У вас есть пользователь, обладающий определенными атрибутами в домене Google и другими атрибутами на сервере LDAP? И хотите ли вы сохранить эти разные атрибуты? Как вы гарантируете, что Google Cloud Directory Sync (GCDS) не изменит атрибуты пользователя во время синхронизации?
Ответ заключается в том, что вам понадобятся два правила исключения : одно для данных LDAP, а другое для данных вашего домена Google.
Пример сценария
Вот сценарий, в котором пользователь fred@solarmora.com существует на LDAP-сервере и в домене Google:
- Домен Google — Фред находится в подразделении «Тестовые пользователи».
- LDAP-сервер — Фред работает в организационном подразделении «Финансы».
- Правило поиска — существует правило поиска, которое направляет пользователей из организационного подразделения «Финансы» в подподразделение «Финансы» в домене Google.
- Правило исключения — В организации Google существует правило исключения полного пути для "/Test Users", членом которой является Фред.
При выполнении синхронизации GCDS игнорирует существование пользователя fred@solarmora.com в домене Google из-за правила исключения "/Test Users", но видит его в результатах LDAP и пытается создать его. Поскольку Фред уже существует в домене Google, он не создается заново, но происходят другие действия (которые зависят от успешного создания Фреда). Например, Фред помещается в подразделение "Финансы".
Чтобы избежать подобной ситуации, необходимо исключить пользователя из LDAP-сервера и домена Google. Для этого нужно добавить правило исключения LDAP, которое будет работать совместно с правилом исключения домена Google. В этом примере правило исключения LDAP добавляется по адресу электронной почты. Подробнее см. раздел «Использование правил исключения с GCDS» .
Оптимальный подход для нескольких пользователей
При использовании GCDS управление несколькими пользователями упрощается благодаря серверу LDAP.
Если вы хотите поместить группу пользователей в специальное организационное подразделение в вашем домене Google, независимо от их организационного подразделения на LDAP-сервере, наилучший подход будет следующим:
- Отметьте этих пользователей на LDAP-сервере с помощью пользовательского атрибута или членства в группе.
- Создайте правило поиска, которое будет соответствовать только этим пользователям. Например, используйте правило, которое ищет пользовательский атрибут или имя членства в группе ("memberOf=groupname").
- Сопоставьте правило поиска со специальным организационным подразделением. Примечание : Вы можете присвоить правилу поиска более высокий приоритет, чтобы в случае обнаружения пользователей в нескольких правилах поиска, они направлялись в специальное организационное подразделение.
Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.