您可以使用排除规则或查询来控制 Google Cloud Directory Sync (GCDS) 能查看和更新哪些内容。
排除规则和排除查询之间的区别
- 借助排除规则,您可以在同步时将 LDAP 目录数据、Google 账号数据或两者都排除在外。举例来说,如果您使用排除规则来省略某个用户、个人资料或群组,那么 GCDS 的行为就像同步过程中不存在该用户、个人资料或群组一样。
- 为防止 GCDS 删除或暂停用户,您可以使用包含 Google 账号数据的查询,将 Google 用户从同步中排除。如果您有大量用户,那么查询比 GCDS 加载所有用户然后使用排除规则过滤掉您不想同步的用户更高效。
何时使用规则和查询
| 数据类型 | 请考虑使用… | 如果不行,请使用… |
|---|---|---|
| LDAP 目录服务器中不希望在自己的 Google 账号中存在的实体 | LDAP 搜索规则 | LDAP 排除规则 |
| 您不想中止或删除的 Google 账号中的用户 | 用户搜索查询 | 如果查询语法不支持您需要的过滤条件类型,请使用 Google 排除规则。 |
| 应保留在 Google 账号中但不在 LDAP 目录服务器中的用户以外的实体(例如群组、组织部门或日历资源) | Google 排除规则 |
添加 Google 用户搜索查询
- 在配置管理器中,依次点击 Google 网域配置
排除规则。 - 对于用户搜索查询,请按照搜索用户中的搜索准则添加规则。
使用排除规则
添加、删除规则或更改规则的优先级
如需添加规则,请执行以下操作:
- 在“Exclusion Rules”(排除规则)标签页上,点击 Add Exclusion Rule(添加排除规则)。
- 完成以下选项的设置:
- Type(类型):从下拉菜单中指定要排除的数据类型。
- 匹配类型:指定过滤器使用的规则类型。根据需要,从菜单中选择相应选项:
- 完全匹配:数据必须与规则完全匹配才能被排除。
- Substring match(子字符串匹配):数据中必须包含规则的文本,即规则的文本是数据的一个子字符串,这样数据才能被排除。
- 正则表达式:数据必须匹配指定的正则表达式才能被排除。
- 排除规则 - 为规则输入匹配字符串或正则表达式。
- 点击确定。
系统会按照规则在表格中的顺序来应用这些规则。如需更改顺序,请执行以下操作:
- 在 Exclusion Rules(排除规则)标签页上,点击相应规则。
- 点击向上或向下箭头以提高或降低优先级。
如需删除规则,请执行以下操作:
- 在 Exclusion Rules(排除规则)标签页上,点击相应规则。
- 点击 X。
使用针对 LDAP 数据的排除规则
如果您的 LDAP 目录服务器中有数据与您的搜索规则相匹配,但这些数据不应添加到 Google 网域中,则可以使用 LDAP 排除规则。这样在同步时就可以将这些数据排除在外。
单位部门
| 排除规则的用途 | 您的 LDAP 服务器中有组织部门与您的搜索规则相匹配,但您不希望将这些组织部门添加到 Google 网域中。 |
| 排除类型 | 组织部门 DN
根据要排除的组织部门的标识名 (DN) 来执行排除规则。 |
| 示例 | 由于两个办公室合并,某些组织部门已不再使用。不再使用的组织部门的 DN 中均包含“stpaul”字样。
|
用户
| 排除规则的用途 | 您的 LDAP 目录服务器中有用户与您的搜索规则相匹配,但您不希望相应用户被添加到 Google 网域中。 |
| 排除类型 | 指定要排除的 LDAP 数据。
如果您希望同时排除主地址和别名地址,请创建两个排除规则。 |
| 示例 | 为已选择退出 Google 网域的每位用户分别添加一条规则,以在同步时将这些用户排除在外。第一条规则:
第二条规则:
|
社区
| 排除规则的用途 | 您的 LDAP 服务器中有条目与邮寄名单规则相匹配,但您不希望在 Google 网域中也将这些条目作为邮寄名单。 |
| 排除类型 | 指定要排除的 LDAP 数据。
|
| 示例 | 由于两个临近的办公室合并,某些邮寄名单已不再使用。不再使用的列表的地址中均包含“stpaul”字样。
|
用户个人资料
| 排除规则的用途 | 您的 LDAP 服务器中有一些用户个人资料信息是您不希望同步到 Google 网域的。 |
| 示例 | 有些打印机被列为 LDAP 用户,并且与指定的 LDAP 查询相匹配。所有打印机的名称中均包含“printer”一词,因此您可以创建查找该子字符串的规则。
|
共享联系人
| 排除规则的用途 | 您的 LDAP 目录服务器中有联系人与您的搜索规则相匹配,但您不希望相应联系人被添加到 Google 网域中。 |
| 示例 | LDAP 服务器中大约列出了 500 个测试用户,但这些用户仅供内部测试之用。所有测试用户都遵循相同的名称格式:internal-testX,其中 X 表示数字,并且所有测试用户都位于同一网域中。
|
日历资源
| 排除规则的用途 | 您的 LDAP 服务器中有内容与您的日历资源搜索规则相匹配,但您不希望将这些内容作为日历资源添加到 Google 网域中。 |
| 排除类型 | 指定要排除的 LDAP 数据。
如果您希望同时排除资源 ID 和资源显示名,请创建两个排除规则。 |
| 示例 | 有些打印机被列为 LDAP 资源,并且与指定的 LDAP 查询相匹配。所有打印机的名称中均包含“printer”一词。
|
使用针对 Google 数据的排除规则
您的 Google 账号中可能有实体(例如用户或群组)不在您的 LDAP 网域中,但您想在 Google 账号中保留这些实体。这种情况下,请使用 Google 网域排除规则,在同步时保留这些 Google 实体:
- 点击 Google Domain Configuration(Google 网域配置)标签页。
- 在“Exclusion Rules”(排除规则)标签页上,点击 Add Exclusion Rule(添加排除规则)。
- 在类型下方的列表中,根据需要,选择相应选项:
- Organization Complete Path(组织完整路径):排除组织及其用户
- 要排除用户的 User Email Address(用户电子邮件地址)
- Alias Email Address(别名电子邮件地址):排除用户别名
- Group Email Address(群组电子邮件地址):排除群组
- Group Member Email Address(群组成员电子邮件地址):排除群组成员
- User Profile Primary Sync Key(用户个人资料的主同步密钥):根据同步密钥排除用户个人资料
- Shared Contact Primary Sync Key(共享联系人的主同步密钥):根据同步密钥排除共享的联系人
- Calendar Resource ID(日历资源 ID):根据 ID 排除资源
- Calendar Resource Display Name(日历资源显示名):根据名称进行排除
- Calendar Resource Type(日历资源类型):根据类别进行排除
- 对于匹配类型,请选择:
- Exact Match(完全匹配),匹配完全一致的关键字
- Substring Match(子字符串匹配),匹配部分关键字
- Regular Expression (正则表达式),使用正则表达式匹配关键字
- 点击确定。
在 Google 数据中保留不同的属性
如果您不想在 Google 账号中更新 Google 网域和 LDAP 网域内的部分实体,可以使用两条排除规则:
- 一条 Google 网域排除规则,用于将此类实体从 Google 账号中排除。
- 从 LDAP 网域中排除实体的 LDAP 网域排除规则。
这样,当您运行同步时,这些实体就不会同步,在 Google 账号中保持不变。
例如,您可能需要在 Google 账号中保持一项用户属性(例如组织部门)不变,但该属性在 Google 账号中的值与在 LDAP 网域中的值不同。这种情况下,就可以使用两条排除规则来确保这类属性在同步过程中保持不变。有关详情,请参阅在同步期间保留不同的用户属性。
排除规则示例
LDAP 用户排除规则
在本例中,有些打印机被列为 LDAP 用户,并且与 LDAP 查询相匹配。不过,您想要确保这些打印机不被识别为 Google 用户。所有打印机在 LDAP 目录名称中均包含“printer”一词,因此您可以创建查找该子字符串的规则。
- Type(类型):Primary address(主地址)
- Match type(匹配类型):Substring Match(子字符串匹配)
- Exclusion Rule(排除规则):printer
LDAP 日历资源排除规则
有些会议室变为了办公室。因此,您想要确保它们不会被作为日历资源导入。在这种情况下,可以为每个会议室分别添加一条规则。
第一条规则:
- Type(类型):Calendar Resource Display Name(日历资源显示名)
- Match type(匹配类型):Substring Match(子字符串匹配)或 Exact Match(完全匹配)
- Exclusion Rule(排除规则):ConferenceRoom-BlueSkyMontana
第二条规则:
- Type(类型):Calendar Resource Display Name(日历资源显示名)
- Match type(匹配类型):Substring Match(子字符串匹配)或 Exact Match(完全匹配)
- Exclusion Rule(排除规则):ConferenceRoom-BigPlains
LDAP 群组排除规则
LDAP 服务器中大约列出了 500 个测试用的邮寄名单,但它们仅用于内部负载测试。所有测试用户都位于同一网域中,并使用相同的名称格式:internal-testX,其中 X 为数字。
- Type(类型):Group Address(群组地址)
- Match type(匹配类型):Regular Expression(正则表达式)
- Exclusion Rule(排除规则):internal-test[0-9]*@example.com
Google 用户排除规则
如果某位用户未在您的 LDAP 目录服务器中列出,GCDS 会从您的 Google 用户列表和 Google 群组中删除该用户。对于不在 LDAP 目录中的用户账号和群组,请使用排除规则,让这类用户和群组保留在您的 Google Workspace 或 Cloud Identity 账号中。默认情况下,系统会排除 Google 管理员账号,因此您无需为这类账号创建排除规则。
方法 1:使用组织部门保留用户
将用户账号移至专门的组织部门,并在配置管理器的 Google 网域配置设置中为该组织部门创建排除规则。
- Type(类型)- Organization Complete Path(组织完整路径)
- Match type(匹配类型):Exact Match(完全匹配)
- 排除规则:/OUPath/MyExcludedOU
方法 2:使用电子邮件地址
在配置管理器的 Google 网域配置设置中创建电子邮件地址匹配排除规则。
- Type(类型):User Email Address(用户电子邮件地址)或 Group address(群组地址)
- Match type(匹配类型):Exact Match(完全匹配)
- Exclusion Rule(排除规则):user@example.com
方法 3:排除所有其他组织
如果您希望将 LDAP 用户同步到某个顶级组织部门及其下级组织,则需要排除所有其他顶级组织部门。以下正则表达式会排除非 MyIncludedOU 开头的所有顶级组织部门。使用正则表达式时,请勿在开头添加斜杠。
- Type(类型)- Organization Complete Path(组织完整路径)
- Match type(匹配类型):Regular Expression(正则表达式)
- Exclusion Rule(排除规则):^((?!MyIncludedOU).)*$
方法 4:用户个人资料的主同步密钥
您可以使用此方法来指定要从同步范围中排除的用户电子邮件地址、群组电子邮件地址或成员电子邮件地址。排除的成员电子邮件地址不会从 Google 网域中的群组移除。
- Type(类型):User profile primary sync key(用户个人资料主要同步密钥)
- Match type(匹配类型):Exact Match(完全匹配)
- Exclusion Rule(排除规则):luka@solarmora.com
用户个人资料排除规则
在本例中,您可以指定要从同步范围中排除的用户个人资料。
- Type(类型):Sync Key(同步密钥)
- Match type(匹配类型):Exact Match(完全匹配)
- Exclusion Rule(排除规则):luka@solarmora.com
如果您希望将用户或群组的 LDAP 电子邮件地址中的域名替换为此域名,请勿在排除规则中添加域名 @solarmora.com。应使用 luka,而不是 luka@solarmora.com。
相关主题
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。