У вас есть пользователь с определёнными атрибутами в домене Google и другими атрибутами на сервере LDAP? И вы хотите сохранить эти атрибуты? Как гарантировать, что Google Cloud Directory Sync (GCDS) не изменит атрибуты пользователя во время синхронизации?
Ответ заключается в том, что вам нужны два правила исключения : одно для ваших данных LDAP и одно для данных вашего домена Google.
Пример сценария
Вот сценарий, в котором пользователь fred@solarmora.com существует на сервере LDAP и домене Google:
- Домен Google — Фред находится в подорганизации «Тестовые пользователи».
- LDAP-сервер — Фред находится в организационном подразделении «Финансы».
- Правило поиска — существует правило поиска, которое помещает пользователей из организационного подразделения «Финансы» в подорганизацию «Финансы» в домене Google.
- Правило исключения — существует правило исключения полного пути организации Google для «/Test Users», членом которой является Фред.
При синхронизации GCDS игнорирует существование fred@solarmora.com в домене Google из-за правила исключения «/Test Users», но видит его в результатах LDAP и пытается создать. Поскольку Фред уже существует в домене Google, он не создаётся заново, но выполняются другие действия (зависящие от успешного создания Фреда). Например, Фред помещается в подорганизацию «Finance».
Чтобы избежать этого сценария, необходимо исключить пользователя из LDAP-сервера и домена Google. Это делается путём добавления правила исключения LDAP, которое будет работать с правилом исключения домена Google. В этом примере правило исключения LDAP добавляется по адресу электронной почты. Подробнее см. в разделе Использование правил исключения с GCDS .
Лучший подход для нескольких пользователей
При использовании GCDS проще управлять несколькими пользователями с помощью сервера LDAP.
Если у вас есть группа пользователей, которую вы хотите поместить в специальную организационную единицу в вашем домене Google, независимо от их организационной единицы на сервере LDAP, наилучшим подходом будет:
- Отметьте этих пользователей на сервере LDAP с помощью настраиваемого атрибута или членства в группе.
- Создайте правило поиска, которое будет соответствовать только этим пользователям. Например, используйте правило для поиска по настраиваемому атрибуту или имени членства в группе («memberOf=groupname»).
- Сопоставьте правило поиска со специальным организационным подразделением. Примечание : вы можете назначить правилу поиска более высокий приоритет, чтобы при обнаружении пользователей в нескольких правилах поиска они направлялись в специальное организационное подразделение.
Google, Google Workspace и связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.