本頁面由 Cloud Translation API 翻譯而成。

2. 備妥 LDAP 目錄

事先找出 LDAP 資源能讓您更快速地完成 Google Cloud Directory Sync (GCDS) 的部署作業。

目前進度：步驟 2 (共 5 個步驟)

如要收集關於 LDAP 伺服器結構的資訊，請下載並安裝 LDAP 瀏覽器，例如 Softerra LDAP Administrator 或 JXplorer。

重要事項：Google 不會為第三方 LDAP 瀏覽器提供支援服務。

請收集下列資訊：

LDAP 伺服器的主機名稱和 IP 位址。
您的網路存取權、Proxy 伺服器和對外連線。
瞭解您應使用標準 LDAP 還是 LDAP over SSL 連線。詳情請參閱「在 Microsoft ADV190023 更新後確認驗證作業正常」。
找出您的 LDAP 伺服器上具有讀取和執行權限的帳戶，並取得該帳戶的名稱和密碼。如要限制需要同步處理的使用者和群組，可以在目錄伺服器上建立僅具有部分權限的 LDAP 管理員。
確認您的 LDAP 伺服器目錄符合所有伺服器需求，並取得相關確認資訊。詳情請參閱「LDAP 伺服器」一文。

GCDS 只能從單一 LDAP 目錄取得資料。如果您有多個 LDAP 目錄，可以考慮採取以下做法：

將 LDAP 伺服器資料整合成單一目錄。
如果您有多個 Microsoft Active Directory 網域，採用全域目錄並使用通訊埠 3268 或 3269，可協助您執行同步處理作業。 注意：在開始完整同步處理作業前，請先執行模擬作業，對全域目錄進行全面測試。這是因為全域目錄的資料與主要網域分區的資料不同。

使用 LDAP 瀏覽器收集下列關於 LDAP 伺服器和結構的資訊：

LDAP 基準辨別名稱 (DN) - GCDS 會使用基準 DN 做為所有 LDAP 查詢的頂層。由於 GCDS 會從基準 DN 搜尋使用者和群組，因此請在含有同步處理目標使用者和群組的層級指定基準 DN。

注意：您可以在設定中使用多個基準 DN。也就是說，您可以為每個同步處理規則分別指定基準 DN。
LDAP 結構資訊 - 找出含有重要資訊的 LDAP 屬性，例如含有您要同步處理的使用者和其他資源的群組。然後透過 LDAP 瀏覽器查看您的 LDAP 目錄結構，並檢查部分樣本使用者和其他資源，找出重要的 LDAP 屬性。
安全性群組 - 找出您要同步處理的安全性群組。每個群組都必須有專屬電子郵件地址 (在群組物件中定義)，同步處理作業才能正確完成。

確認使用者 - 取得貴機構目前的使用者清單，確認您想將哪些使用者與 Google 網域進行同步處理。
找出已啟用郵件功能的群組 - 確認要與 Google 網域進行同步處理，而且已啟用郵件功能的群組；這些群組是做為郵寄清單，而不是安全性群組。您也可以設定 Google 網域，允許使用者建立及管理自己的群組。使用者自行管理的群組不會受到同步處理影響。
注意名稱和密碼使用規範 - 確認目錄未包含不支援的字元。詳情請參閱「命名規範」。
(選用) 填入密碼屬性 - 如果您使用 GCDS 中的密碼欄位，請在 LDAP 目錄中為 Google 網域使用者建立自訂屬性，並在屬性中填入密碼設定。詳情請參閱 [如何同步處理密碼？](](https://support.google.com/a/answer124474#passwords)
(選用) 設定命名慣例 - 確認您想使用的電子郵件命名慣例，更新使用者，以符合慣例。

為了簡化 LDAP 查詢作業，建議您先在 LDAP 目錄中標記出所有 Google 使用者，再設定同步處理作業。您可以透過以下方式標記 Google 使用者：

描述性名稱 - 在 LDAP 目錄中使用描述性名稱標記您打算同步處理的使用者，例如 GoogleUsers。等您完成設定並正確執行同步處理作業後，可以再使用其他名稱來標記活躍的 Google 使用者，例如 GoogleActiveUsers。
機構單位 - 在 LDAP 目錄中設定機構單位，並將 Google 使用者移至其中。這樣一來，您就可以設定只讓 GCDS 同步處理該機構單位中的使用者。
群組 - 在 LDAP 目錄中建立新群組，並將 Google 使用者新增為其中成員。這樣一來，您就可以設定只讓 GCDS 讀取該群組的成員。
自訂屬性 - 為 Google 使用者建立自訂屬性，並為新使用者設定該屬性。這樣一來，您就可以設定只讓 GCDS 讀取有該屬性的使用者。

_{Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標，所有其他公司和產品名稱則是與個別公司關聯的商標。}