您是否有用户在 Google 网域中具有某些属性,但在 LDAP 服务器中具有不同的属性?您是否希望保留这些不同的属性?如何确保 Google Cloud Directory Sync (GCDS) 在同步期间不会更改用户的属性?
答案是,您需要制定两项排除规则:一项针对 LDAP 数据,另一项针对 Google 网域数据。
示例场景
以下是用户 fred@solarmora.com 同时存在于 LDAP 服务器和 Google 网域中的一种情形:
- Google 域名 - Fred 位于“测试用户”下级组织中。
- LDAP 服务器 - Fred 位于“财务”组织部门中。
- 搜索规则 - 有一条搜索规则可将“财务”组织部门中的用户放入 Google 网域的“财务”子组织中。
- 排除规则 - 存在针对“/Test Users”(Fred 是该组织中的一员)的 Google 组织完整路径排除规则。
当同步运行时,由于存在“/Test Users”排除规则,GCDS 会忽略 Google 网域中 fred@solarmora.com 的存在,但会在 LDAP 结果中看到他,因此会尝试创建他。由于 Fred 已存在于 Google 网域中,因此系统不会重新创建 Fred,但会执行其他操作(这些操作取决于 Fred 是否已成功创建)。例如,Fred 位于“财务”子组织中。
为避免这种情况,您需要从 LDAP 服务器和 Google 网域中排除相应用户。为此,您可以添加一条 LDAP 排除规则,以与 Google 网域排除规则搭配使用。在此示例中,您将按电子邮件地址添加 LDAP 排除规则。有关详情,请参阅结合使用排除规则和 GCDS。
针对多个用户的最佳方法
使用 GCDS 时,可以更轻松地使用 LDAP 服务器管理多个用户。
如果您有一组用户,无论他们在 LDAP 服务器中的组织部门如何,您都希望将他们放在 Google 网域中的特殊组织部门中,那么最好的方法是:
- 在 LDAP 服务器中,使用自定义属性或群组成员身份标记这些用户。
- 创建仅与这些用户匹配的搜索规则。例如,使用搜索自定义属性或群组成员资格名称(“memberOf=groupname”)的规则。
将该搜索规则映射到特殊单位部门。
注意:您可以将搜索规则设置为更高的优先级,这样一来,如果用户符合多条搜索规则,系统会将他们分配到特殊组织部门。
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。