Provisioning degli account utente di Active Directory

Pianificazione del deployment di GCDS

Decidere dove eseguire il deployment di GCDS

GCDS può eseguire il provisioning di utenti e gruppi da una directory LDAP su Cloud Identity o Google Workspace. Fungendo da intermediario tra il server LDAP e Cloud Identity o Google Workspace, GCDS esegue query nella directory LDAP per recuperare le informazioni necessarie dalla directory e utilizza l'API Directory per aggiungere, modificare o eliminare utenti nell'account Cloud Identity o Google Workspace.

Poiché i Servizi di dominio di Active Directory si basano su LDAP, GCDS è adatto a implementare il provisioning degli utenti tra Active Directory e Cloud Identity o Google Workspace.

Quando connetti un'infrastruttura Active Directory on-premise a Google Cloud, puoi eseguire GCDS on-premise o su una macchina virtuale Compute Engine in Google Cloud. Nella maggior parte dei casi, è meglio eseguire GCDS on-premise:

• Poiché le informazioni gestite da Active Directory includono informazioni che consentono l'identificazione personale e sono generalmente considerate sensibili, potresti non voler accedere ad Active Directory dall'esterno della rete locale.
• Per impostazione predefinita, Active Directory utilizza LDAP non criptato. Se accedi ad Active Directory da remoto dall'interno di Google Cloud, devi utilizzare la comunicazione criptata. Sebbene sia possibile criptare la connessione utilizzando LDAPS (LDAP+SSL) o Cloud VPN,
• La comunicazione da GCDS a Cloud Identity o Google Workspace avviene tramite HTTPS e richiede modifiche minime o nulle alla configurazione del firewall.

Puoi eseguire GCDS su Windows o Linux. Sebbene sia possibile implementare GCDS sul controller di dominio, è meglio eseguirlo su un computer separato. Questa macchina deve soddisfare i requisiti di sistema e disporre dell'accesso LDAP ad Active Directory. Sebbene non sia un prerequisito per l'aggiunta di un dominio o l'esecuzione di Windows per le macchine, questa guida presuppone che Cloud Directory Sync venga eseguito su un computer Windows aggiunto a un dominio.

Per facilitare la configurazione del provisioning, GCDS include un'interfaccia utente grafica (GUI) chiamata Configuration Manager. Se il server su cui intendi eseguire GCDS offre un'esperienza desktop, puoi eseguire Configuration Manager sul server stesso. In caso contrario, devi eseguire Configuration Manager localmente e quindi copiare sul server il file di configurazione risultante, dove potrai utilizzarlo per eseguire GCDS. Questa guida presuppone che tu esegua Configuration Manager su un server con una GUI.

Decidere dove recuperare i dati

GCDS utilizza LDAP per interagire con Active Directory e per recuperare informazioni su utenti e gruppi. Per rendere possibile questa interazione, GCDS richiede di specificare un nome host e una porta nella configurazione. In un ambiente Active Directory di piccole dimensioni che esegue un solo server di catalogo globale, fornire un nome host e una porta non è un problema, perché puoi indirizzare GCDS direttamente al server di catalogo globale.

In un ambiente più complesso che esegue server di catalogo globale (GC) ridondanti, indirizzare GCDS a un singolo server non utilizza la ridondanza e pertanto non è l'ideale. Sebbene sia possibile configurare un bilanciatore del carico per distribuire le query LDAP su più server di catalogo globali e tenere traccia dei server che potrebbero essere temporaneamente non disponibili, è preferibile utilizzare il meccanismo DC Locator per individuare i server in modo dinamico.

Per impostazione predefinita, GCDS richiede di specificare in modo esplicito l'endpoint di un server LDAP e non supporta l'utilizzo del meccanismo di DC Locator. In questa guida, viene completato da GCDS con un piccolo script PowerShell che utilizza il meccanismo di DC Locator, in modo da non dover configurare in modo statico gli endpoint dei server di catalogo globale.

Preparazione dell'account Cloud Identity o Google Workspace in corso...

Creare un utente per GCDS

Per consentire a GCDS di interagire con l'API Directory e l'API Domain Shared Contacts di Cloud Identity e Google Workspace, l'applicazione deve avere un account utente con privilegi amministrativi.

Quando ti sei registrato a Cloud Identity o Google Workspace, hai già creato un utente super amministratore. Anche se puoi utilizzare questo utente per GCDS, è preferibile creare un utente separato che venga utilizzato esclusivamente da Cloud Directory Sync:

1. Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore che hai creato quando hai eseguito la registrazione a Cloud Identity o Google Workspace.
2. Nel menu, fai clic su Directory > Utenti, quindi su Aggiungi nuovo utente per creare un utente.

3. Fornisci un nome e un indirizzo email appropriati, ad esempio:

   1. Nome: Google Cloud
   2. Cognome: Directory Sync
   3. Indirizzo email principale: cloud-directory-sync

   Conserva il dominio principale nell'indirizzo email, anche se il dominio non corrisponde alla foresta da cui esegui il provisioning.

4. Assicurati che l'opzione Genera automaticamente una nuova password sia impostata su Disattivata, e inserisci una password.

5. Assicurati che l'opzione Richiedi di cambiare la password all'accesso successivo sia impostata su Disattivato.

6. Fai clic su Aggiungi nuovo utente.

7. Fai clic su Fine.

Per consentire a GCDS di creare, elencare ed eliminare account utente e gruppi, l'utente deve disporre di privilegi aggiuntivi. Inoltre, è consigliabile escludere l'utente dal Single Sign-On, altrimenti potresti non essere in grado di autorizzare nuovamente GCDS quando si verificano problemi con Single Sign-On. Puoi eseguire entrambe le operazioni impostando l'utente come super amministratore:

1. Individua l'utente appena creato nell'elenco e aprilo.
2. In Ruoli e privilegi di amministratore, fai clic su Assegna ruoli.
3. Attiva il ruolo Super amministratore.
4. Fai clic su Salva.

Configurare il provisioning degli utenti

Creare un utente Active Directory per GCDS

Per consentire a GCDS di recuperare le informazioni su utenti e gruppi da Active Directory, GCDS richiede anche un utente di dominio con accesso sufficiente. Anziché riutilizzare un utente Windows esistente a questo scopo, crea un utente dedicato per GCDS:

A questo punto hai i prerequisiti per installare GCDS.

Installazione di GCDS

Sulla macchina su cui eseguirai GCDS, scarica ed esegui il programma di installazione di GCDS. Anziché utilizzare un browser per eseguire il download, puoi utilizzare il seguente comando di PowerShell per scaricare il programma di installazione:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Al termine del download, puoi avviare l'installazione guidata eseguendo questo comando:

.\dirsync-win64.exe

Se hai già installato GCDS, puoi aggiornare GCDS per assicurarti di utilizzare la versione più recente.

Creazione di una cartella per la configurazione di GCDS

GCDS archivia la configurazione in un file XML. Poiché questa configurazione include un token di aggiornamento OAuth che GCDS utilizza per l'autenticazione con Google, assicurati di proteggere correttamente la cartella utilizzata per la configurazione.

Inoltre, poiché GCDS non richiede l'accesso a risorse locali diverse da questa cartella, puoi configurare GCDS in modo che venga eseguito come utente con limitazioni, LocalService:

1. Accedi come amministratore locale sul computer in cui hai installato GCDS.
2. Apri una console PowerShell con privilegi amministrativi.

3. Esegui i comandi seguenti per creare una cartella denominata $Env:ProgramData\gcds per archiviare la configurazione e per applicare un elenco di controllo dell'accesso (ACL) in modo che solo GCDS e gli amministratori possano accedere:

   $gcdsDataFolder = "$Env:ProgramData\gcds"
   New-Item -ItemType directory -Path  $gcdsDataFolder
   &icacls "$gcdsDataFolder" /inheritance:r
   &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
   &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
   &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
   &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
   

4. Per determinare la posizione della cartella ProgramData, esegui il comando Write-Host $Env:ProgramData. Nelle versioni in inglese di Windows, in genere questo percorso è c:\ProgramData. Questo percorso ti servirà in un secondo momento.

Connessione a Google

A questo punto utilizzerai Configuration Manager per preparare la configurazione di GCDS. Questi passaggi presuppongono che tu esegua Configuration Manager sullo stesso server in cui prevedi di eseguire GCDS.

Se utilizzi un altro computer per eseguire Configuration Manager, accertati di copiare successivamente il file di configurazione sul server GCDS. Inoltre, tieni presente che potrebbe non essere possibile testare la configurazione su una macchina diversa.

1. Avvia Configuration Manager. Puoi trovare Configuration Manager nel menu Start di Windows, in Google Cloud Directory Sync > Configuration Manager.

2. Fai clic su Google Domain Configuration > Connection Settings (Configurazione dominio Google > Impostazioni di connessione).

   Impostazioni di connessione" class="l10n-absolute-url-src screenshot" l10n-attrs-original-order="src,alt,class" src="https://cloud.google.com/static/solutions/images/federating-gcp-with-ad-gcds-config-settings-v4.7.6.png" />

3. Autorizza GCDS e configura le impostazioni del dominio.

4. Nel menu, fai clic su File > Salva con nome.

5. Nella finestra di dialogo del file, inserisci PROGRAM_DATA\gcds\config.xml come nome file. Sostituisci PROGRAM_DATA con il percorso della cartella ProgramData che il comando PowerShell ha restituito durante l'esecuzione precedente.

6. Fai clic su Salva e poi su OK.

Connessione ad Active Directory

Il passaggio successivo consiste nel configurare GCDS per la connessione ad Active Directory:

1. In Configuration Manager, fai clic su LDAP Configuration > Connection Settings (Configurazione LDAP > Impostazioni connessione).
2. Configura le impostazioni di connessione LDAP:
   1. Tipo di server: seleziona MS Active Directory.
   2. Connection Type (Tipo di connessione): seleziona Standard LDAP o LDAP+SSL.
   3. Nome host: inserisci il nome di un server GC. Questa impostazione viene utilizzata solo per i test. Successivamente, automatizzerai il rilevamento del server GC.
   4. Porta: 3268 (GC) o 3269 (GC su SSL). L'utilizzo di un server GC anziché di un controller di dominio consente di eseguire il provisioning degli utenti da tutti i domini della foresta di Active Directory. Inoltre, garantisci l'autenticazione dopo l'aggiornamento di Microsoft ADV190023.
   5. Authentication Type (Tipo di autenticazione): Simple (Semplice).
   6. Utente autorizzato: inserisci il nome UPN dell'utente dell'utente del dominio che hai creato in precedenza: gcds@UPN_SUFFIX_DOMAIN. Sostituisci UPN_SUFFIX_DOMAIN con il dominio del suffisso UPN appropriato per l'utente. In alternativa, puoi anche specificare l'utente utilizzando la sintassi NETBIOS_DOMAIN_NAME\gcds.
   7. Base DN: lascia vuoto questo campo per assicurarti che le ricerche vengano eseguite in tutti i domini della foresta.
3. Per verificare le impostazioni, fai clic su Verifica connessione. Se la connessione non va a buon fine, verifica di aver specificato il nome host di un server GC e che il nome utente e la password siano corretti.
4. Fai clic su Chiudi.

Decidere di cosa eseguire il provisioning

Ora che hai connesso correttamente GCDS, puoi decidere di quali elementi eseguire il provisioning:

1. In Configuration Manager, fai clic su General Settings (Impostazioni generali).
2. Assicurati che l'opzione Account utente sia selezionata.
3. Se intendi eseguire il provisioning di gruppi, assicurati che l'opzione Gruppi sia selezionata. In caso contrario, deseleziona la casella di controllo.
4. La sincronizzazione delle unità organizzative non rientra nell'ambito di questa guida, pertanto non selezionare l'opzione Unità organizzative.
5. Lascia deselezionate Profili utente e Schema personalizzati.

Per maggiori dettagli, vedi Decidere di cosa eseguire il provisioning.

Provisioning degli utenti

Configurazione delle mappature utente

Il passaggio successivo consiste nel configurare la modalità di mappatura degli utenti tra Active Directory:

1. In Configuration Manager, fai clic su Account utente > Attributi utente aggiuntivi.
2. Fai clic su Utilizza valori predefiniti per completare automaticamente gli attributi per Nome specificato e Nome famiglia rispettivamente con givenName e sn.

Le altre impostazioni dipendono da se intendi utilizzare l'indirizzo UPN o email per mappare Active Directory agli utenti in Cloud Identity o Google Workspace e se devi applicare sostituzioni dei nomi di dominio. Se hai dubbi su quale sia l'opzione migliore per te, consulta l'articolo su come la gestione delle identità di Active Directory può essere estesa a Google Cloud.

Per ulteriori dettagli sulla mappatura degli attributi utente, consulta Impostare la sincronizzazione con Configuration Manager.

Criterio di eliminazione

Finora, la configurazione si è concentrata sull'aggiunta e sull'aggiornamento degli utenti in Cloud Identity o Google Workspace. Tuttavia, è anche importante che gli utenti disattivati o eliminati in Active Directory vengano sospesi o eliminati in Cloud Identity o Google Workspace.

Nell'ambito del processo di provisioning, GCDS genera un elenco di utenti in Cloud Identity o Google Workspace che non hanno corrispondenze corrispondenti nei risultati della query LDAP di Active Directory. Poiché la query LDAP incorpora la clausola (!(userAccountControl:1.2.840.113556.1.4.803:=2)), saranno inclusi in questo elenco tutti gli utenti che sono stati disattivati o eliminati in Active Directory dall'ultimo provisioning. Il comportamento predefinito di GCDS è eliminare questi utenti in Cloud Identity o Google Workspace, ma puoi personalizzare questo comportamento:

1. In Configuration Manager, fai clic su User Accounts > User Attributes (Account utente > Attributi utente).
2. Sotto Criterio di eliminazione/sospensione degli utenti del dominio Google, assicurati che l'opzione Non sospendere o eliminare gli amministratori di dominio Google non trovati in LDAP sia selezionata. Questa impostazione assicura che GCDS non sospenda o elimini l'utente super amministratore che hai utilizzato per configurare il tuo account Cloud Identity o Google Workspace.
3. (Facoltativo) Modifica il criterio di eliminazione per gli utenti non amministratori.

Se utilizzi più istanze separate di GCDS per eseguire il provisioning di domini o foreste diversi in un singolo account Cloud Identity o Google Workspace, assicurati che le diverse istanze di GCDS non interferiscano tra loro. Per impostazione predefinita, gli utenti di Cloud Identity o Google Workspace di cui è stato eseguito il provisioning da un'origine diversa verranno erroneamente identificati in Active Directory come eliminati. Per evitare questa situazione, puoi spostare in una singola UO tutti gli utenti che esulano dall'ambito del dominio o della foresta di cui esegui il provisioning e poi escluderla.

1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > exclusion Rules (Regole di esclusione).
2. Fai clic su Aggiungi regola di esclusione.

3. Configura le seguenti impostazioni:

   1. Tipo: Organization Complete Path (Percorso completo dell'organizzazione)
   2. Match Type (Tipo di corrispondenza): Exact Match (Corrispondenza esatta)

   3. Regola di esclusione: inserisci il percorso della UO e il relativo nome. Ad esempio:

      ROOT OU/EXCLUDED OU

      Sostituisci ROOT OU/EXCLUDED OU con il percorso e il nome dell'UO esclusa.

4. Fai clic su OK per creare la regola.

In alternativa, se l'esclusione di una singola UO non è adatta alla tua attività, puoi escludere il dominio o la base di foreste sugli indirizzi email degli utenti.

Per ulteriori dettagli sulle impostazioni di eliminazione e sospensione, consulta Scopri di più sulle opzioni di Configuration Manager.

Provisioning dei gruppi

Il passaggio successivo è configurare la modalità di mappatura dei gruppi tra Active Directory e Cloud Identity o Google Workspace. Questo processo varia a seconda che tu voglia mappare i gruppi in base al nome comune o all'indirizzo email.

Configurazione delle mappature dei gruppi con il nome comune

Innanzitutto, devi identificare i tipi di gruppi di sicurezza di cui intendi eseguire il provisioning, quindi formulare una query LDAP appropriata. La seguente tabella contiene le query più comuni che puoi utilizzare.

La query per i gruppi globali copre anche i gruppi definiti da Active Directory, come i controller di dominio. Puoi filtrare questi gruppi limitando la ricerca in base all'unità organizzativa (ou).

Le altre impostazioni dipendono da se intendi utilizzare un indirizzo UPN o un indirizzo email per mappare Active Directory agli utenti in Cloud Identity o Google Workspace.

Le stesse impostazioni si applicano anche se hai utilizzato la sostituzione del dominio quando hai mappato gli utenti.

Configurazione delle mappature dei gruppi tramite indirizzo email

Innanzitutto, devi identificare i tipi di gruppi di sicurezza di cui intendi eseguire il provisioning, quindi formulare una query LDAP appropriata. La seguente tabella contiene le query più comuni che puoi utilizzare.

Le altre impostazioni dipendono da se intendi utilizzare un indirizzo UPN o un indirizzo email per mappare Active Directory agli utenti in Cloud Identity o Google Workspace.

Se hai abilitato l'opzione Sostituisci i nomi di dominio negli indirizzi email LDAP con questo nome di dominio, questa operazione si applica anche agli indirizzi email di gruppi e membri.

Criterio di eliminazione

GCDS gestisce l'eliminazione dei gruppi in modo simile all'eliminazione degli utenti. Se utilizzi più istanze separate di GCDS per eseguire il provisioning di domini o foreste diversi in un singolo account Cloud Identity o Google Workspace, assicurati che le diverse istanze di GCDS non interferiscano tra loro.

Per impostazione predefinita, un membro del gruppo in Cloud Identity o Google Workspace di cui è stato eseguito il provisioning da un'origine diversa verrà erroneamente identificato in Active Directory come eliminato. Per evitare che questa situazione si verifichi, configura GCDS in modo da ignorare tutti i membri del gruppo che esulano dall'ambito del dominio o della foresta da cui stai eseguendo il provisioning.

Per ulteriori informazioni sulle impostazioni dei gruppi, consulta Scopri di più sulle opzioni di Configuration Manager.

Configura logging e notifiche

Mantenere gli utenti sincronizzati richiede l'esecuzione di GCDS su base pianificata. Per tenere traccia dell'attività di GCDS e dei potenziali problemi, puoi controllare come e quando GCDS scrive il proprio file di log:

1. In Configuration Manager, fai clic su Logging.
2. Imposta Nome file su PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log. Sostituisci PROGRAM_DATA con il percorso della cartella ProgramData restituita dal comando PowerShell quando l'hai eseguito in precedenza.

3. Fai clic su File > Salva per eseguire il commit delle modifiche di configurazione su disco, quindi fai clic su OK.

Oltre all'accesso, GCDS può inviare notifiche via email. Per attivare il servizio, fai clic su Notifiche e fornisci le informazioni sulla connessione per il tuo server di posta.

Simulare il provisioning degli utenti

Hai completato la configurazione di GCDS. Per verificare che la configurazione funzioni come previsto, devi prima salvarla su disco e poi simulare un'esecuzione del provisioning dell'utente. Durante la simulazione, GCDS non esegue alcuna modifica all'account Cloud Identity o Google Workspace, ma segnala le modifiche che eseguirebbe durante una normale esecuzione del provisioning.

1. In Configuration Manager, fai clic su Sync (Sincronizza).
2. Nella parte inferiore dello schermo, seleziona Svuota cache, quindi fai clic su Simula sincronizzazione.
3. Al termine del processo, esamina la sezione Modifiche proposte del log visualizzata nella metà inferiore della finestra di dialogo e verifica che non siano presenti modifiche indesiderate come l'eliminazione o la sospensione di utenti o gruppi.

Provisioning iniziale degli utenti

Ora puoi attivare il provisioning iniziale degli utenti:

Attiva l'esecuzione di un provisioning come segue:

1. In Configuration Manager, fai clic su Sync (Sincronizza).

2. Nella parte inferiore dello schermo, seleziona Svuota cache, quindi fai clic su Sincronizza e applica modifiche.

   Viene visualizzata una finestra di dialogo che mostra lo stato.

3. Al termine del processo, controlla il log visualizzato nella metà inferiore della finestra di dialogo:

   1. In Modifiche utente riuscite, verifica che sia stato creato almeno un utente.
   2. In Errori, verifica che non si siano verificati errori.

Programmazione

Per assicurarti che le modifiche eseguite in Active Directory vengano propagate al tuo account Cloud Identity o Google Workspace, configura un'attività pianificata che attivi un'esecuzione del provisioning ogni ora:

1. Apri una console PowerShell come amministratore.

2. Controlla se il modulo di Active Directory PowerShell è disponibile nel sistema:

   import-module ActiveDirectory

   Se il comando non riesce, scarica e installa gli Strumenti di amministrazione del server remoto e riprova.

3. In Blocco note, crea un file, copia al suo interno il contenuto seguente e salva il file in %ProgramData%\gcds\sync.ps1. Al termine, chiudi il file.

   [CmdletBinding()]
   Param(
       [Parameter(Mandatory=$True)]
       [string]$config,
   
       [Parameter(Mandatory=$True)]
       [string]$gcdsInstallationDir
   )
   
   import-module ActiveDirectory
   
   # Stop on error.
   $ErrorActionPreference ="stop"
   
   # Ensure it's an absolute path.
   $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
   
   # Discover closest GC in current domain.
   $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
   Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
   
   # Load XML and replace the endpoint.
   $dom = [xml](Get-Content $rawConfigPath)
   $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
   
   # Tweak the endpoint.
   $ldapConfigNode.hostname = [string]$dc.HostName
   $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
   $ldapConfigNode.port = "3268"   # Always use GC port
   
   # Tweak the tsv files location
   $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
   $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
   $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
   
   # Save resulting config.
   $targetConfigPath = $rawConfigPath + ".autodiscover"
   
   $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
   $dom.Save($writer)
   $writer.Close()
   
   # Start provisioning.
   Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
       -Wait -ArgumentList "--apply --config ""$targetConfigPath"""
   

4. Configuration Manager ha creato una chiave secret per criptare le credenziali nel file di configurazione. Per assicurarti che GCDS possa continuare a leggere la configurazione quando viene eseguita come attività pianificata, esegui questi comandi per copiare la chiave segreta dal tuo profilo al profilo di NT AUTHORITY\LOCAL SERVICE:

   New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
   Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
       -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
   

   Se i comandi non funzionano, assicurati di aver avviato la console di PowerShell come amministratore.

5. Crea un'attività pianificata eseguendo questi comandi. L'attività pianificata verrà attivata ogni ora e richiama lo script sync.ps1 come NT AUTHORITY\LOCAL SERVICE.

   $taskName = "Synchronize to Cloud Identity"
   $gcdsDir = "$Env:ProgramData\gcds"
   
   $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
     -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
     -WorkingDirectory $gcdsDir
   $trigger = New-ScheduledTaskTrigger `
     -Once `
     -At (Get-Date) `
     -RepetitionInterval (New-TimeSpan -Minutes 60) `
     -RepetitionDuration (New-TimeSpan -Days (365 * 20))
   
   $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
   Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
   
   $task = Get-ScheduledTask -TaskName "$taskName"
   $task.Settings.ExecutionTimeLimit = "PT12H"
   Set-ScheduledTask $task
   

Per maggiori informazioni, vedi Pianificare le sincronizzazioni automatiche.

Test del provisioning degli utenti

Hai completato l'installazione e la configurazione di GCDS e l'attività pianificata attiverà un'esecuzione del provisioning ogni ora.

Per attivare manualmente un provisioning, passa alla console di PowerShell ed esegui questo comando:

Start-ScheduledTask "Synchronize to Cloud Identity"