Provisionamento de contas de usuário do Active Directory

Last reviewed 2024-06-26 UTC

Este documento explica como configurar o provisionamento de usuários e grupos entre o Active Directory e a conta do Cloud Identity ou do Google Workspace usando o Google Cloud Directory Sync (GCDS).

Para acompanhar este guia, você precisa ter um usuário do Active Directory com permissão para gerenciar usuários e grupos no Active Directory. Além disso, se você ainda não tiver uma conta do Cloud Identity ou do Google Workspace, precisará ter acesso administrativo à sua zona de DNS para verificar domínios. Se você já tem uma conta do Cloud Identity ou do Google Workspace, seu usuário precisa ter privilégios de superadministrador.

Objetivos

  • Instale o GCDS e conecte-o ao Active Directory e ao Cloud Identity ou ao Google Workspace.
  • Configure o GCDS para provisionar usuários e, opcionalmente, grupos ao Google Cloud.
  • Configurar uma tarefa programada para provisionamento contínuo.

Custos

Se você estiver usando a edição gratuita do Cloud Identity, seguir este guia não usará componentes faturáveis do Google Cloud.

Antes de começar

Planejar a implantação do GCDS

As seções a seguir descrevem como planejar a implantação do GCDS.

Decidir onde implantar o GCDS

O GCDS pode provisionar usuários e grupos de um diretório LDAP para o Cloud Identity ou o Google Workspace. Ao atuar como intermediário entre o servidor LDAP e o Cloud Identity ou o Google Workspace, o GCDS consulta o diretório LDAP para recuperar as informações necessárias e usa a API Directory para adicionar, modificar ou excluir usuários na conta do Cloud Identity ou do Google Workspace.

Como o Active Directory Domain Services é baseado em LDAP, o GCDS é adequado para implementar o provisionamento de usuários entre o Active Directory e o Cloud Identity ou o Google Workspace.

Ao conectar uma infraestrutura local do Active Directory ao Google Cloud, é possível executar o GCDS no local ou em uma máquina virtual do Compute Engine no Google Cloud. Na maioria dos casos, é melhor executar o GCDS no local:

  • Como as informações que o Active Directory gerencia incluem dados de identificação pessoal, que geralmente são considerados confidenciais, convém que o Active Directory não seja acessado de fora da rede local.
  • Por padrão, o Active Directory usa LDAP não criptografado. Se você acessar o Active Directory remotamente pelo Google Cloud, use comunicação criptografada. É possível criptografar a conexão usando LDAPs (LDAP + SSL) ou Cloud VPN.
  • A comunicação do GCDS para o Cloud Identity ou o Google Workspace é realizada por meio de HTTPS e requer pouca ou nenhuma alteração nas configurações do seu firewall.

Execute o GCDS no Windows ou no Linux. Embora seja possível implantar o GCDS no controlador de domínio, é melhor executá-lo em uma máquina separada que atenda os requisitos do sistema e tenha acesso LDAP ao Active Directory. Embora não seja um pré-requisito para participar do domínio ou executar o Windows, o Cloud Directory Sync neste guia é executado em uma máquina Windows associada ao domínio.

Para ajudar na configuração do provisionamento, o GCDS inclui uma interface gráfica do usuário (GUI) chamada Gerenciador de configuração. Se o servidor em que você pretende executar o GCDS permitir uma experiência desktop, execute o Gerenciador de configuração no próprio servidor. Caso contrário, você precisará executar o Gerenciador de configuração localmente e, em seguida, copiar o arquivo de configuração resultante para o servidor, onde poderá usá-lo para executar o GCDS. Este guia pressupõe que o Gerenciador de configuração será executado em um servidor com uma GUI.

Decidir onde recuperar dados

O GCDS usa o LDAP para interagir com o Active Directory e recuperar informações sobre usuários e grupos. Para possibilitar essa interação, o GCDS exige que você forneça um nome do host e uma porta na configuração. Em um ambiente pequeno do Active Directory que executa apenas um servidor de catálogo global (GC), fornecer um nome de host e uma porta não é um problema, já que o GCDS pode ser apontado diretamente para o servidor de catálogo global.

Em um ambiente mais complexo que executa servidores de GC redundantes, apontar o GCDS para um servidor não é o ideal, já que a redundância não será utilizada. Embora seja possível configurar um balanceador de carga que distribua consultas LDAP para vários servidores de GC e que controle aqueles que podem estar temporariamente indisponíveis, é preferível usar o mecanismo DC Locator para localizar os servidores dinamicamente.

Por padrão, o GCDS requer que você especifique explicitamente o endpoint de um servidor LDAP e não é compatível com o uso do mecanismo DC Locator. Neste guia, você aprende a complementar o GCDS com um pequeno script do PowerShell que ativa o mecanismo DC Locator. Assim, você não precisará configurar estaticamente os endpoints dos servidores de catálogo global.

Preparar sua conta do Cloud Identity ou do Google Workspace

Esta seção descreve como criar um usuário para o GCDS. Para permitir que o GCDS interaja com a API Directory e a API Domain Shared Contacts do Cloud Identity e do Google Workspace, o aplicativo precisa de uma conta de usuário com privilégios de administração.

Ao se inscrever no Cloud Identity ou no Google Workspace, você já criou um usuário superadministrador. Embora você possa usar esse usuário para o GCDS, é preferível criar um usuário separado que seja usado exclusivamente pelo Cloud Directory Sync:

  1. Abra o Admin Console e faça login usando o usuário superadministrador criado quando você se inscreveu no Cloud Identity ou no Google Workspace.
  2. No menu, clique em Diretório > Usuários, e então em Adicionar novo usuário para criar um usuário.
  3. Forneça nome e endereço de e-mail adequados, assim:

    1. Nome: Google Cloud
    2. Sobrenome: Directory Sync
    3. E-mail principal: cloud-directory-sync

    Mantenha o domínio principal no endereço de e-mail, mesmo que esse domínio não corresponda à floresta da qual você está provisionando.

  4. Certifique-se de que a opção Gerar automaticamente uma nova senha esteja definida como Desativado e insira uma senha.

  5. Certifique-se de que a opção Solicitar alteração de senha no próximo login esteja definida como Desativado.

  6. Clique em Adicionar novo usuário.

  7. Clique em Concluído.

Para permitir que o GCDS crie, liste e exclua contas e grupos de usuários, o usuário precisa de privilégios adicionais. Além disso, é uma boa ideia liberar o usuário do logon único. Caso contrário, talvez não seja possível autorizar novamente o GCDS se tiver problemas de logon único. Para isso, transforme o usuário em um superadministrador:

  1. Localize o usuário recém-criado na lista e abra-o.
  2. Em Papéis e privilégios do administrador, clique em Atribuir papéis.
  3. Ative a função de Superadministrador.
  4. Clique em Salvar.

Configurar provisionamento de usuários

As seções a seguir descrevem como configurar o provisionamento de usuários.

Criar um usuário do Active Directory para o GCDS

Para permitir que o GCDS recupere informações sobre usuários e grupos do Active Directory, o GCDS também requer um usuário de domínio com acesso suficiente. Em vez de reutilizar um usuário atual do Windows para essa finalidade, crie um usuário exclusivo para o GCDS:

Interface gráfica

  1. Abra o snap-in dos usuários do Active Directory e usuários do Active Directory no menu "Iniciar".
  2. Navegue até o domínio e a unidade organizacional em que será criado o usuário. Se houver vários domínios na sua floresta, crie o usuário no mesmo domínio da máquina do GCDS.
  3. Clique com o botão direito do mouse no painel da janela à direita e selecione Novo > Usuário.
  4. Forneça nome e endereço de e-mail adequados, assim:
    1. Nome: Google Cloud
    2. Sobrenome: Directory Sync
    3. Nome de acesso do usuário: gcds
    4. Nome de acesso do usuário (anterior ao Windows 2000): gcds
  5. Clique em Próxima.
  6. Forneça uma senha que atenda sua política de senhas.
  7. Desmarque a opção Usuário precisa alterar a senha no próximo logon.
  8. Selecione a opção Senha nunca expira.
  9. Clique em Próximo e em Concluir.

PowerShell

  1. Abra um console do PowerShell como Administrador.
  2. Crie um usuário executando o seguinte comando:

     New-ADUser -Name "Google Cloud Directory Sync" `
        -GivenName "Google Cloud" `
        -Surname "Directory Sync" `
        -SamAccountName "gcds" `
        -UserPrincipalName (-Join("gcds@",(Get-ADDomain).DNSRoot)) `
        -AccountPassword(Read-Host -AsSecureString "Type password for User") `
        -Enabled $True
     

Agora, você tem os pré-requisitos para instalar o GCDS.

Instalar o GCDS

Na máquina em que será executado o GCDS, faça o download e execute o instalador do GCDS. Em vez de usar um navegador para realizar o download, use o seguinte comando do PowerShell para fazer o download do instalador:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Após a conclusão do download, execute o seguinte comando para ativar o assistente de instalação:

.\dirsync-win64.exe

Se você já tiver o GCDS instalado, poderá atualizar o GCDS para continuar usando a versão mais recente.

Criar uma pasta para a configuração do GCDS

O GCDS armazena a configuração em um arquivo XML. Como essa configuração inclui um token OAuth de atualização usado pelo GCDS para autenticação no Google, verifique se você protege corretamente a pasta usada para configuração.

Além disso, como o GCDS não requer acesso a recursos locais além desta pasta, você pode configurar o GCDS para ser executado como um usuário limitado, LocalService:

  1. Na máquina em que você instalou o GCDS, faça login como administrador local.
  2. Abra um console do PowerShell que tenha privilégios de administrador.
  3. Execute os seguintes comandos para criar uma pasta chamada $Env:ProgramData\gcds a fim de armazenar a configuração e aplicar uma lista de controle de acesso (ACL). Assim, apenas o GCDS e os administradores terão acesso:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
    New-Item -ItemType directory -Path  $gcdsDataFolder
    &icacls "$gcdsDataFolder" /inheritance:r
    &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
    
  4. Para determinar o local da pasta ProgramData, execute o comando Write-Host $Env:ProgramData. Nas versões em inglês do Windows, esse caminho geralmente é c:\ProgramData. Esse caminho será necessário mais tarde.

Conectar ao Google

Agora, você vai usar o Gerenciador de configuração para preparar a configuração do GCDS. Para seguir estas etapas, é necessário executar o Gerenciador de configuração no mesmo servidor em que você planeja executar o GCDS.

Se você usar uma máquina diferente para executar o Gerenciador de configuração, não se esqueça de copiar o arquivo de configuração para o servidor do GCDS depois. Além disso, esteja ciente de que talvez não seja possível testar a configuração em uma máquina diferente.

  1. Inicie o Gerenciador de configuração. Ele está localizado no menu Iniciar do Windows, em Google Cloud Directory Sync > Gerenciador de configuração.
  2. Clique em Configuração do Google Domain > Configurações de conexão.

    Configuração do Google Domain > Configurações de conexão

  3. Autorize o GCDS e defina as configurações do domínio.

  4. No menu, clique em Arquivo > Salvar como.

  5. Na caixa de diálogo do arquivo, digite PROGRAM_DATA\gcds\config.xml como o nome do arquivo. Substitua PROGRAM_DATA pelo caminho para a pasta ProgramData que o comando do PowerShell retornou na execução anterior.

  6. Clique em Salvar e depois em OK.

Conectar-se ao Active Directory

A próxima etapa é configurar a conexão do GCDS ao Active Directory:

  1. No Gerenciador de configuração, clique em Configuração do LDAP > Configurações de conexão.
  2. Defina as configurações de conexão LDAP:
    1. Tipo de servidor: selecione MS Active Directory.
    2. Tipo de conexão: selecione LDAP padrão ou LDAP+SSL.
    3. Nome do Host: digite o nome de um servidor GC. Esta configuração é usada apenas para testes. Posteriormente, você vai automatizar a descoberta do servidor do GC.
    4. Porta: 3268 (GC) ou 3269 (GC sobre SSL). Usar um servidor GC em vez de um controlador de domínio ajuda a garantir o provisionamento de usuários de todos os domínios da floresta do Active Directory. Garantir a autenticação após a atualização ADV190023 da Microsoft.
    5. Tipo de autenticação: simples.
    6. Usuário autorizado: insira o nome de usuário principal (UPN, na sigla em inglês) do usuário do domínio que você criou anteriormente: gcds@UPN_SUFFIX_DOMAIN. Substitua UPN_SUFFIX_DOMAIN pelo domínio de sufixo UPN adequado para o usuário. Outra opção é especificar o usuário usando a sintaxe NETBIOS_DOMAIN_NAME\gcds.
    7. DN de base: deixe este campo vazio para assegurar que as pesquisas sejam realizadas em todos os domínios da floresta.
  3. Para verificar as configurações, clique em Testar conexão. Se a conexão falhar, confirme se você especificou o nome de host de um servidor de GC e se o nome de usuário e a senha estão corretos.
  4. Clique em Fechar.

Decidir o que provisionar

Agora que você conectou o GCDS, decida quais itens quer provisionar:

  1. No Gerenciador de configuração, clique em Configurações gerais.
  2. Assegure-se de que a opção Contas de usuário esteja selecionada.
  3. Caso pretenda provisionar grupos, verifique se a opção Grupos está selecionada. Caso contrário, desmarque a caixa de seleção.
  4. A sincronização de unidades organizacionais está além do escopo deste guia, portanto, deixe a caixa de seleção Unidades organizacionais desmarcada.
  5. Deixe Perfis de usuário e Esquemas personalizados desmarcados.

Para saber mais, consulte Decidir o que provisionar.

Provisionar usuários

Para provisionar usuários, configure o mapeamento entre eles e o Active Directory:

  1. No Gerenciador de configuração, clique em Contas de usuário > Outros atributos do usuário.
  2. Clique em Usar padrões para preencher automaticamente os atributos de Nome e Sobrenome com givenName e sn, respectivamente.

As outras configurações dependem da intenção de usar o nome de usuário principal (UPN) ou o endereço de e-mail para mapear o Active Directory para usuários no Cloud Identity ou no Google Workspace e se você precisa aplicar substituições de nomes de domínio. Se não tiver certeza de qual é a melhor opção para você, consulte o artigo sobre como o gerenciamento de identidade do Active Directory pode ser estendido ao Google Cloud.

UPN

  1. No Gerenciador de configuração, clique em Contas de usuário > Atributos do usuário.
  2. Clique em Usar padrões.
  3. Altere o Atributo do endereço de e-mail para userPrincipalName.
  4. Clique em proxyAddresses > Remove se não quiser sincronizar os endereços de alias.
  5. Clique na guia Regras de pesquisa e, em seguida, clique em Adicionar regra de pesquisa.
  6. Insira as seguintes configurações:

    1. Escopo: subárvore
    2. Regra:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Essa regra corresponde todos os usuários não desativados, mas ignora contas de serviço gerenciadas e computadores, bem como a conta de usuário gcds.

    3. DN de base: deixe em branco para pesquisar todos os domínios na floresta.

  7. Clique em OK para criar a regra.

UPN: substituição de domínio

  1. No Gerenciador de configuração, clique em Contas de usuário > Atributos do usuário.
  2. Clique em Usar padrões.
  3. Altere o Atributo do endereço de e-mail para userPrincipalName
  4. Clique em proxyAddresses > Remove se não quiser sincronizar os endereços de alias.
  5. Clique na guia Regras de pesquisa e, em seguida, clique em Adicionar regra de pesquisa.
  6. Insira as seguintes configurações:

    1. Escopo: subárvore
    2. Regra:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Essa regra corresponde todos os usuários não desativados, mas ignora contas de serviço gerenciadas e computadores, bem como a conta de usuário gcds.

    3. DN de base: deixe em branco para pesquisar todos os domínios dentro da floresta.

  7. Clique em OK para criar a regra.

  8. Clique em Configuração do Google Domain > Configurações de conexão e escolha Substituir nomes de domínio em endereços de e-mail LDAP por esse nome de domínio.

E-mail

  1. No Gerenciador de configuração, clique em Contas de usuário > Atributos do usuário.
  2. Clique em Usar padrões.
  3. Clique na guia Regras de pesquisa e, em seguida, clique em Adicionar regra de pesquisa.
  4. Insira as seguintes configurações:

    1. Escopo: subárvore
    2. Regra:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Essa regra corresponde todos os usuários não desativados a um endereço de e-mail não vazio, mas ignora contas de serviço gerenciadas e computadores.

    3. DN de base: deixe em branco para pesquisar todos os domínios na floresta.

  5. Clique em OK para criar a regra.

E-mail: substituição de domínio

  1. No Gerenciador de configuração, clique em Contas de usuário > Atributos do usuário.
  2. Clique em Usar padrões.
  3. Clique em proxyAddresses > Remove se não quiser sincronizar os endereços de alias.
  4. Clique na guia Regras de pesquisa e, em seguida, clique em Usar padrões.
  5. Clique em Configuração do Google Domain > Configurações de conexão e escolha Substituir nomes de domínio em endereços de e-mail LDAP por esse nome de domínio.

Para ver mais detalhes sobre como mapear atributos de usuários, consulte Configurar a sincronização com o Gerenciador de configuração.

Política de exclusão

Até agora, a configuração se concentrou em incluir e atualizar usuários no Cloud Identity ou no Google Workspace. No entanto, também é importante que os usuários desativados ou excluídos no Active Directory sejam suspensos ou excluídos no Cloud Identity ou no Google Workspace.

Como parte do processo de provisionamento, o GCDS gera uma lista de usuários no Cloud Identity ou no Google Workspace que não têm correspondência nos resultados da consulta LDAP no Active Directory. Como a consulta LDAP incorpora a cláusula (!(userAccountControl:1.2.840.113556.1.4.803:=2)), qualquer usuário que tenha sido desativado ou excluído no Active Directory desde o último provisionamento será incluído na lista. O comportamento padrão do GCDS é excluir esses usuários no Cloud Identity ou no Google Workspace, mas é possível personalizar esse comportamento:

  1. No Gerenciador de configuração, clique em Contas de usuário > Atributos do usuário.
  2. Na Política de exclusão/suspensão de usuários do domínio do Google, verifique se a opção Não suspender ou excluir os administradores de domínio do Google não encontrados no LDAP está marcada. Essa configuração garante que o GCDS não suspenda nem exclua o usuário superadministrador usado para configurar a conta do Cloud Identity ou do Google Workspace.
  3. Também é possível mudar a política de exclusão para usuários sem privilégios de administrador.

Se você usa várias instâncias separadas do GCDS para provisionar domínios ou florestas diferentes em uma única conta do Cloud Identity ou do Google Workspace, verifique se as diferentes instâncias do GCDS não interferem umas nas outras. Por padrão, os usuários do Cloud Identity ou do Google Workspace que foram provisionados de uma fonte diferente serão identificados incorretamente no Active Directory como excluídos. Para evitar essa situação, mova todos os usuários que estão além do escopo do domínio ou da floresta que você está provisionando para uma única unidade organizacional e, em seguida, exclua essa unidade organizacional.

  1. No Gerenciador de configuração, clique em Configuração do Google Domain > Regras de exclusão.
  2. Clique em Adicionar regra de exclusão.
  3. Defina as configurações a seguir:

    1. Tipo: caminho completo da organização
    2. Tipo de correspondência: correspondência exata
    3. Regra de exclusão: digite o caminho da unidade organizacional e o nome dela. Exemplo:

      ROOT OU/EXCLUDED OU

      Substitua ROOT OU/EXCLUDED OU pelo caminho da unidade organizacional e pelo nome da unidade organizacional excluída.

  4. Clique em OK para criar a regra.

Como alternativa, se a exclusão de uma única unidade organizacional não for adequada para sua empresa, exclua o domínio ou a floresta com base nos endereços de e-mail dos usuários.

UPN

  1. No Gerenciador de configuração, clique em Configuração do Google Domain > Regras de exclusão.
  2. Clique em Adicionar regra de exclusão.
  3. Defina as configurações a seguir:

    1. Tipo: endereço de e-mail de usuário
    2. Tipo de correspondência: expressão regular
    3. Regra de exclusão: ao usar um único domínio de sufixo UPN, insira a seguinte expressão regular:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$
      Substitua UPN_SUFFIX_DOMAIN pelo domínio de sufixo UPN, como neste exemplo:
      .*@((?!corp.example.com).*)$

      Caso use mais de um domínio de sufixo UPN, estenda a expressão como mostrado a seguir:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Clique em OK para criar a regra.

UPN: substituição de domínio

  1. No Gerenciador de configuração, clique em Configuração do Google Domain > Regras de exclusão.
  2. Clique em Adicionar regra de exclusão.
  3. Defina as configurações a seguir:

    1. Tipo: endereço de e-mail de usuário
    2. Tipo de correspondência: expressão regular
    3. Regra de exclusão: ao usar um único domínio de sufixo UPN, insira a seguinte expressão regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Substitua SUBSTITUTION_DOMAIN pelo domínio usado para substituir o domínio de sufixo UPN, como no exemplo a seguir:

      .*@((?!corp.example.com).*)$
  4. Clique em OK para criar a regra.

E-mail

  1. No Gerenciador de configuração, clique em Configuração do Google Domain > Regras de exclusão.
  2. Clique em Adicionar regra de exclusão.
  3. Defina as configurações a seguir:

    1. Tipo: endereço de e-mail de usuário
    2. Tipo de correspondência: expressão regular
    3. Regra de exclusão: ao usar um único domínio de sufixo UPN, insira a seguinte expressão regular:

      .*@((?!MX_DOMAIN).*)$

      Substitua MX_DOMAIN pelo nome de domínio usado nos endereços de e-mail, como no exemplo a seguir:

      .*@((?!corp.example.com).*)$

      Caso use mais de um domínio de sufixo UPN, estenda a expressão como mostrado a seguir:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Clique em OK para criar a regra.

E-mail: substituição de domínio

  1. No Gerenciador de configuração, clique em Configuração do Google Domain > Regras de exclusão.
  2. Clique em Adicionar regra de exclusão.
  3. Defina as configurações a seguir:

    1. Tipo: endereço de e-mail de usuário
    2. Tipo de correspondência: expressão regular
    3. Regra de exclusão: ao usar um único domínio de sufixo UPN, insira a seguinte expressão regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Substitua SUBSTITUTION_DOMAIN pelo domínio usado para substituir o domínio do e-mail, como no exemplo a seguir:

      .*@((?!corp.example.com).*)$
  4. Clique em OK para criar a regra.

Para mais detalhes sobre configurações de exclusão e suspensão, consulte Saiba mais sobre as opções do Gerenciador de configuração.

Provisionar grupos

A próxima etapa é a configuração do mapeamento de grupos entre o Active Directory e o Cloud Identity ou o Google Workspace. Esse processo será diferente de acordo com seus planos: mapear grupos por nome real ou endereço de e-mail.

Configurar mapeamentos de grupos por nome comum

Primeiro, você precisa identificar os tipos de grupos de segurança que quer provisionar e, em seguida, formular uma consulta LDAP apropriada. A tabela a seguir contém consultas comuns que podem ser usadas.

Tipo consulta LDAP
Grupos locais de domínio (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Grupos globais (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Grupos universais (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Grupos globais e universais (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))
Todos os grupos (objectCategory=group)

A consulta de grupos globais também abrange grupos definidos pelo Active Directory como controladores de domínio. Filtre esses grupos restringindo a pesquisa por unidade organizacional (ou).

As outras configurações dependem da intenção de usar o UPN ou o endereço de e-mail para mapear o Active Directory para usuários no Cloud Identity ou no Google Workspace.

UPN

  1. No Gerenciador de configuração, clique em Grupos > Regras de Pesquisa.
  2. Clique em Usar padrões para adicionar duas regras padrão.
  3. Clique no ícone de edição da primeira regra.
  4. Edite Regra para substituir a consulta LDAP.
  5. Na caixa Grupos, insira as seguintes configurações:
    1. Atributo "Endereço de e-mail de grupo": cn
    2. Atributo de endereço de e-mail do usuário: userPrincipalName
  6. Clique na guia Prefix-Suffix.
  7. Na caixa Endereço de e-mail do grupo, insira as seguintes configurações:

    1. Sufixo: @PRIMARY_DOMAIN, em que você substitui @PRIMARY_DOMAIN pelo domínio principal da sua conta do Cloud Identity ou do Google Workspace. Embora a configuração pareça redundante porque o GCDS anexa o domínio automaticamente, é preciso especificar a configuração de maneira explícita para evitar que várias instâncias do GCDS apaguem os membros do grupo que não foram adicionados por elas.

      Exemplo: @example.com

    2. Clique em OK.

  8. Clique no segundo ícone de cruz de regras para excluir a regra.

E-mail

  1. No Gerenciador de configuração, clique em Grupos > Regras de Pesquisa.
  2. Clique em Usar padrões para adicionar algumas regras padrão.
  3. Clique no ícone de edição da primeira regra.
  4. Edite Regra para substituir a consulta LDAP.
  5. Na caixa Grupos, edite Atributo de endereço de e-mail do grupo para inserir a configuração cn.
  6. Clique em OK.

As mesmas configurações também se aplicarão caso você tenha usado a substituição de domínio ao mapear usuários.

Configurar mapeamentos de grupos por endereço de e-mail

Primeiro, você precisa identificar os tipos de grupos de segurança que quer provisionar e, em seguida, formular uma consulta LDAP apropriada. A tabela a seguir contém consultas comuns que podem ser usadas.

Tipo consulta LDAP
Grupos locais de domínio com endereço de e-mail (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Grupos globais com endereço de e-mail (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Grupos universais com endereço de e-mail (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Grupos globais e universais com endereço de e-mail (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))
Todos os grupos com endereço de e-mail (&(objectCategory=group)(mail=*))

As outras configurações dependem da intenção de usar o UPN ou o endereço de e-mail para mapear o Active Directory para usuários no Cloud Identity ou no Google Workspace.

UPN

  1. No Gerenciador de configuração, clique em Grupos > Regras de Pesquisa.
  2. Clique em Usar padrões para adicionar duas regras padrão.
  3. Clique no ícone de edição da primeira regra.
  4. Edite Regra para substituir a consulta LDAP.
  5. Na caixa Grupos, edite Atributo do nome de e-mail do usuário para inserir a configuração userPrincipalName.
  6. Clique em OK.
  7. Clique no segundo ícone de cruz de regras para excluir a regra.

E-mail

  1. No Gerenciador de configuração, clique em Grupos > Regras de Pesquisa.
  2. Clique em Usar padrões para adicionar algumas regras padrão.
  3. Clique no ícone de edição da primeira regra.
  4. Edite Regra para substituir a consulta LDAP.
  5. Clique em OK.
  6. Clique no segundo ícone de cruz de regra para remover essa regra.

Se você tiver ativado a opção Substituir nomes de domínio em endereços de e-mail LDAP por esse nome de domínio, ela também se vai se aplicar a endereços de e-mail de grupos e membros.

Política de exclusão

O GCDS processa a exclusão de grupos de maneira semelhante à exclusão de usuários. Se você usa várias instâncias separadas do GCDS para provisionar domínios ou florestas diferentes em uma única conta do Cloud Identity ou do Google Workspace, verifique se as diferentes instâncias do GCDS não interferem umas nas outras.

Por padrão, um membro do grupo no Cloud Identity ou no Google Workspace que foi provisionado de outra origem será identificado incorretamente no Active Directory como excluído. Para evitar essa situação, configure o GCDS para ignorar todos os membros do grupo que estejam além do escopo do domínio ou da floresta da qual você está provisionando.

UPN

  1. Clique em Configuração do Google Domain > Regras de exclusão.
  2. Clique em Adicionar regra de exclusão.
  3. Defina as configurações a seguir:

    1. Tipo: endereço de e-mail de membro do grupo
    2. Tipo de correspondência: expressão regular
    3. Regra de exclusão: ao usar um único domínio de sufixo UPN, insira a seguinte expressão regular:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$

      Substitua UPN_SUFFIX_DOMAIN pelo domínio de sufixo UPN, como no exemplo a seguir:

      .*@((?!corp.example.com).*)$

      Caso use mais de um domínio de sufixo UPN, estenda a expressão como mostrado a seguir:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Clique em OK para criar a regra.

UPN: substituição de domínio

  1. Clique em Configuração do Google Domain > Regras de exclusão.
  2. Clique em Adicionar regra de exclusão.
  3. Defina as configurações a seguir:

    1. Tipo: endereço de e-mail de membro do grupo
    2. Tipo de correspondência: expressão regular
    3. Regra de exclusão: ao usar um único domínio de sufixo UPN, insira a seguinte expressão regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Substitua SUBSTITUTION_DOMAIN pelo domínio usado para substituir o domínio de sufixo UPN, como no exemplo a seguir:

      .*@((?!corp.example.com).*)$
  4. Clique em OK para criar a regra.

E-mail

  1. Clique em Configuração do Google Domain > Regras de exclusão.
  2. Clique em Adicionar regra de exclusão.
  3. Defina as configurações a seguir:

    1. Tipo: endereço de e-mail de membro do grupo
    2. Tipo de correspondência: expressão regular
    3. Regra de exclusão: ao usar um único domínio de sufixo UPN, insira a seguinte expressão regular:

      .*@((?!MX_DOMAIN).*)$

      Substitua MX_DOMAIN pelo nome de domínio usado nos endereços de e-mail, como no exemplo a seguir:

      .*@((?!corp.example.com).*)$

      Caso use mais de um domínio de sufixo UPN, estenda a expressão como mostrado a seguir:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Clique em OK para criar a regra.

E-mail: substituição de domínio

  1. Clique em Configuração do Google Domain > Regras de exclusão.
  2. Clique em Adicionar regra de exclusão.
  3. Defina as configurações a seguir:

    1. Tipo: endereço de e-mail de membro do grupo
    2. Tipo de correspondência: expressão regular
    3. Regra de exclusão: ao usar um único domínio de sufixo UPN, insira a seguinte expressão regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Substitua SUBSTITUTION_DOMAIN pelo domínio usado para substituir o domínio do e-mail, como no exemplo a seguir:

      .*@((?!corp.example.com).*)$
    4. Clique em OK para criar a regra.

Para mais informações sobre configurações de grupo, consulte Saiba mais sobre as opções do Gerenciador de configuração.

Como configurar registros e notificações

Manter os usuários sincronizados requer que você execute o GCDS de forma programada. Para acompanhar a atividade do GCDS e possíveis problemas, controle como e quando o GCDS grava o arquivo de registros:

  1. No Gerenciador de configuração, clique em Logging.
  2. Defina Nome do arquivo como PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log. Substitua PROGRAM_DATA pelo caminho para a pasta ProgramData que o comando do PowerShell retornou na execução anterior.
  3. Clique em Arquivo > Salvar para confirmar as alterações de configuração no disco e clique em OK.

Além de gerar registros, o GCDS pode enviar notificações por e-mail. Para ativar este serviço, clique em Notificações e forneça informações de conexão para o servidor de e-mail.

Simular o provisionamento de usuários

Você concluiu a configuração do GCDS. Para verificar se a configuração funciona conforme o esperado, primeiro salve a configuração no disco e simule uma execução de provisionamento de usuário. Durante a simulação, o GCDS não realiza nenhuma alteração na sua conta do Cloud Identity ou do Google Workspace, mas informa quais alterações ele executaria durante uma execução de provisionamento regular.

  1. No Gerenciador de configuração, clique em Sincronizar.
  2. Na parte inferior da tela, selecione Limpar cache e clique em Simular sincronização.
  3. Depois que o processo for concluído, revise a seção Alterações propostas do registro que é mostrada na parte inferior da caixa de diálogo e verifique se não há alterações indesejadas, como excluir ou suspender qualquer usuário ou grupo.

Provisionamento inicial de usuários

Agora é possível acionar o provisionamento inicial de usuários:

Avisos

  • Ao acionar o provisionamento, os usuários e grupos são alterados na sua conta do Cloud Identity ou do Google Workspace.
  • Se houver um grande número de usuários para provisionar, altere temporariamente a consulta LDAP para corresponder apenas a um subconjunto desses usuários. Ao usar esse subconjunto de usuários, teste o processo e ajuste as configurações, se necessário. Depois de validar com sucesso os resultados, volte para a consulta LDAP e provisione os usuários restantes.
  • Evite modificar ou excluir repetidamente um grande número de usuários ao testar, porque essas ações podem ser sinalizadas como comportamento abusivo.

Acione uma provisionamento da seguinte maneira:

  1. No Gerenciador de configuração, clique em Sincronizar.
  2. Na parte inferior da tela, selecione Limpar o cache e clique em Sincronizar e aplicar as alterações.

    Uma caixa de diálogo é exibida mostrando o status.

  3. Após a conclusão do processo, verifique o registro mostrado na metade inferior da caixa de diálogo:

    1. Em Alterações bem-sucedidas do usuário, verifique se pelo menos um usuário foi criado.
    2. Em Falhas, verifique se nenhuma falha ocorreu.

Programar o provisionamento

Para garantir que as alterações realizadas no Active Directory sejam propagadas para sua conta do Cloud Identity ou do Google Workspace, configure uma tarefa programada que aciona uma execução de provisionamento a cada hora:

  1. Abra um console do PowerShell como Administrador.
  2. Verifique se o módulo PowerShell do Active Directory está disponível no sistema:

    import-module ActiveDirectory

    Se o comando falhar, faça o download e instale as Ferramentas de administração de servidor remoto e tente novamente.

  3. No Bloco de Notas, crie um arquivo, copie o conteúdo abaixo nele e salve o arquivo em %ProgramData%\gcds\sync.ps1. Quando terminar, feche o arquivo.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True)]
        [string]$config,
    
        [Parameter(Mandatory=$True)]
        [string]$gcdsInstallationDir
    )
    
    import-module ActiveDirectory
    
    # Stop on error.
    $ErrorActionPreference ="stop"
    
    # Ensure it's an absolute path.
    $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
    
    # Discover closest GC in current domain.
    $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
    Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
    
    # Load XML and replace the endpoint.
    $dom = [xml](Get-Content $rawConfigPath)
    $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
    
    # Tweak the endpoint.
    $ldapConfigNode.hostname = [string]$dc.HostName
    $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
    $ldapConfigNode.port = "3268"   # Always use GC port
    
    # Tweak the tsv files location
    $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
    $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
    $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
    
    # Save resulting config.
    $targetConfigPath = $rawConfigPath + ".autodiscover"
    
    $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
    $dom.Save($writer)
    $writer.Close()
    
    # Start provisioning.
    Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
        -Wait -ArgumentList "--apply --config ""$targetConfigPath"""
    
  4. O Gerenciador de configuração criou uma chave secreta para criptografar as credenciais no arquivo de configuração. Para garantir que o GCDS ainda possa ler a configuração quando ela for executada como uma tarefa agendada, execute os seguintes comandos para copiar essa chave secreta do seu perfil para o perfil de NT AUTHORITY\LOCAL SERVICE:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
    Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
        -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
    

    Se os comandos falharem, verifique se o console do PowerShell foi iniciado como Administrador.

  5. Crie uma tarefa agendada com a execução dos comandos a seguir. A tarefa programada será acionada a cada uma hora e invocará o script sync.ps1 como NT AUTHORITY\LOCAL SERVICE.

    $taskName = "Synchronize to Cloud Identity"
    $gcdsDir = "$Env:ProgramData\gcds"
    
    $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
      -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
      -WorkingDirectory $gcdsDir
    $trigger = New-ScheduledTaskTrigger `
      -Once `
      -At (Get-Date) `
      -RepetitionInterval (New-TimeSpan -Minutes 60) `
      -RepetitionDuration (New-TimeSpan -Days (365 * 20))
    
    $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
    Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
    
    $task = Get-ScheduledTask -TaskName "$taskName"
    $task.Settings.ExecutionTimeLimit = "PT12H"
    Set-ScheduledTask $task
    

Para mais informações, consulte Programar sincronizações automáticas.

Testar o provisionamento de usuários

Você concluiu a instalação e a configuração do GCDS. A tarefa agendada acionará uma execução por hora.

Para acionar uma execução de provisionamento manualmente, alterne para o console do PowerShell e execute o seguinte comando:

Start-ScheduledTask "Synchronize to Cloud Identity"

Limpar

Para remover o GCDS, siga estas etapas:

  1. Abra o Painel de Controle do Windows e clique em Programas > Desinstalar um programa.
  2. Selecione Google Cloud Directory Sync e clique em Desinstalar/alterar para iniciar o assistente de desinstalação. Em seguida, siga as instruções no assistente.
  3. Abra o console do PowerShell e execute o seguinte comando para remover a tarefa programada:

    $taskName = "Synchronize to Cloud Identity"
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
    
  4. Execute o comando a seguir para excluir os arquivos de configuração e registro:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
    Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
    

A seguir