¿Tienes un usuario que tiene ciertos atributos en el dominio de Google y otros diferentes en el servidor LDAP? ¿Y quieres mantener esos diferentes atributos? ¿Cómo te aseguras de que Google Cloud Directory Sync (GCDS) no altere los atributos del usuario durante una sincronización?
La respuesta es que necesitas dos reglas de exclusión: una para tus datos de LDAP y otra para los datos de tu dominio de Google.
Situación de ejemplo
A continuación, se muestra una situación en la que el usuario fred@solarmora.com existe en el servidor LDAP y en el dominio de Google:
- Dominio de Google: Fred está en la suborganización "Usuarios de prueba".
- Servidor LDAP: Fred está en la unidad organizativa "Finanzas".
- Regla de búsqueda: Hay una regla de búsqueda que coloca a los usuarios de la unidad organizativa "Finanzas" en la suborganización "Finanzas" del dominio de Google.
- Regla de exclusión: Existe una regla de exclusión de ruta completa de la organización de Google para "/Test Users", de la que Fred es miembro.
Cuando se ejecuta la sincronización, GCDS ignora la existencia de fred@solarmora.com en el dominio de Google debido a la regla de exclusión "/Test Users", pero lo ve en los resultados de LDAP, por lo que intenta crearlo. Como Fred ya existe en el dominio de Google, no se vuelve a crear, pero se realizan otras acciones (que dependen de que Fred se cree correctamente). Por ejemplo, Fred se encuentra en la suborganización “Finanzas”.
Para evitar esta situación, debes excluir al usuario del servidor LDAP y del dominio de Google. Para ello, agrega una regla de exclusión de LDAP para que funcione con la regla de exclusión del dominio de Google. En este ejemplo, agregarías la regla de exclusión de LDAP por dirección de correo electrónico. Para obtener más información, consulta Cómo usar reglas de exclusión con GCDS.
El mejor enfoque para varios usuarios
Cuando se usa GCDS, es más fácil administrar varios usuarios con el servidor LDAP.
Si tienes un grupo de usuarios que deseas colocar en una unidad organizativa especial en tu dominio de Google, independientemente de su unidad organizativa en el servidor LDAP, el mejor enfoque es el siguiente:
- Marca a estos usuarios en el servidor LDAP con un atributo personalizado o con la membresía a un grupo.
- Crea una regla de búsqueda que solo coincida con estos usuarios. Por ejemplo, usa una regla que busque el atributo personalizado o el nombre de la membresía de grupo ("memberOf=groupname").
- Asigna la regla de búsqueda a la unidad organizativa especial. Nota: Puedes establecer una prioridad más alta para la regla de búsqueda de modo que, si se encuentran los usuarios en más de una regla de búsqueda, se envíen a la unidad organizativa especial.
Google, Google Workspace y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los demás nombres de productos y empresas son marcas de las empresas con las que se encuentran asociados.