您是否有使用者在 Google 網域中具有特定屬性,但在 LDAP 伺服器中具有不同屬性?您是否要保留這些不同屬性?如何確保 Google Cloud Directory Sync (GCDS) 不會在同步處理期間變更使用者屬性?
答案是您需要兩項排除規則:一項適用於 LDAP 資料,另一項適用於 Google 網域資料。
範例情境
以下是使用者 fred@solarmora.com 同時存在於 LDAP 伺服器和 Google 網域的情境:
- Google 網域:Fred 位於「Test Users」子機構。
- LDAP 伺服器 - Fred 位於「Finance」機構單位。
- 搜尋規則:有一項搜尋規則會將「財務」機構單位的使用者,放入 Google 網域的「財務」子機構。
- 排除規則:系統為「/Test Users」設定了 Google 機構完整路徑排除規則,而 Fred 是該群組的成員。
同步處理執行時,由於有「/Test Users」排除規則,GCDS 會忽略 Google 網域中 fred@solarmora.com 的存在,但會看到 LDAP 結果中的使用者,因此嘗試建立該使用者。由於 Fred 已存在於 Google 網域中,因此系統不會重新建立,但會執行其他動作 (這些動作必須先成功建立 Fred 才能執行)。舉例來說,假設 Fred 位於「財務」子機構中。
如要避免這種情況,請將使用者從 LDAP 伺服器「和」Google 網域中排除。方法是新增 LDAP 排除規則,與 Google 網域排除規則搭配使用。在本範例中,您會依電子郵件地址新增 LDAP 排除規則。詳情請參閱「搭配使用排除規則與 GCDS」。
多位使用者的最佳做法
使用 GCDS 時,透過 LDAP 伺服器管理多位使用者會更加輕鬆。
如果您想將一組使用者放入 Google 網域的特定機構單位,無論這些使用者在 LDAP 伺服器中的機構單位為何,最佳做法是:
- 在 LDAP 伺服器中,使用自訂屬性或群組成員資格標記這些使用者。
- 建立搜尋規則,只比對這些使用者。舉例來說,您可以使用規則搜尋自訂屬性或群組成員名稱 (「memberOf=groupname」)。
- 將搜尋規則對應至特殊機構單位。 注意:您可以為這項搜尋規則設定較高的優先順序。這樣一來,如有多項搜尋規則都找到這些者,可確保這些使用者一定會被置於目標特殊機構單位。
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。