Исключить данные с помощью правил исключения и запросов

Вы можете контролировать, что именно проверяет и обновляет Google Cloud Directory Sync (GCDS), используя правила исключения или запросы.

Различия между правилами исключения и запросами

  • С помощью правил исключения можно исключить из синхронизации данные каталога LDAP, данные учётной записи Google или и то, и другое. Например, если правило исключения используется для исключения пользователя, профиля или группы, GCDS будет вести себя так, как будто они не существуют во время синхронизации.
  • Чтобы предотвратить удаление или блокировку пользователей GCDS, вы можете использовать запрос с данными аккаунта Google, чтобы исключить их из синхронизации. Если у вас много пользователей, запрос эффективнее, чем загрузка всех пользователей GCDS и последующее использование правила исключения для фильтрации тех, кого вы не хотите синхронизировать.

Когда использовать правила и запросы

Тип данных Рассмотрите возможность использования... Если это невозможно, используйте...
Объекты на вашем сервере каталогов LDAP, которые вы не хотите видеть в своей учетной записи Google Правило поиска LDAP Правило исключения LDAP
Пользователи в вашем аккаунте Google, которых вы не хотите приостановить или удалить Поисковый запрос пользователя Если синтаксис запроса не поддерживает нужный вам тип фильтра, воспользуйтесь правилом исключения Google .
Объекты, отличные от пользователей (например, группы, организационные подразделения или ресурсы календаря), которые должны оставаться в вашей учетной записи Google, но не существуют на вашем сервере каталогов LDAP. Правило исключения Google

Добавить поисковый запрос пользователей Google

  1. В диспетчере конфигураций нажмите «Конфигурация домена Google» . Правила исключения .
  2. Для запроса поиска пользователей добавьте правило, используя правила поиска в разделе Поиск пользователей .

Использование правил исключения

Добавить, удалить или изменить приоритет правила

Чтобы добавить правило:

  1. На вкладке Правила исключения нажмите Добавить правило исключения .
  2. Заполните следующие поля:
    • Тип — укажите, какие данные следует исключить из меню.
    • Тип соответствия — укажите тип правила, используемого для фильтра. В меню выберите один из вариантов:
      • Точное совпадение — данные должны точно соответствовать правилу.
      • Соответствие подстроки — данные должны содержать текст правила в виде подстроки.
      • Регулярное выражение — данные должны соответствовать указанному регулярному выражению.
    • Правило исключения — введите строку соответствия или регулярное выражение для правила.
  3. Нажмите ОК .

Правила применяются в том порядке, в котором они указаны в таблице. Чтобы изменить порядок:

  1. На вкладке Правила исключения щелкните правило.
  2. Нажмите стрелку вверх или вниз, чтобы увеличить или уменьшить приоритет.

Чтобы удалить правило:

  1. На вкладке Правила исключения щелкните правило.
  2. Нажмите X.

Используйте правила исключения для ваших данных LDAP

Если на вашем сервере каталогов LDAP есть данные, соответствующие вашим правилам поиска, но не подлежащие добавлению в домен Google, используйте правило исключения LDAP. Это исключит эти данные из синхронизации.

Организационные подразделения

Цель правила исключения На вашем LDAP-сервере есть организационные подразделения, соответствующие вашим правилам поиска, но вы не хотите добавлять их в домен Google.
Тип исключения DN организационной единицы

Правило исключения должно основываться на отличительном имени (DN) подразделения организации, которое необходимо исключить.

Пример Несколько организационных подразделений больше не используются, поскольку два офиса были объединены. Все несуществующие организационные подразделения имеют в своем отличительном имени "stpaul".
  • Тип соответствия — Совпадение подстроки
  • Правило —stpaul

Пользователи

Цель правила исключения На вашем сервере каталогов LDAP есть пользователи, которые соответствуют вашим правилам поиска, но вы не хотите добавлять их в домен Google.
Тип исключения Указывает данные LDAP, которые следует исключить.
  • Основной адрес — исключает основные адреса, соответствующие этому правилу.
  • Псевдоним адреса — исключает псевдонимы адресов, соответствующие этому правилу.

Если вы хотите исключить как основные адреса, так и адреса-псевдонимы, создайте 2 правила исключения.

Пример Добавьте отдельное правило для каждого пользователя, который отказался от домена Google и не должен синхронизироваться. Первое правило:
  • Тип исключения — Основной адрес
  • Тип соответствия — совпадение подстроки или точное совпадение
  • Правило —atif

Второе правило:

  • Тип исключения — Основной адрес
  • Тип соответствия — совпадение подстроки или точное совпадение
  • Правило —Светлана

Группы

Цель правила исключения На вашем сервере LDAP есть записи, соответствующие правилу списка рассылки, но вы не хотите использовать его в качестве списка рассылки на домене Google.
Тип исключения Указывает данные LDAP, которые следует исключить.
  • Имя группы — исключает группу, имя которой соответствует правилу.
  • Адрес группы — исключает группу, адрес электронной почты которой соответствует правилу.
  • Адрес участника — исключает из групп пользователя, основной адрес электронной почты которого соответствует правилу.
Пример Несколько списков рассылки больше не используются, поскольку два соседних офиса объединились. Все недействующие списки содержат в адресе «stpaul».
  • Тип соответствия — Совпадение подстроки
  • Правило —stpaul

Профиль пользователя

Цель правила исключения На вашем сервере LDAP есть информация профиля пользователя, которую вы не хотите синхронизировать с доменом Google.
Пример Принтеры указаны как пользователи LDAP и соответствуют заданному запросу LDAP. В названии всех принтеров есть слово «printer». Правило ищет эту подстроку.
  • Тип соответствия — Совпадение подстроки
  • Правило — принтер

Общие контакты

Цель правила исключения На вашем сервере каталогов LDAP есть контакты, соответствующие вашим правилам поиска, но вы не хотите добавлять их в домен Google.
Пример На LDAP-сервере зарегистрировано около 500 тестовых пользователей, но они используются только для внутреннего тестирования. Все тестовые пользователи имеют одинаковый шаблон имён: internal-testX, где X — номер, и все тестовые пользователи находятся в одном домене.
  • Тип соответствия — Регулярное выражение
  • Правило —internal-test[0-9]*@example.com

Ресурсы календаря

Цель правила исключения На вашем сервере LDAP есть элементы, соответствующие правилам поиска ресурсов календаря, но вы не хотите, чтобы они добавлялись в домен Google как ресурсы календаря.
Исключить типы Указывает данные LDAP, которые следует исключить.
  • Идентификатор ресурса календаря — GCDS исключает ресурсы календаря, для которых атрибут идентификатора ресурса календаря, указанный в атрибутах ресурсов календаря LDAP, соответствует этому шаблону.
  • Отображаемое имя ресурса календаря — GCDS исключает ресурсы календаря, для которых атрибут отображаемого имени ресурса календаря, указанный в атрибутах ресурсов календаря LDAP, соответствует этому шаблону.

Чтобы исключить идентификаторы ресурсов и отображаемые имена ресурсов, создайте 2 правила исключения.

Пример Принтеры указаны как ресурсы LDAP и соответствуют заданному запросу LDAP. В названии всех принтеров есть слово «printer».
  • Тип исключения — идентификатор ресурса календаря
  • Тип соответствия — Совпадение подстроки
  • Правило — принтер

Используйте правила исключения для данных Google

В вашем аккаунте Google могут быть сущности, такие как пользователи или группы, которых нет в вашем домене LDAP, но вы хотите сохранить их в аккаунте Google. Используйте правило исключения домена Google, чтобы при синхронизации сущности Google сохранялись:

  1. Откройте вкладку «Конфигурация домена Google» .
  2. На вкладке Правила исключения нажмите Добавить правило исключения .
  3. В разделе «Тип» из списка выберите:
    • Полный путь к организации для исключения организаций и их пользователей
    • Адрес электронной почты пользователя для исключения пользователей
    • Псевдоним адреса электронной почты для исключения псевдонимов пользователей
    • Групповой адрес электронной почты для исключения групп
    • Адрес электронной почты участника группы для исключения участников группы
    • Первичный ключ синхронизации профиля пользователя для исключения профилей пользователей по ключу синхронизации
    • Основной ключ синхронизации общего контакта для исключения общих контактов по ключу синхронизации
    • Идентификатор ресурса календаря для исключения ресурсов по идентификатору
    • Отображаемое имя ресурса календаря для исключения по имени
    • Тип ресурса календаря для исключения по категории
  4. Для Типа соответствия выберите:
    • Точное соответствие для точного соответствия ключевому слову
    • Подстрока Match для частичного соответствия ключевому слову
    • Регулярное выражение для сопоставления ключевого слова с использованием регулярного выражения
  5. Нажмите ОК .

Сохраняйте различные атрибуты в ваших данных Google

Если в ваших доменах Google и LDAP есть сущности, которые вы не хотите обновлять в своей учетной записи Google, используйте 2 правила исключения:

  • Правило исключения домена Google для исключения сущностей из учетной записи Google.
  • Правило исключения домена LDAP для исключения сущностей из домена LDAP.

При запуске синхронизации сущности не синхронизируются. Они остаются неизменными в аккаунте Google.

Например, вам может потребоваться сохранить атрибут пользователя (например, организационное подразделение) в вашей учётной записи Google, который отличается от атрибута пользователя в домене LDAP. Вы можете использовать два правила исключения, чтобы гарантировать неизменность атрибутов во время синхронизации. Подробнее см. в статье «Сохранение различных атрибутов пользователя во время синхронизации» .

Примеры правил исключения

Правило исключения пользователей LDAP

В этом примере принтеры указаны как пользователи LDAP и соответствуют запросу LDAP. Однако необходимо убедиться, что принтеры не идентифицируются как пользователи Google. В имени каталога LDAP всех принтеров есть слово «printer». Правило ищет эту подстроку.

  • Тип — Основной адрес
  • Тип соответствия — Совпадение подстроки
  • Правило исключения — принтер

Правило исключения ресурсов календаря LDAP

Некоторые конференц-залы переоборудованы в офисы. Необходимо убедиться, что они не импортируются как ресурсы календаря. Добавьте отдельное правило для каждого конференц-зала.

Первое правило:

  • Тип — Отображаемое имя ресурса календаря
  • Тип соответствия — совпадение подстроки или точное совпадение
  • Правило исключения — Конференц-зал BlueSkyMontana

Второе правило:

  • Тип — Отображаемое имя ресурса календаря
  • Тип соответствия — совпадение подстроки или точное совпадение
  • Правило исключения — Конференц-зал-BigPlains

Правило исключения группы LDAP

На LDAP-сервере хранится около 500 тестовых списков рассылки, но они предназначены только для внутреннего нагрузочного тестирования. Все тестовые пользователи находятся в одном домене и имеют одинаковый шаблон имён: internal-testX, где X — число.

  • Тип — Групповой адрес
  • Тип соответствия — Регулярное выражение
  • Правило исключения —internal-test[0-9]*@example.com

Правило исключения пользователей Google

Если пользователя нет в вашем каталоге LDAP, GCDS удалит его из списка пользователей Google и из групп Google. Для учётных записей пользователей и групп, отсутствующих в вашем каталоге LDAP, используйте правило исключения, чтобы они остались в вашей учётной записи Google Workspace или Cloud Identity. Учётные записи администраторов Google исключены по умолчанию, поэтому вам не нужно создавать правило исключения для этих учётных записей.

Вариант 1: использование организационного подразделения для удержания пользователей

Переместите учетные записи пользователей в выделенное организационное подразделение и создайте для него правило исключения в настройках конфигурации домена Google в Configuration Manager.

  • Тип — Организация Полный путь
  • Тип соответствия — Точное совпадение
  • Правило исключения —/OUPath/MyExcludedOU

Вариант 2: использовать адрес электронной почты

Создайте правило исключения совпадений адресов электронной почты в настройках конфигурации домена Google в Configuration Manager.

  • Тип — адрес электронной почты пользователя или адрес группы
  • Тип соответствия — Точное совпадение
  • Правило исключения —user@example.com

Вариант 3: Исключить все остальные организации

Если вы хотите синхронизировать пользователей LDAP с одним организационным подразделением верхнего уровня и его подорганизациями ниже, необходимо исключить все остальные организационные подразделения верхнего уровня. Следующее регулярное выражение исключает все организационные подразделения верхнего уровня, кроме тех, которые начинаются с MyIncludedOU. Не добавляйте косую черту в начале регулярных выражений.

  • Тип — Организация Полный путь
  • Тип соответствия — Регулярное выражение
  • Правило исключения —^((?!MyIncludedOU).)*$

Вариант 4: Первичный ключ синхронизации профиля пользователя

Вы можете использовать этот параметр, чтобы указать адрес пользователя, адрес электронной почты группы или адрес участника, который необходимо исключить из синхронизации. Исключённый адрес участника не удаляется из группы в домене Google.

  • Тип — Первичный ключ синхронизации профиля пользователя
  • Тип соответствия — Точное совпадение
  • Правило исключения —luka@solarmora.com

Правило исключения профиля пользователя

В этом примере вы можете указать, какие профили пользователей исключаются из синхронизации.

  • Тип — Синхронный ключ
  • Тип соответствия — Точное совпадение
  • Правило исключения —luka@solarmora.com

    Если вы хотите заменить доменное имя в адресах электронной почты LDAP (пользователей и групп) этим доменным именем, не включайте доменное имя @solarmora.com в правило исключения. Используйте luka, а не luka@solarmora.com .


Google, Google Workspace и связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.