DN 的 LDAP 属性。
包含用户在其主要工作单位中所属部门的 LDAP 属性。
办公地点 包含用户在其主要工作单位中办公地点的 LDAP 属性。
成本中心 包含用户主要工作单位的成本中心信息的 LDAP 属性。
建筑物 ID

包含用户工作地点建筑物 ID 的 LDAP 属性。如果用户没有主要办公楼建筑物信息,您也可以将其设为“远程办公”。

管理员也可以让用户自行设置地点。有关详情,请参阅允许用户更换照片和修改个人资料信息
楼层名称 包含用户工作地点所在楼层的 LDAP 属性。
员工 ID 包含用户员工 ID 号的 LDAP 属性。
其他电子邮件地址

包含用户的其他电子邮件地址的 LDAP 属性。您可以在此字段中输入多个值。

注意:此字段仅支持同步采用工作电子邮件类型的地址。
网站

包含用户网站网址的 LDAP 属性。您可以在此字段中输入多个值。

系统会根据以下正则表达式检查网址是否有效:

^((((https?|ftps?|gopher|telnet|nntp)://)|(mailto:|news:))(%[0-9A-Fa-f]{2}|[-()_.!~*';/?:@&=+$,A-Za-z0-9])+)([).!';/?:,][[:blank:]])?$]]>

系统会跳过无效网址。
恢复用邮件 包含用户辅助邮箱地址的 LDAP 属性。
辅助电话号码

包含用户辅助电话号码的 LDAP 属性。电话号码必须符合 E.164 国际标准,并以加号 (+) 开头。

您可以使用方括号将此属性设置为表达式,以便添加其他字符。

示例

  • +[ldap-attribute] - 在属性值前面添加加号。
  • +41[ldap-attribute] - 在属性值前面添加加号和国家/地区代码。
工作电话号码 包含用户工作电话号码的 LDAP 属性。
家庭电话号码 包含用户的家庭电话号码的 LDAP 属性。
传真电话号码 包含用户的传真号码的 LDAP 属性。
手机号码 包含用户的个人手机号码的 LDAP 属性。
工作手机号码 包含用户的工作手机号码的 LDAP 属性。
助理号码 包含用户助理的工作电话号码的 LDAP 属性。
街道地址 包含用户主要工作地址的街道地址部分的 LDAP 属性。
邮政信箱 包含用户主要工作地址的邮政信箱的 LDAP 属性。
城市 包含用户主要工作地址所在城市的 LDAP 属性。
州/省 包含用户主要工作地址所在的省/市/自治区的 LDAP 属性。
邮编 包含用户主要工作地址的邮编的 LDAP 属性。
国家/地区 包含用户主要工作地址所在国家/地区或区域的 LDAP 属性。
POSIX UID 包含符合可移植操作系统接口 (POSIX) 标准的用户 ID 的 LDAP 属性。
POSIX GID 包含符合 POSIX 标准的群组 ID 的 LDAP 属性。
POSIX 用户名 包含账号用户名的 LDAP 属性。
POSIX 主目录 包含账号主目录的路径的 LDAP 属性。

POSIX 用户账号属性

指定您可以使用 Directory API 修改哪些用户账号属性。

注意:成功同步后,POSIX 属性将无法显示在管理控制台中用户信息的下方。

Posix 用户账号属性 说明
username 用户的主电子邮件地址、别名电子邮件地址或唯一用户 ID。
uid 相应用户在实例上使用的用户 ID。此属性的值必须介于 1001 - 60000 或 65535 - 2147483647 之间。要访问容器优化型操作系统,UID 的值必须介于 65536 - 214748646 之间。UID 在您的组织中必须是独一无二的。
GID 相应用户所属实例的群组 ID。
homeDirectory 此用户的实例上的主目录:/home/example_username。

单位部门

组织部门映射

单位部门页面,指定 LDAP 服务器上的组织部门如何与 Google 网域中的组织部门对应。

如果您为顶级单位部门添加映射,GCDS 会自动将您 LDAP 目录服务器上的下级单位以相同名称映射到 Google 单位部门。添加特定规则,覆盖下级单位映射。

最简单的 LDAP 单位部门映射方法 - 创建从 LDAP 根级单位部门(通常是您的基本 DN)到“/”(Google 网域中的根级单位)的映射。GCDS 使用 LDAP 服务器上的相同组织部门结构将用户映射到 Google 网域的下级组织中。请注意,您仍需要创建搜索规则以确保 GCDS 是在 Google 网域中创建下级单位。

如需添加新的搜索规则,请点击添加映射

映射设置 说明
(LDAP) 标识名 (DN) 您的 LDAP 目录服务器上要映射的 DN。

示例:ou=melbourne,dc=ad,dc=example,dc=com
(Google 网域)名称 要映射的 Google 网域中组织部门的名称。如需将用户添加到 Google 网域的默认组织中,请输入一个正斜线 (/)。

示例:墨尔本

示例:映射多个位置

某个 LDAP 目录服务器的单位层次结构分为两个办公地点:墨尔本和底特律。您的 Google 网域组织部门层次结构将匹配相同的层次结构。

  • 第一条规则:
    • (LDAP) DN: ou=melbourne,dc=ad,dc=example,dc=com
    • (Google domain) Name: Melbourne
  • 第二条规则:
    • (LDAP) DN: ou=detroit,dc=ad,dc=example,dc=com
    • (Google domain) Name: Detroit

示例:将 LDAP 组织部门映射到 Google 根组织部门

  • (LDAP) DN: ou=corp,dc=ad,dc=example,dc=com
  • (Google domain) Name: /

示例:将 LDAP 单位部门映射到 Google 第一级单位部门

  • (LDAP) DN: ou=detroit,ou=corp,dc=ad,dc=example,dc=com
  • (Google domain) Name: Detroit

示例:将 LDAP 单位部门映射到 Google 第二级单位部门

  • (LDAP) DN: ou=detroit staff,ou=detroit,ou=corp,dc=ad,dc=example,dc=com
  • (Google domain) Name: Detroit/Detroit Staff

组织部门搜索规则

组织部门页上指定您的 LDAP 组织部门搜索规则。

LDAP 组织部门搜索规则设置 说明
(可选)组织部门说明属性 包含各个组织部门说明的 LDAP 属性。如果留空,则组织部门创建时不会包含说明。

示例:说明
范围
规则
基本 DN		 有关这些字段的详情,请参阅利用 LDAP 查询收集同步数据

组织部门管理

单位部门页面的 LDAP 单位部门映射标签页中指定如何管理您的 Google 组织部门。

组织部门设置 说明
不删除未在 LDAP 中找到的 Google 组织

如果选中此选项,系统会在同步时保留 Google 组织部门,即使这些组织部门不在您的 LDAP 服务器中也是如此。
不创建或删除 Google 组织,但在现有组织之间移动用户

如果选中此选项,Google 组织部门不会与您的 LDAP 服务器同步,但您可以按照用户搜索规则中的说明将用户添加到现有 Google 组织部门。

如果取消选中此选项,GCDS 会根据您指定的映射添加和删除 Google 网域中的组织部门,以使组织结构与 LDAP 服务器中的组织结构保持一致。

社区

群组搜索规则

如需将一个或多个邮寄名单同步为 Google 群组中的群组,请点击群组页面上的添加搜索规则,然后在对话框中指定相关字段。

LDAP 群组属性设置 说明
范围
规则
基本 DN		 有关这些字段的详情,请参阅利用 LDAP 查询收集同步数据
群组电子邮件地址属性 包含该群组电子邮件地址的 LDAP 属性。这将成为您 Google 网域中的群组电子邮件地址。

示例:邮件
群组显示名称属性 包含该群组显示名称的 LDAP 属性。这将用于在显示器中描述该群组,不一定是有效电子邮件地址。
(可选)群组说明属性 包含该群组完整文本说明的 LDAP 属性。这将成为您 Google 网域中的群组说明。

示例:extendedAttribute6
用户电子邮件地址属性 包含用户电子邮件地址的 LDAP 属性。这用于基于 DN 检索群组成员和所有者的电子邮件地址。

示例:邮件
群组对象类别属性

代表您的群组的 LDAP 对象类别值。该值用于区分成员是用户还是群组(也称为“嵌套群组”)。

示例:group
动态(基于查询)群组 如果选中,则匹配此搜索规则的所有邮寄名单会被视为动态(基于查询)群组,而“成员参考属性”的值会被视为指定群组成员关系的查询。

如果您的搜索规则是针对 Exchange 动态分布群组的,请选中此框。

注意:如果您在 XML 配置文件中手动启用 DYNAMIC_GROUPS,但未启用 INDEPENDENT_GROUP_SYNC,请确保您的动态群组搜索规则是首个群组搜索规则。请参阅排查常见的 GCDS 问题了解详情。
成员参考属性
(此字段和“成员文字属性”字段需择一填写。)		 如果未选中动态(基于查询)群组,此字段应参考包含 LDAP 目录服务器中邮寄名单成员 DN 的 LDAP 属性。

GCDS 会查找这些成员的电子邮件地址,并将每个用户添加到您 Google 网域的群组中。

如果已选中动态(基于查询)群组,此字段应参考包含 GCDS 用来确定群组成员关系的过滤器的 LDAP 属性。

示例(非动态):memberUID

示例(动态):msExchDynamicDLFilter
成员文字属性
(此字段和“成员参考属性”字段需择一填写。)		 包含您 LDAP 目录服务器中邮寄名单成员的完整电子邮件地址的属性。GCDS 会将每个成员添加到您的 Google 网域中。

成员:memberaddress
动态群组基本 DN 属性 如果已选中动态(基于查询)群组,则此字段必须包含 LDAP 属性,该属性具有用于执行成员参考属性中所指定查询的基本 DN。

动态群组在 Exchange 和 GCDS 中的运作方式是将成员身份备注为 LDAP 查询。成员参考属性包含 LDAP 查询,而动态群组基本 DN 属性会指向将会执行查询的基本 DN。

示例:LDAP 中动态群组的属性和值

dn: CN=MyDynamicGroup,OU=Groups,DC=altostrat,DC=com
mail: mydynamicgroup@altostrat.com
member:
msExchDynamicDLFilter: (|(CN=bob.smith,OU=Users,DC=altostrat,DC=com)| (CN=jane.doe,OU=Users,DC=altostrat,DC=com)) msExchDynamicDLBaseDN: OU=Users,DC=altostrat,DC=com

请注意,通常用于列出群组成员(“成员”)的属性是空白的,但您可以使用 LDAP 查询在“用户”组织部门中找到 bob.smith 和 jane.doe。
(可选)所有者参考属性 包含每个群组所有者 DN 的属性。

GCDS 会查找每个邮寄名单所有者的电子邮件地址,并将其添加为 Google 网域中的群组所有者。

示例:ownerUID
(可选)所有者文字属性 包含每个群组所有者完整电子邮件地址的属性。

GCDS 会将该地址添加为 Google 网域中的群组所有者。

示例:所有者
(可选)别名地址属性

包含别名地址的一个或多个属性。这些地址会在 Google 群组中添加为群组主电子邮件地址的别名。

如果此字段为空,系统不会移除与该群组关联的任何别名。您还可以在贵组织的 Google 账号中管理别名。

示例:proxyAddresses
(可选)群组唯一标识符属性

您可以使用此字段指定一个 LDAP 属性,该属性可用作 LDAP 服务器上群组实体的唯一标识符。提供此属性后,GCDS 可以监控对 LDAP 服务器上群组电子邮件地址的更改。这样可确保在更新群组时,GCDS 可以将更改与您的 Google 网域同步,而无需删除现有群组并使用新的电子邮件地址创建新群组。

如果您设置此字段,GCDS 会在主目录中创建一个名为“groupKeyMappingsFilePath.tsv”的新映射文件。如需更改此文件的名称或位置,请更新 XML 配置文件中的 <groupKeyMappingsFilePath> 标记。此字段为选填字段,但我们建议您填写。

示例:objectGUID

群组搜索规则(前缀 - 后缀)

您可能需要 GCDS 为您的 LDAP 服务器提供给邮寄名单的电子邮件地址或其成员电子邮件地址的值添加前缀或后缀。在群组页的前缀 - 后缀标签上指定任意前缀或后缀。

LDAP 群组规则设置 说明
群组电子邮件地址 - 前缀 创建相应群组电子邮件地址时,要在邮寄名单的电子邮件地址开头前添加的文本。

示例:groups-
群组电子邮件地址 - 后缀 创建相应群组电子邮件地址时,要在邮寄名单的电子邮件地址末尾处添加的文本。

示例:-list

启用无效字符替换

无效字符替换

如果您选中此复选框,系统会将电子邮件地址中的无效字符和空格替换为无效字符替换字段中指定的字符串。

如果您勾选此复选框并将字段留空,GCDS 会移除地址中的空格和无效字符。

示例

LDAP 服务器上的电子邮件地址为
x yz@example.com。

  • 如果您在无效字符替换字段中添加下划线 (_),GCDS 会将电子邮件地址转换为 x_y_z@example.com。
  • 如果无效字符替换字段留空,GCDS 会将电子邮件地址转换为 xyz@example.com。
成员电子邮件地址 - 前缀 创建相应群组成员电子邮件地址时,要在每个邮寄名单成员的电子邮件地址开头前添加的文本。
成员电子邮件地址 - 后缀 创建相应群组成员电子邮件地址时,要在每个邮寄名单成员的电子邮件地址末尾处添加的文本。
所有者电子邮件地址 - 前缀 创建相应群组所有者电子邮件地址时,要在每个邮寄名单所有者的电子邮件地址开头前添加的文本。
所有者电子邮件地址 - 后缀 创建相应群组所有者电子邮件地址时,要在每个邮寄名单所有者的电子邮件地址末尾处添加的文本。

管理员角色配置政策

群组页面的搜索规则标签页中,指定 Google 群组的管理员角色同步方式。

注意

  • Active Directory 不支持群组管理员角色。下文详细介绍了 GCDS 如何同步 Google 群组管理员角色。
  • GCDS 在同步过程中不会配置管理员角色。
配置设置 说明
跳过管理员同步 同步时忽略管理员角色。GCDS 不会对此角色进行任何修改。
保留管理员 如果在您的 LDAP 数据中,用户没有所有者或成员角色,则系统会保留 Google 中的管理员角色。如果在您的 LDAP 数据中,用户拥有所有者或成员角色,则系统会替换并移除 Google 中的管理员角色。
根据 LDAP 服务器同步管理员 如果在您的 LDAP 数据中,用户拥有所有者或成员角色,则系统会替换并移除 Google 中的管理员角色。如果用户在您的 LDAP 数据中不属于群组成员,则系统会将其(包括管理员角色)从 Google 群组中移除。

Google 群组删除政策

群组页面的搜索规则标签页中指定管理 Google 群组的方式。

群组删除政策设置 说明
不删除未在 LDAP 中找到的 Google 群组 如果选中此选项,系统会停用您 Google 网域中的 Google 群组删除功能,即使不在 LDAP 服务器中的群组也无法删除。

联系人和日历

共享联系人属性

共享联系人页面,指定 GCDS 要使用何种属性来生成 LDAP 共享联系人。

LDAP 共享联系人属性 说明
同步密钥 包含联系人唯一标识符的 LDAP 属性。选择一个代表您所有联系人的属性,这一属性不会更改,且对于每个联系人都是唯一的。此字段会成为联系人的 ID。

示例:dn 或 contactReferenceNumber
全名 包含联系人全名的 LDAP 属性或多个属性。

示例:[prefix] - [givenName] [sn] [suffix]
职位 包含联系人工作职位的 LDAP 属性。此字段使用与上方全名属性相同的语法,可由多个连接字段组成。
公司名称 包含联系人所在公司名称的 LDAP 属性。
助理的 DN 包含联系人助理的 LDAP 标识名 (DN) 的 LDAP 属性。
主管的 DN 包含联系人直属经理的 LDAP DN 的 LDAP 属性。
包含联系人所在部门的 LDAP 属性。此字段使用与上方全名属性相同的语法,可由多个连接字段组成。
办公地点 包含联系人办公地点的 LDAP 属性。此字段使用与上方全名属性相同的语法,可由多个连接字段组成。
工作电子邮件地址 包含联系人电子邮件地址的 LDAP 属性
员工 ID 包含联系人员工 ID 号的 LDAP 属性。
工作电话号码 包含联系人的工作电话号码的 LDAP 属性。
家庭电话号码 包含联系人的家庭电话号码的 LDAP 属性。
传真号码 包含联系人的传真号码的 LDAP 属性。
手机号码 包含联系人的个人手机号码的 LDAP 属性。
工作手机号码 包含联系人的工作手机号码的 LDAP 属性。
助理号码 包含联系人助理的工作电话号码的 LDAP 属性。
街道地址 包含联系人主要工作地址的街道地址部分的 LDAP 属性。
邮政信箱 包含联系人主要工作地址的邮政信箱的 LDAP 属性。
城市 包含联系人主要工作地址所在城市的 LDAP 属性。
州/省 包含联系人主要工作地址所在省/市/自治区的 LDAP 属性。
邮编 包含联系人主要工作地址的邮编的 LDAP 属性。
国家/地区 包含联系人主要工作地址所在国家/地区或区域的 LDAP 属性。

日历资源属性

日历资源页面,指定您希望 GCDS 使用何种属性来生成 LDAP 日历资源列表。

LDAP 日历属性设置 说明
Resource Id 包含日历资源 ID 的 LDAP 属性。这是在您 LDAP 系统中管理的字段,可能是自定义属性。此字段必须是独一无二的。

重要提示:如果 LDAP 属性包含空格或不符合规定的字符,如符号“@”或冒号“:”,则日历资源不会将其同步。

如需详细了解如何命名日历资源,请参阅关于资源命名的建议
(可选)显示名称

包含日历资源名称的 LDAP 属性。

示例

[building]-[floor]-Boardroom-[roomnumber]

在此示例中,buildingfloorroomnumber 就是 LDAP 属性。同步后,这些属性会替换为相应的值,例如 Main-12-Boardroom-23
(可选)说明 包含日历资源说明的 LDAP 属性。

示例:[description]
(可选)资源类型 包含日历资源类型的 LDAP 属性或多个属性。

重要提示:如果 LDAP 属性包含空格或不符合规定的字符,如符号“@”或冒号“:”,则日历资源不会将其同步。
(可选)邮件 包含日历资源电子邮件地址的 LDAP 属性。此属性仅用于与导出日历资源映射 CSV 导出选项搭配使用。GCDS 不会设置 Google 日历资源的电子邮件地址。
(可选)导出日历资源映射 生成 CSV 文件,其中会列出 LDAP 日历资源及其 Google 等同项。结合使用 CSV 文件与 Google Workspace Migration for Microsoft Exchange (GWMME),将 Microsoft Exchange 日历资源的内容迁移到适当的 Google 日历资源。如需详细了解 GWMME,请参阅什么是 GWMME?


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。