Puedes controlar lo que Google Cloud Directory Sync (GCDS) revisa y actualiza con reglas o consultas de exclusión.
Diferencias entre las reglas y las búsquedas de exclusión
- Con las reglas de exclusión, puedes omitir los datos del directorio LDAP, los datos de la Cuenta de Google o ambos de una sincronización. Por ejemplo, si usas una regla de exclusión para omitir un usuario, un perfil o un grupo, GCDS se comportará como si no existieran durante una sincronización.
- Para evitar que GCDS borre o suspenda usuarios, puedes usar una consulta con datos de la Cuenta de Google para excluir a los usuarios de Google de una sincronización. Si tienes muchos usuarios, una consulta es más eficiente que GCDS cargando a todos los usuarios y, luego, usando una regla de exclusión para filtrar los que no quieres sincronizar.
Cuándo usar reglas y consultas
| Tipo de datos | Considera usar lo siguiente: | Si eso no es posible, usa… |
|---|---|---|
| Entidades en tu servidor de directorio LDAP que no quieres en tu Cuenta de Google | Regla de búsqueda de LDAP | Regla de exclusión de LDAP |
| Usuarios de tu Cuenta de Google que no quieres que se suspendan o borren | Consulta de búsqueda del usuario | Si la sintaxis de la búsqueda no admite el tipo de filtro que necesitas, usa una regla de exclusión de Google. |
| Entidades que no son usuarios (como grupos, unidades organizativas o recursos de calendario) que deben permanecer en tu Cuenta de Google, pero no existen en tu servidor de directorio LDAP | Regla de exclusión de Google |
Agrega una búsqueda de usuarios de Google
- En el Administrador de configuración, haz clic en Configuración del dominio de Google
Reglas de exclusión. - Para Users Search Query, agrega la regla con los lineamientos de búsqueda que se indican en Cómo buscar usuarios.
Usa reglas de exclusión
Cómo agregar, borrar o cambiar la prioridad de una regla
Para agregar una regla, haz lo siguiente:
- En la pestaña Reglas de exclusión, haz clic en Agregar regla de exclusión.
- Completa las siguientes opciones:
- Tipo: Especifica qué tipo de datos se excluirán del menú.
- Tipo de coincidencia: Especifica el tipo de regla que se usará para el filtro. En el menú, selecciona una opción:
- Coincidencia exacta: Los datos deben coincidir exactamente con la regla.
- Coincidencia de subcadena: Los datos deben contener el texto de la regla como una subcadena.
- Expresión regular: Los datos deben coincidir con la expresión regular especificada.
- Regla de exclusión: Ingresa la cadena de coincidencia o la expresión regular para la regla.
- Haz clic en Aceptar.
Las reglas se aplican en el orden en que aparecen en la tabla. Para cambiar el orden, sigue estos pasos:
- En la pestaña Reglas de exclusión, haz clic en la regla.
- Haz clic en la flecha hacia arriba o hacia abajo para aumentar o disminuir la prioridad.
Para borrar una regla, haz lo siguiente:
- En la pestaña Reglas de exclusión, haz clic en la regla.
- Haz clic en la X.
Usa reglas de exclusión para tus datos de LDAP
Si tienes datos en tu servidor de directorio LDAP que coinciden con tus reglas de búsqueda, pero no se deben agregar a un dominio de Google, usa una regla de exclusión de LDAP. De esta manera, se eliminan los datos de la sincronización.
Unidades organizativas
| Propósito de la regla de exclusión | Tienes unidades organizativas en tu servidor LDAP que coinciden con tus reglas de búsqueda, pero no quieres agregarlas a un dominio de Google. |
| Tipo de exclusión | DN de la unidad organizativa
Basa la regla de exclusión en el nombre distintivo (DN) de la unidad organizativa que se excluirá. |
| Ejemplo | Varias unidades organizativas ya no se usan porque 2 oficinas se unieron. Todas las unidades organizativas extintas tienen "stpaul" en el DN.
|
Usuarios
| Propósito de la regla de exclusión | Tienes usuarios en tu servidor de directorio LDAP que coinciden con tus reglas de búsqueda, pero no quieres que se agreguen a un dominio de Google. |
| Tipo de exclusión | Especifica los datos de LDAP que se excluirán.
Si deseas excluir tanto las direcciones principales como las de alias, crea 2 reglas de exclusión. |
| Ejemplo | Agrega una regla independiente para cada usuario que haya inhabilitado el dominio de Google y no deba sincronizarse. Primera regla:
Segunda regla:
|
Grupos
| Propósito de la regla de exclusión | Tienes entradas en tu servidor LDAP que coinciden con una regla de lista de correo, pero no quieres que se incluyan en una lista de distribución en un dominio de Google. |
| Tipo de exclusión | Especifica los datos de LDAP que se excluirán.
|
| Ejemplo | Varias listas de distribución ya no se usan porque se unieron 2 oficinas cercanas. Todas las listas discontinuadas tienen "stpaul" en la dirección.
|
Perfil del usuario
| Propósito de la regla de exclusión | Tienes información de perfil del usuario en tu servidor de LDAP que no quieres sincronizar con un dominio de Google. |
| Ejemplo | Las impresoras se muestran como usuarios de LDAP y coinciden con la consulta de LDAP proporcionada. Todas las impresoras tienen la palabra "impresora" en su nombre. La regla busca esa subcadena.
|
Contactos compartidos
| Propósito de la regla de exclusión | Tienes contactos en tu servidor de directorio LDAP que coinciden con tus reglas de búsqueda, pero no quieres agregarlos a un dominio de Google. |
| Ejemplo | En el servidor LDAP, se enumeran alrededor de 500 usuarios de prueba, pero solo se usan para pruebas internas. Todos los usuarios de prueba siguen el mismo patrón de nombres: internal-testX, donde X es un número, y todos los usuarios de prueba pertenecen al mismo dominio.
|
Recursos de Calendario
| Propósito de la regla de exclusión | Tienes elementos en tu servidor LDAP que coinciden con las reglas de búsqueda de recursos de calendario, pero no quieres que se agreguen a un dominio de Google como recursos de calendario. |
| Tipos de exclusión | Especifica los datos de LDAP que se excluirán.
Para excluir los IDs y los nombres visibles de los recursos, crea 2 reglas de exclusión. |
| Ejemplo | Las impresoras se enumeran como recursos de LDAP y coinciden con la consulta de LDAP proporcionada. Todas las impresoras tienen la palabra "impresora" en el nombre.
|
Usa reglas de exclusión para los datos de Google
Es posible que tengas entidades en tu Cuenta de Google, como usuarios o grupos, que no existen en tu dominio de LDAP, pero que deseas conservar en tu Cuenta de Google. Usa una regla de exclusión de dominios de Google para que, cuando realices la sincronización, las entidades de Google permanezcan:
- Haz clic en la pestaña Configuración de Google Domain.
- En la pestaña Reglas de exclusión, haz clic en Agregar regla de exclusión.
- En Tipo, selecciona una de las siguientes opciones de la lista:
- Ruta de acceso completa de la organización para excluir organizaciones y sus usuarios
- Dirección de correo electrónico del usuario para excluir usuarios
- Alias Email Address para excluir alias de usuario
- Dirección de correo electrónico del grupo para excluir grupos
- Dirección de correo electrónico del miembro del grupo para excluir a los miembros del grupo
- Clave de sincronización principal del perfil del usuario para excluir perfiles de usuario por clave de sincronización
- Shared Contact Primary Sync Key para excluir contactos compartidos por clave de sincronización
- ID del recurso de Calendario para excluir recursos por ID
- Nombre visible del recurso de Calendario que se excluirá por nombre
- Tipo de recurso de Calendario que se excluirá por categoría
- En Tipo de coincidencia, selecciona una de las siguientes opciones:
- Concordancia exacta para que coincida con la palabra clave exacta
- Coincidencia de subcadena para que la palabra clave coincida parcialmente
- Expresión regular para hacer coincidir la palabra clave con la expresión regular
- Haz clic en Aceptar.
Mantén diferentes atributos en tus datos de Google
Si tienes entidades en tus dominios de Google y LDAP que no quieres que se actualicen en tu Cuenta de Google, usa 2 reglas de exclusión:
- Es una regla de exclusión de dominios de Google para excluir las entidades de la Cuenta de Google.
- Es una regla de exclusión del dominio de LDAP para excluir las entidades del dominio de LDAP.
Cuando ejecutas una sincronización, las entidades no se sincronizan. No se modifican en la Cuenta de Google.
Por ejemplo, es posible que debas mantener un atributo del usuario, como una unidad organizacional, en tu Cuenta de Google que sea diferente del atributo del usuario en el dominio de LDAP. Puedes usar 2 reglas de exclusión para asegurarte de que los atributos no cambien durante una sincronización. Para obtener más información, consulta Cómo mantener diferentes atributos de usuario durante una sincronización.
Ejemplos de reglas de exclusión
Regla de exclusión de usuarios de LDAP
En este ejemplo, las impresoras se enumeran como usuarios de LDAP y coinciden con la consulta de LDAP. Sin embargo, quieres asegurarte de que las impresoras no se identifiquen como usuarios de Google. Todas las impresoras tienen la palabra "printer" en el nombre del directorio LDAP. La regla busca esa subcadena.
- Tipo: Dirección principal
- Tipo de concordancia: Subcadena
- Regla de exclusión: impresora
Regla de exclusión de recursos de calendario de LDAP
Algunas salas de conferencias se convirtieron en oficinas. Debes asegurarte de que no se importen como recursos de calendario. Agrega una regla independiente para cada sala de conferencias.
Primera regla:
- Tipo: Nombre visible del recurso de calendario
- Tipo de concordancia: Subcadena o Exacta
- Exclusion Rule: ConferenceRoom-BlueSkyMontana
Segunda regla:
- Tipo: Nombre visible del recurso de calendario
- Tipo de concordancia: Concordancia de subcadena o concordancia exacta
- Regla de exclusión: ConferenceRoom-BigPlains
Regla de exclusión de grupos de LDAP
En el servidor LDAP, se enumeran alrededor de 500 listas de distribución de prueba, pero solo se usan para las pruebas de carga internas. Todos los usuarios de prueba pertenecen al mismo dominio y siguen el mismo patrón de nombres: internal-testX, donde X es un número.
- Tipo: Dirección de grupo
- Tipo de concordancia: Expresión regular
- Regla de exclusión: internal-test[0-9]*@example.com
Regla de exclusión de usuarios de Google
Si un usuario no aparece en tu servidor de directorio LDAP, GCDS lo borra de tu lista de usuarios de Google y de Google Groups. Para las cuentas de usuario y los grupos que no existen en tu directorio LDAP, usa una regla de exclusión para que los usuarios y los grupos permanezcan en tu cuenta de Google Workspace o Cloud Identity. Las cuentas de administrador de Google se excluyen de forma predeterminada, por lo que no es necesario que crees una regla de exclusión para esas cuentas.
Opción 1: Usa una unidad organizativa para retener a los usuarios
Mueve las cuentas de usuario a una unidad organizativa dedicada y crea una regla de exclusión para ella en la configuración de Configuración de dominio de Google del Administrador de configuración.
- Tipo: Ruta de acceso completa de la organización
- Tipo de concordancia: Concordancia exacta
- Regla de exclusión: /OUPath/MyExcludedOU
Opción 2: Usa una dirección de correo electrónico
Crea una regla de exclusión de coincidencias de direcciones de correo electrónico en la configuración de Configuración de dominio de Google del Administrador de configuración.
- Tipo: Dirección de correo electrónico del usuario o dirección del grupo
- Tipo de concordancia: Concordancia exacta
- Regla de exclusión: user@example.com
Opción 3: Excluye todas las demás organizaciones
Si deseas sincronizar tus usuarios de LDAP en una unidad organizativa de nivel superior y sus suborganizaciones, debes excluir todas las demás unidades organizativas de nivel superior. La siguiente expresión regular excluye todas las unidades organizativas de nivel superior, excepto las que comienzan con MyIncludedOU. No incluyas una barra al principio cuando uses expresiones regulares.
- Tipo: Ruta de acceso completa de la organización
- Tipo de concordancia: Expresión regular
- Regla de exclusión: ^((?!MyIncludedOU).)*$
Opción 4: Clave de sincronización principal del perfil del usuario
Puedes usar este parámetro para especificar una dirección de usuario, una dirección de correo electrónico de grupo o una dirección de miembro que se excluirá de una sincronización. La dirección de un miembro excluido no se quita del grupo en el dominio de Google.
- Tipo: Clave de sincronización principal del perfil del usuario
- Tipo de concordancia: Concordancia exacta
- Regla de exclusión: luka@solarmora.com
Regla de exclusión del perfil de usuario
En este ejemplo, puedes especificar qué perfiles de usuario se excluyen de una sincronización.
- Tipo: Clave de sincronización
- Tipo de concordancia: Concordancia exacta
- Regla de exclusión: luka@solarmora.com
Si deseas reemplazar el nombre de dominio en las direcciones de correo electrónico LDAP (de usuarios y grupos) por este nombre de dominio, no incluyas el nombre de dominio @solarmora.com en la regla de exclusión. Usa luka,no luka@solarmora.com.
Temas relacionados
- Configura la sincronización con el Administrador de configuración
- Límites de uso con GCDS
- Cómo usar reglas de búsqueda de LDAP para sincronizar datos
Google, Google Workspace y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los demás nombres de productos y empresas son marcas de las empresas con las que se encuentran asociados.