您是否有用户在 Google 网域中具有某些属性,但在 LDAP 服务器中具有不同的属性?您是否希望保留这些不同的属性?如何确保 Google Cloud Directory Sync (GCDS) 在同步期间不会更改用户的属性?
答案是,您需要制定两项排除规则:一项针对 LDAP 数据,另一项针对 Google 网域数据。
示例场景
以下是用户 fred@solarmora.com 同时存在于 LDAP 服务器和 Google 网域中的情形:
- Google 网域 - Fred 位于“测试用户”子组织中。
- LDAP 服务器 - Fred 位于“财务”组织部门中。
- 搜索规则 - 有一条搜索规则可将“财务”组织部门中的用户放入 Google 网域的“财务”子组织中。
- 排除规则 - 存在针对“/Test Users”(Fred 是该组织的一员)的 Google 组织完整路径排除规则。
当同步运行时,由于存在“/Test Users”排除规则,GCDS 会忽略 Google 网域中 fred@solarmora.com 的存在,但在 LDAP 结果中看到了他,因此尝试创建他。由于 Fred 已存在于 Google 网域中,因此系统不会重新创建他,但会执行其他操作(这些操作取决于 Fred 是否已成功创建)。例如,Fred 位于“财务”子组织中。
为避免这种情况,您需要从 LDAP 服务器和 Google 网域中排除该用户。为此,您可以添加一条 LDAP 排除规则,使其与 Google 网域排除规则搭配使用。在此示例中,您将按电子邮件地址添加 LDAP 排除规则。有关详情,请参阅结合使用排除规则和 GCDS。
针对多个用户的最佳方法
使用 GCDS 时,可以更轻松地使用 LDAP 服务器管理多个用户。
如果您希望将一组用户放入 Google 网域中的某个特殊组织部门,无论他们在 LDAP 服务器中属于哪个组织部门,最好的方法是:
- 在 LDAP 服务器中,使用自定义属性或群组成员身份标记这些用户。
- 创建仅与这些用户匹配的搜索规则。例如,使用搜索自定义属性或群组成员资格名称(“memberOf=groupname”)的规则。
- 将搜索规则映射到特殊组织部门。 请注意:您可以为该搜索规则设置较高的优先级,这样一来,如果用户符合多个搜索规则,系统会将其会放入该特殊单位部门中。
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。