In diesem Artikel erfahren Sie, wie Sie mithilfe von Google Cloud Directory Sync (GCDS) die Nutzer- und Gruppenbereitstellung zwischen Active Directory und Ihrem Cloud Identity- oder Google Workspace-Konto einrichten.
Um dieser Anleitung folgen zu können, benötigen Sie einen Active Directory-Nutzer, der zum Verwalten von Nutzern und Gruppen in Active Directory berechtigt ist. Wenn Sie noch kein Cloud Identity- oder Google Workspace-Konto haben, benötigen Sie Administratorzugriff auf Ihre DNS-Zone, um Domains zu bestätigen. Wenn Sie bereits ein Cloud Identity- oder Google Workspace-Konto haben, achten Sie darauf, dass Ihr Nutzer Super Admin-Berechtigungen hat.
Lernziele
- Installieren Sie GCDS und verbinden Sie es mit Active Directory, Cloud Identity oder Google Workspace.
- Konfigurieren Sie GCDS, um Nutzer und optional Gruppen in Google Cloud bereitzustellen.
- Richten Sie eine geplante Aufgabe für die kontinuierliche Bereitstellung ein.
Kosten
Wenn Sie die kostenlose Version von Cloud Identity verwenden, werden keine kostenpflichtigen Google Cloud-Komponenten verwendet, wenn Sie dieser Anleitung folgen.
Hinweise
- Machen Sie sich damit vertraut, wie die Active Directory-Identitätsverwaltung auf Google Cloud erweitert wird.
Legen Sie fest, wie Identitäten, Gruppen und Domains zugeordnet werden sollen. Beantworten Sie insbesondere die folgenden Fragen:
- Welche DNS-Domain möchten Sie als primäre Domain für Cloud Identity oder Google Workspace verwenden? Welche zusätzlichen DNS-Domains möchten Sie als sekundäre Domains verwenden?
- Brauchen Sie Domainsubstitution?
- Möchten Sie die E-Mail-Adresse (
mail
) oder den User Principal Name (userPrincipalName
) als allgemeine Kennzeichnungen für Nutzer verwenden? - Möchten Sie Gruppen bereitstellen und wenn ja, möchten Sie den allgemeinen Namen (
cn
) oder die E-Mail-Adresse (mail
) als allgemeine Kennzeichnungen für Gruppen verwenden?
Hilfe bei diesen Entscheidungen finden Sie im Übersichtsdokument zum Erweitern der Active Directory-Identitäts- und Zugriffsverwaltung auf Google Cloud.
Bevor Sie ihr Active Directory in der Produktion mit Google Cloud verbinden, wird empfohlen, eine Active Directory-Testumgebung zum Einrichten und Testen der Nutzerverwaltung zu verwenden.
Registrieren Sie sich für Cloud Identity, wenn Sie noch kein Konto haben, und fügen Sie bei Bedarf weitere DNS-Domains hinzu.
Wenn Sie die kostenlose Version von Cloud Identity verwenden und mehr als 50 Nutzer verwalten möchten, beantragen Sie über den Support eine Erhöhung der Gesamtzahl der kostenlosen Cloud Identity-Nutzer.
Wenn Domains, die Sie für Cloud Identity verwenden möchten, möglicherweise von Mitarbeitern zum Registrieren von Privatnutzerkonten verwendet wurden, sollten Sie diese Konten zuerst migrieren. Weitere Informationen finden Sie unter Vorhandene Nutzerkonten bewerten.
GCDS-Bereitstellung planen
In den folgenden Abschnitten wird beschrieben, wie Sie die Bereitstellung von GCDS planen.
Bereitstellungsort für GCDS festlegen
GCDS kann Nutzer und Gruppen aus einem LDAP-Verzeichnis für Cloud Identity oder Google Workspace bereitstellen. GCDS vermittelt zwischen dem LDAP-Server und Cloud Identity oder Google Workspace und fragt das LDAP-Verzeichnis ab, um die erforderlichen Informationen daraus abzurufen. Außerdem verwendet es die Directory API, um Nutzer in Ihrem Cloud Identity- oder Google Workspace-Konto hinzuzufügen, zu ändern oder zu löschen.
Active Directory Domain Services basiert auf LDAP. Darum eignet sich GCDS gut dazu, die Nutzerbereitstellung zwischen Active Directory und Cloud Identity oder Google Workspace zu implementieren.
Wenn Sie eine lokale Active Directory-Infrastruktur mit Google Cloud verbinden, können Sie GCDS entweder lokal oder in Google Cloud auf einer virtuellen Maschine von Compute Engine ausführen. Aus den folgenden Gründen empfiehlt es sich meist, GCDS lokal auszuführen:
- Die von Active Directory verwalteten Informationen enthalten personenbezogene Daten und werden normalerweise vertraulich behandelt. Deshalb möchten Sie wahrscheinlich nicht, dass von außerhalb des lokalen Netzwerks auf Active Directory zugegriffen werden kann.
- Standardmäßig verwendet Active Directory unverschlüsseltes LDAP. Wenn Sie von Google Cloud aus per Fernzugriff Active Directory verwenden, sollten Sie verschlüsselte Kommunikation nutzen. Sie können die Verbindung mithilfe von LDAPS (LDAP + SSL) oder Cloud VPN verschlüsseln.
- Die Kommunikation zwischen GCDS und Cloud Identity oder Google Workspace erfolgt über HTTPS und erfordert nur geringfügige oder keine Änderungen an der Firewallkonfiguration.
Sie können GCDS entweder unter Windows oder unter Linux ausführen. Obwohl es möglich ist, GCDS auf dem Domaincontroller bereitzustellen, sollten Sie es auf einem separaten Computer ausführen. Dieser Computer muss die Systemanforderungen erfüllen und LDAP-Zugriff auf Active Directory haben. Es ist zwar nicht notwendig, dass der Computer einer Domain angehört oder dass auf ihm Windows ausgeführt wird. Es wird aber davon ausgegangen, dass Cloud Directory Sync auf einem Windows-Computer mit Domainzugehörigkeit ausgeführt wird.
GCDS enthält eine grafische Benutzeroberfläche (Graphical User Interface, GUI) namens Configuration Manager, um Sie beim Einrichten der Bereitstellung zu unterstützen. Wenn der Server, auf dem Sie GCDS ausführen möchten, eine Desktopdarstellung bietet, können Sie Configuration Manager auf dem Server selbst ausführen. Andernfalls müssen Sie den Konfigurationsmanager lokal ausführen und dann die resultierende Konfigurationsdatei auf den Server kopieren. Dort können Sie damit GCDS ausführen. In diesem Leitfaden wird davon ausgegangen, dass Sie den Configuration Manager auf einem Server mit einer GUI ausführen.
Entscheiden, wo Daten abgerufen werden sollen
GCDS verwendet LDAP, um mit Active Directory zu interagieren und Informationen zu Nutzern und Gruppen abzurufen. Sie müssen in GCDS einen Hostnamen und einen Port in der Konfiguration angeben, um diese Interaktion zu ermöglichen. In einer kleinen Active Directory-Umgebung, in der nur ein einziger globaler Katalogserver (GC) ausgeführt wird, stellt die Angabe eines Hostnamens und eines Ports kein Problem dar, da Sie GCDS direkt auf den globalen Katalogserver verweisen können.
In einer komplexeren Umgebung, in der redundante globale Katalogserver (Global Catalog, GC) ausgeführt werden, wird beim Verweis von GCDS auf einen einzelnen Server die Redundanz nicht genutzt. Daher ist dies nicht ideal. Es ist zwar möglich, einen Load-Balancer einzurichten, der LDAP-Abfragen auf mehrere globale Katalogserver verteilt und Server erfasst, die eventuell vorübergehend nicht verfügbar sind. Es empfiehlt sich aber, Server mit dem DC-Locator dynamisch zu lokalisieren.
GCDS setzt standardmäßig voraus, dass Sie den Endpunkt eines LDAP-Servers explizit angeben. Die Verwendung des DC-Locators wird nicht unterstützt. In dieser Anleitung ergänzen Sie GCDS um ein kleines PowerShell-Skript, das den DC-Locator nutzt, damit Sie Endpunkte globaler Katalogserver nicht statisch konfigurieren müssen.
Cloud Identity- oder Google Workspace-Konto vorbereiten
In diesem Abschnitt wird beschrieben, wie Sie einen Nutzer für GCDS erstellen. Damit GCDS mit der Directory API und der Domain Shared Contacts API von Cloud Identity und Google Workspace interagieren kann, benötigt die Anwendung ein Nutzerkonto mit Administratorberechtigungen.
Bei der Registrierung für Cloud Identity oder Google Workspace haben Sie bereits einen Super Admin-Nutzer erstellt. Sie können diesen Nutzer zwar für GCDS verwenden, empfohlen wird jedoch, einen separaten Nutzer zu erstellen, der ausschließlich von Cloud Directory Sync verwendet wird:
- Öffnen Sie die Admin-Konsole und melden Sie sich mit dem Super Admin-Nutzer an, der bei der Registrierung für Cloud Identity oder Google Workspace erstellt wurde.
- Klicken Sie im Menü auf Verzeichnis > Nutzer und dann auf Neuen Nutzer hinzufügen, um einen Nutzer zu erstellen.
Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:
- Vorname:
Google Cloud
- Nachname:
Directory Sync
- Primäre E-Mail-Adresse:
cloud-directory-sync
Behalten Sie die primäre Domain in der E-Mail-Adresse bei, auch wenn die Domain nicht der Gesamtstruktur entspricht, aus der Sie die Bereitstellung vornehmen.
- Vorname:
Achten Sie darauf, dass Automatisch neues Passwort generieren auf Deaktiviert gesetzt ist. Geben Sie ein Passwort ein.
Achten Sie darauf, dass Bei der nächsten Anmeldung auffordern, das Passwort zu ändern auf Deaktiviert gesetzt ist.
Klicken Sie auf Neuen Nutzer hinzufügen.
Klicken Sie auf Fertig.
Damit GCDS Nutzerkonten und -gruppen erstellen, auflisten und löschen kann, benötigt der Nutzer zusätzliche Berechtigungen. Außerdem wird empfohlen, den Nutzer von der Einmalanmeldung (SSO) auszunehmen. Andernfalls können Sie GCDS möglicherweise nicht wieder autorisieren, wenn bei der Einmalanmeldung Probleme auftreten. Beides kann erreicht werden, indem der Nutzer als Super Admin festgelegt wird:
- Suchen Sie in der Liste den neu erstellten Nutzer und rufen Sie ihn auf.
- Klicken Sie unter Administratorrollen und -berechtigungen auf Rollen zuweisen.
- Aktivieren Sie die Rolle Super Admin.
- Klicken Sie auf Speichern.
Nutzerverwaltung konfigurieren
In den folgenden Abschnitten wird beschrieben, wie Sie die Nutzerbereitstellung konfigurieren.
Active Directory-Nutzer für GCDS erstellen
GCDS benötigt auch einen Domainnutzer mit ausreichenden Zugriffsberechtigungen, damit es Informationen über Nutzer und Gruppen aus Active Directory abrufen kann. Erstellen Sie einen dedizierten Nutzer für GCDS, statt einen vorhandenen Windows-Nutzer dafür zu verwenden:
Grafische Schnittstelle
- Öffnen Sie im Startmenü das MMC-Snap-in Active Directory-Nutzer und -Computer.
- Rufen Sie die Domain und die Organisationseinheit auf, in der Sie den Nutzer erstellen möchten. Wenn Ihre Gesamtstruktur mehrere Domains enthält, erstellen Sie den Nutzer in derselben Domain, in der sich auch der GCDS-Computer befindet.
- Klicken Sie mit der rechten Maustaste in den rechten Fensterbereich und wählen Sie Neu > Benutzer aus.
- Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:
- Vorname:
Google Cloud
- Nachname:
Directory Sync
- Benutzeranmeldename:
gcds
- Benutzeranmeldename (Prä-Windows 2000):
gcds
- Vorname:
- Klicken Sie auf Weiter.
- Geben Sie ein Passwort ein, das der Passwortrichtlinie entspricht.
- Deaktivieren Sie Benutzer muss Kennwort bei der nächsten Anmeldung ändern.
- Wählen Sie Kennwort läuft nie ab aus.
- Klicken Sie auf Weiter und dann auf Fertig stellen.
PowerShell
- Öffnen Sie eine PowerShell-Konsole als Administrator.
Erstellen Sie mit dem folgenden Befehl einen Nutzer:
New-ADUser -Name "Google Cloud Directory Sync" ` -GivenName "Google Cloud" ` -Surname "Directory Sync" ` -SamAccountName "gcds" ` -UserPrincipalName (-Join("gcds@",(Get-ADDomain).DNSRoot)) ` -AccountPassword(Read-Host -AsSecureString "Type password for User") ` -Enabled $True
Jetzt sind die Voraussetzungen für die Installation von GCDS erfüllt.
GCDS installieren
Laden Sie auf den Computer, auf dem Sie GCDS ausführen möchten, das Installationsprogramm für GCDS herunter und führen Sie es aus. Sie können das Installationsprogramm mit einem Browser herunterladen oder den folgenden PowerShell-Befehl verwenden:
(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")
Nachdem der Download abgeschlossen ist, können Sie mit dem folgenden Befehl den Installationsassistenten starten:
.\dirsync-win64.exe
Wenn GCDS schon installiert ist, können Sie GCDS aktualisieren, um zu gewährleisten, dass Sie die aktuelle Version verwenden.
Ordner für die GCDS-Konfiguration erstellen
GCDS speichert seine Konfiguration in einer XML-Datei. Da diese Konfiguration ein OAuth-Aktualisierungstoken enthält, das GCDS für die Authentifizierung bei Google verwendet, müssen Sie darauf achten, dass Sie den für die Konfiguration verwendeten Ordner effektiv schützen.
Und da GCDS auf keine anderen lokalen Ressourcen als diesen Ordner zugreifen muss, können Sie GCDS so konfigurieren, dass es als eingeschränkter Nutzer (LocalService) ausgeführt wird:
- Melden Sie sich auf dem Computer, auf dem Sie GCDS installiert haben, als lokaler Administrator an.
- Öffnen Sie eine PowerShell-Konsole mit Administratorberechtigungen.
Führen Sie die folgenden Befehle aus, um einen Ordner mit dem Namen
$Env:ProgramData\gcds
zum Speichern der Konfiguration zu erstellen und eine Access Control List (ACL) anzuwenden, damit nur GCDS und Administratoren Zugriff haben:$gcdsDataFolder = "$Env:ProgramData\gcds" New-Item -ItemType directory -Path $gcdsDataFolder &icacls "$gcdsDataFolder" /inheritance:r &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T &icacls "$gcdsDataFolder" /grant "BUILTIN\Administrators:(OI)(CI)F" /T &icacls "$gcdsDataFolder" /grant "Domain Admins:(OI)(CI)F" /T &icacls "$gcdsDataFolder" /grant "LOCAL SERVICE:(OI)(CI)F" /T
Führen Sie den Befehl
Write-Host $Env:ProgramData
aus, um den Speicherort des Ordners "ProgramData" zu ermitteln. Bei englischen Versionen von Windows lautet dieser Pfad normalerweisec:\ProgramData
. Sie benötigen diesen Pfad später.
Mit Google verbinden
Sie verwenden jetzt Configuration Manager, um die GCDS-Konfiguration vorzubereiten. Bei diesen Schritten wird davon ausgegangen, dass Sie Configuration Manager auf demselben Server ausführen, auf dem Sie GCDS ausführen möchten.
Wenn Sie Configuration Manager auf einem anderen Computer ausführen, kopieren Sie die Konfigurationsdatei anschließend auf den GCDS-Server. Beachten Sie, dass Sie die Konfiguration auf einem anderen Computer möglicherweise nicht testen können.
- Starten Sie den Configuration Manager. Sie finden ihn im Windows-Startmenü unter Google Cloud Directory Sync > Configuration Manager.
Klicken Sie auf Konfiguration der Google-Domain > Verbindungseinstellungen.
Autorisieren Sie GCDS und konfigurieren Sie Domaineinstellungen.
Klicken Sie im Menü auf Datei > Speichern unter.
Geben Sie im Dateidialogfeld
PROGRAM_DATA\gcds\config.xml
als Dateinamen ein. Ersetzen SiePROGRAM_DATA
durch den Pfad zum OrdnerProgramData
, den der PowerShell-Befehl zurückgegeben hat, als Sie ihn zuvor ausgeführt haben.Klicken Sie auf Save (Speichern) und dann auf OK.
Mit Active Directory verbinden
Im nächsten Schritt konfigurieren Sie GCDS für die Verbindung mit Active Directory:
- Klicken Sie im Konfigurationsmanager auf LDAP-Konfiguration) > Verbindungseinstellungen.
- Konfigurieren Sie die LDAP-Verbindungseinstellungen:
- Server Type (Servertyp): Wählen Sie MS Active Directory aus.
- Connection Type (Verbindungstyp): Wählen Sie entweder Standard LDAP oder LDAP+SSL aus.
- Hostname: Geben Sie den Namen eines GC-Servers ein. Diese Einstellung wird nur zum Testen verwendet. Später automatisieren Sie die Erkennung des GC-Servers.
- Port: 3268 (GC) oder 3269 (GC über SSL) Wenn Sie einen GCS Server anstelle eines Domain Controllers verwenden, achten Sie darauf, dass Sie Nutzer aus allen Domains Ihrer Active Directory-Gesamtstruktur bereitstellen können. Stellen Sie auch die Authentifizierung nach dem Microsoft ADV190023-Update sicher.
- Authentifizierungstyp: Einfach.
- Autorisierter Nutzer: Geben Sie den UPN des zuvor erstellten Domainnutzers ein:
gcds@UPN_SUFFIX_DOMAIN
. Ersetzen SieUPN_SUFFIX_DOMAIN
durch die entsprechende UPN-Suffixdomain für den Nutzer. Alternativ können Sie den Nutzer auch mit der SyntaxNETBIOS_DOMAIN_NAME\gcds
festlegen. - Base DN (Basis-DN): Lassen Sie dieses Feld leer, damit Suchvorgänge in allen Domains der Gesamtstruktur durchgeführt werden.
- Klicken Sie auf Test connection (Verbindung testen), um die Einstellungen zu überprüfen. Wenn die Verbindung fehlschlägt, prüfen Sie nochmals, ob Sie den Hostnamen eines GC-Servers angegeben haben und ob Nutzername und Passwort korrekt sind.
- Klicken Sie auf Schließen.
Entscheiden, was bereitgestellt werden soll
Nachdem Sie erfolgreich eine Verbindung zu GCDS hergestellt haben, können Sie festlegen, welche Elemente bereitgestellt werden sollen:
- Klicken Sie in Configuration Manager auf General Settings (Allgemeine Einstellungen).
- Achten Sie darauf, dass User Accounts (Nutzerkonten) ausgewählt ist.
- Wenn Sie Gruppen bereitstellen möchten, muss Groups (Gruppen) ausgewählt sein. Entfernen Sie andernfalls das Häkchen aus dem Kästchen.
- Das Synchronisieren von Organisationseinheiten wird in diesem Leitfaden nicht behandelt. Wählen Sie daher nicht die Option Organizational Units (Organisationseinheiten) aus.
- Wählen Sie weder User Profiles (Nutzerprofile) noch Custom Schemas (Benutzerdefinierte Schemas) aus.
Weitere Informationen finden Sie unter Was Sie bereitstellen möchten.
Nutzer bereitstellen
Um Nutzer bereitzustellen, konfigurieren Sie, wie Nutzer in Active Directory zugeordnet werden:
- Klicken Sie in Configuration Manager auf User Accounts (Nutzerkonten) > Additional User Attributes (Zusätzliche Nutzerattribute).
- Klicken Sie auf Use defaults (Standardeinstellungen verwenden), um als Attribute für Given Name (Vorname) und Family Name (Nachname) automatisch
givenName
undsn
einzugeben.
Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder Google Workspace-Nutzern zuzuordnen, und ob Sie Substitutionen von Domainnamen anwenden müssen. Wenn Sie sich nicht sicher sind, welche Option für Sie am besten geeignet ist, lesen Sie den Artikel dazu, wie die Active Directory-Identitätsverwaltung auf Google Cloud erweitert werden kann.
UPN
- Klicken Sie im Konfigurationsmanager auf Nutzerkonten > Nutzerattribute.
- Klicken Sie auf Standardeinstellungen verwenden.
- Ändern Sie Attribut für E-Mail-Adresse in
userPrincipalName
. - Klicken Sie auf
proxyAddresses
>Remove
, wenn Sie Aliasadressen nicht synchronisieren möchten. - Klicken Sie auf den Tab Suchregeln und dann auf Suchregel hinzufügen.
Geben Sie die folgenden Einstellungen ein:
- Scope (Bereich): Sub-tree (Unterstruktur).
Rule (Regel):
(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))
Diese Regel berücksichtigt alle nicht deaktivierten Nutzer, ignoriert jedoch Computer- und verwaltete Dienstkonten sowie das
gcds
-Nutzerkonto.Basis-DN: Lassen Sie das Feld leer, um alle Domains in der Gesamtstruktur zu durchsuchen.
Klicken Sie auf OK, um die Regel zu erstellen.
UPN: Domainersetzung
- Klicken Sie im Configuration Manager auf den Tab User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
- Klicken Sie auf Standardeinstellungen verwenden.
- Ändern Sie Email Address Attribute (Attribut für E-Mail-Adresse) in
userPrincipalName
. - Klicken Sie auf
proxyAddresses
>Remove
, wenn Sie Aliasadressen nicht synchronisieren möchten. - Klicken Sie auf den Tab Suchregeln und dann auf Suchregel hinzufügen.
Geben Sie die folgenden Einstellungen ein:
- Scope (Bereich): Sub-tree (Unterstruktur).
Rule (Regel):
(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))
Diese Regel berücksichtigt alle nicht deaktivierten Nutzer, ignoriert jedoch Computer- und verwaltete Dienstkonten sowie das
gcds
-Nutzerkonto.Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains innerhalb der Gesamtstruktur zu durchsuchen.
Klicken Sie auf OK, um die Regel zu erstellen.
Klicken Sie auf Konfiguration der Google-Domain > Verbindungseinstellungen und wählen Sie Domainnamen in LDAP-E-Mail-Adressen von Nutzern und Gruppen durch diesen Domainnamen ersetzen aus.
- Klicken Sie im Konfigurationsmanager auf Nutzerkonten > Nutzerattribute.
- Klicken Sie auf Standardeinstellungen verwenden.
- Klicken Sie auf den Tab Suchregeln und dann auf Suchregel hinzufügen.
Geben Sie die folgenden Einstellungen ein:
- Scope (Bereich): Sub-tree (Unterstruktur).
Rule (Regel):
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Diese Regel trifft gilt für alle nicht deaktivierten Nutzer mit einer nicht leeren E-Mail-Adresse, aber nicht für Computer- und verwaltete Dienstkonten.
Basis-DN: Lassen Sie das Feld leer, um alle Domains in der Gesamtstruktur zu durchsuchen.
Klicken Sie auf OK, um die Regel zu erstellen.
E-Mail: Domainsubstitution
- Klicken Sie im Konfigurationsmanager auf Nutzerkonten > Nutzerattribute.
- Klicken Sie auf Standardeinstellungen verwenden.
- Klicken Sie auf
proxyAddresses
>Remove
, wenn Sie Aliasadressen nicht synchronisieren möchten. - Klicken Sie auf den Tab Suchregeln und dann auf Standardeinstellungen verwenden.
- Klicken Sie auf Konfiguration der Google-Domain > Verbindungseinstellungen und wählen Sie Domainnamen in LDAP-E-Mail-Adressen von Nutzern und Gruppen durch diesen Domainnamen ersetzen aus.
Weitere Informationen zum Zuordnen von Nutzerattributen finden Sie unter Synchronisierung mit Configuration Manager einrichten.
Löschrichtlinie
Bisher ging es bei der Konfiguration vor allem darum, Nutzer in Cloud Identity oder Google Workspace hinzuzufügen und zu aktualisieren. In Active Directory gesperrte oder gelöschte Nutzer müssen aber auch in Cloud Identity oder Google Workspace gesperrt oder gelöscht werden.
Im Rahmen des Bereitstellungsprozesses generiert GCDS eine Liste der Nutzer in Cloud Identity oder Google Workspace, die keine entsprechenden Übereinstimmungen in den Active Directory-LDAP-Abfrageergebnissen haben. Da die LDAP-Abfrage die Klausel (!(userAccountControl:1.2.840.113556.1.4.803:=2))
enthält, werden alle Nutzer, die seit der letzten Bereitstellung in Active Directory gesperrt oder gelöscht wurden, in diese Liste aufgenommen. Standardmäßig werden diese Nutzer in Cloud Identity oder Google Workspace gelöscht. Sie können dieses Verhalten jedoch anpassen:
- Klicken Sie im Konfigurationsmanager auf Nutzerkonten > Nutzerattribute.
- Unter Google Domain Users Deletion/Suspension Policy (Richtlinie für das Löschen/Sperren von Google-Domainnutzern) muss die Option Richtlinie für das Löschen/Sperren von Google-Domainnutzern (Google-Domainadministratoren, die nicht in LDAP gefunden wurden, nicht sperren oder löschen) angeklickt sein. Dadurch wird sichergestellt, dass GCDS den Super Admin-Nutzer, den Sie zur Konfiguration Ihres Cloud Identity- oder Google Workspace-Kontos verwendet haben, nicht sperrt oder löscht.
- Ändern Sie optional die Löschrichtlinie für Nutzer ohne Administratorberechtigungen.
Wenn Sie mehrere separate GCDS-Instanzen verwenden, um verschiedene Domains oder Gesamtstrukturen für ein einziges Cloud Identity- oder Google Workspace-Konto bereitzustellen, achten Sie darauf, dass die verschiedenen GCDS-Instanzen sich nicht gegenseitig beeinträchtigen. Standardmäßig werden Nutzer in Cloud Identity oder Google Workspace, die aus einer anderen Quelle bereitgestellt wurden, in Active Directory fälschlicherweise als gelöscht identifiziert. Zur Vermeidung dieser Situation können Sie alle Nutzer, die sich außerhalb des Bereichs der Domain oder Gesamtstruktur befinden, von der aus Sie die Bereitstellung vornehmen, in eine einzelne Organisationseinheit verschieben. Anschließend können Sie diese Organisationseinheit ausschließen.
- Klicken Sie im Konfigurationsmanager auf Google Domain-Konfiguration > Ausschlussregeln.
- Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
Legen Sie folgende Einstellungen fest:
- Typ: Organisation – vollständiger Pfad
- Match Type (Übereinstimmungstyp): Exact Match (Genaue Übereinstimmung).
Ausschlussregel: Geben Sie den OE-Pfad und den Namen ein. Beispiel:
ROOT OU/EXCLUDED OU
Ersetzen Sie
ROOT OU/EXCLUDED OU
durch den OE-Pfad und den Namen der ausgeschlossenen Organisationseinheit.
Klicken Sie auf OK, um die Regel zu erstellen.
Wenn eine einzelne Organisationseinheit nicht zu Ihrem Unternehmen passt, können Sie alternativ die Domain oder Gesamtstruktur anhand der E-Mail-Adressen von Nutzern ausschließen.
UPN
- Klicken Sie im Konfigurationsmanager auf Google Domain-Konfiguration > Ausschlussregeln.
- Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
Legen Sie folgende Einstellungen fest:
- Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
- Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:
.*@((?!UPN_SUFFIX_DOMAIN).*)$
Ersetzen SieUPN_SUFFIX_DOMAIN
durch die UPN-Suffixdomain. Beispiel:.*@((?!corp.example.com).*)$
Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:
.*@((?!corp.example.com|branch.example.com).*)$
Klicken Sie auf OK, um die Regel zu erstellen.
UPN: Domainersetzung
- Klicken Sie im Konfigurationsmanager auf Google Domain-Konfiguration > Ausschlussregeln.
- Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
Legen Sie folgende Einstellungen fest:
- Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
- Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:
.*@((?!SUBSTITUTION_DOMAIN).*)$
Ersetzen Sie
SUBSTITUTION_DOMAIN
durch die Domain, durch die Sie die UPN-Suffixdomain ersetzen. Beispiel:.*@((?!corp.example.com).*)$
Klicken Sie auf OK, um die Regel zu erstellen.
- Klicken Sie im Konfigurationsmanager auf Google Domain-Konfiguration > Ausschlussregeln.
- Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
Legen Sie folgende Einstellungen fest:
- Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
- Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:
.*@((?!MX_DOMAIN).*)$
Ersetzen Sie
MX_DOMAIN
durch den Domainnamen, den Sie in E-Mail-Adressen verwenden. Beispiel:.*@((?!corp.example.com).*)$
Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:
.*@((?!corp.example.com|branch.example.com).*)$
Klicken Sie auf OK, um die Regel zu erstellen.
E-Mail: Domainsubstitution
- Klicken Sie im Konfigurationsmanager auf Google Domain-Konfiguration > Ausschlussregeln.
- Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
Legen Sie folgende Einstellungen fest:
- Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
- Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:
.*@((?!SUBSTITUTION_DOMAIN).*)$
Ersetzen Sie
SUBSTITUTION_DOMAIN
durch die Domain, durch die Sie die E-Mail-Domain ersetzen. Beispiel:.*@((?!corp.example.com).*)$
Klicken Sie auf OK, um die Regel zu erstellen.
Weitere Einzelheiten zu den Lösch- und Sperreinstellungen finden Sie unter Weitere Informationen zu den Optionen von Configuration Manager.
Gruppen bereitstellen
Im nächsten Schritt konfigurieren Sie, wie Gruppen zwischen Active Directory und Cloud Identity oder Google Workspace zugeordnet werden. Dieser Vorgang hängt davon ab, ob Sie Gruppen nach dem Klarnamen oder der E-Mail-Adresse zuordnen möchten.
Gruppenzuordnungen nach gemeinsamem Namen konfigurieren
Bestimmen Sie zuerst die Typen von Sicherheitsgruppen, die Sie bereitstellen möchten. Formulieren Sie anschließend eine geeignete LDAP-Abfrage. Die folgende Tabelle enthält einige häufig verwendete Abfragen.
Typ | LDAP-Abfrage |
---|---|
Lokale Domaingruppen | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)) |
Globale Gruppen | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)) |
Universelle Gruppen | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)) |
Globale und universelle Gruppen | (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))) |
Alle Gruppen | (objectCategory=group) |
Die Abfrage für globale Gruppen deckt auch in Active Directory definierte Gruppen ab, z. B. Domain Controller. Sie können diese Gruppen filtern, indem Sie die Suche anhand von Organisationseinheiten (Organizational Units, ou
) einschränken.
Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder Google Workspace-Nutzern zuzuordnen.
UPN
- Klicken Sie im Konfigurationsmanager auf Gruppen > Suchregeln.
- Klicken Sie auf Standardeinstellungen verwenden, um zwei Standardregeln hinzuzufügen.
- Klicken Sie auf das Symbol "Bearbeiten" der ersten Regel.
- Bearbeiten Sie das Feld Regel, um die LDAP-Abfrage zu ersetzen.
- Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
- Attribut für Gruppen-E-Mail-Adressen:
cn
- Attribut für die E-Mail-Adresse des Nutzers:
userPrincipalName
- Attribut für Gruppen-E-Mail-Adressen:
- Klicken Sie auf den Tab Prefix-Suffix (Präfix/Suffix).
Geben Sie im Feld Group Email Address (Gruppen-E-Mail-Adresse) die folgenden Einstellungen ein:
Suffix:
@PRIMARY_DOMAIN
, wobei Sie@PRIMARY_DOMAIN
durch die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos ersetzen. Die Einstellung erscheint zwar überflüssig, da GCDS die Domain automatisch anhängt. Sie müssen die Einstellung aber explizit angeben, um zu verhindern, dass mehrere GCDS-Instanzen Gruppenmitglieder löschen, die sie nicht hinzugefügt haben.Beispiel:
@example.com
Klicken Sie auf OK.
Klicken Sie auf das Kreuzsymbol der zweiten Regel, um diese Regel zu löschen.
- Klicken Sie im Konfigurationsmanager auf Gruppen > Suchregeln.
- Klicken Sie auf Use Defaults (Standardeinstellungen verwenden), um einige Standardregeln hinzuzufügen.
- Klicken Sie auf das Symbol "Bearbeiten" der ersten Regel.
- Bearbeiten Sie das Feld Regel, um die LDAP-Abfrage zu ersetzen.
- Bearbeiten Sie im Feld Gruppen die Option Attribut für Gruppen-E-Mail-Adressen, um die Einstellung
cn
einzugeben. - Klicken Sie auf OK.
Dieselben Einstellungen gelten auch, wenn Sie beim Zuordnen von Nutzern die Domainsubstitution verwendet haben.
Gruppenzuordnungen nach E-Mail-Adresse konfigurieren
Bestimmen Sie zuerst die Typen von Sicherheitsgruppen, die Sie bereitstellen möchten. Formulieren Sie anschließend eine geeignete LDAP-Abfrage. Die folgende Tabelle enthält einige häufig verwendete Abfragen.
Typ | LDAP-Abfrage |
---|---|
Lokale Domaingruppen mit E-Mail-Adresse | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*)) |
Globale Gruppen mit E-Mail-Adresse | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*)) |
Universelle Gruppen mit E-Mail-Adresse | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*)) |
Globale und universelle Gruppen mit E-Mail-Adresse | (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*)) |
Alle Gruppen mit E-Mail-Adresse | (&(objectCategory=group)(mail=*)) |
Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder Google Workspace-Nutzern zuzuordnen.
UPN
- Klicken Sie im Konfigurationsmanager auf Gruppen > Suchregeln.
- Klicken Sie auf Standardeinstellungen verwenden, um zwei Standardregeln hinzuzufügen.
- Klicken Sie auf das Symbol "Bearbeiten" der ersten Regel.
- Bearbeiten Sie das Feld Regel, um die LDAP-Abfrage zu ersetzen.
- Bearbeiten Sie im Feld Gruppen die Option Attribut für Nutzer-E-Mail-Name, um die Einstellung
userPrincipalName
einzugeben. - Klicken Sie auf OK.
- Klicken Sie auf das Kreuzsymbol der zweiten Regel, um diese Regel zu löschen.
- Klicken Sie im Konfigurationsmanager auf Gruppen > Suchregeln.
- Klicken Sie auf Use Defaults (Standardeinstellungen verwenden), um einige Standardregeln hinzuzufügen.
- Klicken Sie auf das Symbol "Bearbeiten" der ersten Regel.
- Bearbeiten Sie das Feld Regel, um die LDAP-Abfrage zu ersetzen.
- Klicken Sie auf OK.
- Klicken Sie auf das Kreuzsymbol der zweiten Regel, um diese Regel zu entfernen.
Wenn Sie die Option Domainnamen in LDAP-E-Mail-Adressen von Nutzern und Gruppen durch diesen Domainnamen ersetzen aktiviert haben, gilt dies auch für E-Mail-Adressen von Gruppen und Mitgliedern.
Löschrichtlinie
GCDS behandelt das Löschen von Gruppen ähnlich wie das Löschen von Nutzern. Wenn Sie mehrere separate GCDS-Instanzen verwenden, um verschiedene Domains oder Gesamtstrukturen für ein einziges Cloud Identity- oder Google Workspace-Konto bereitzustellen, achten Sie darauf, dass die verschiedenen GCDS-Instanzen sich nicht gegenseitig beeinträchtigen.
Standardmäßig wird ein Gruppenmitglied in Cloud Identity oder Google Workspace, das aus einer anderen Quelle bereitgestellt wurde, in Active Directory fälschlicherweise als gelöscht identifiziert. Zur Vermeidung dieser Situation können Sie GCDS so konfigurieren, dass alle Gruppenmitglieder ignoriert werden, die sich außerhalb des Bereichs der Domain oder Gesamtstruktur befinden, von der aus Sie die Bereitstellung vornehmen.
UPN
- Klicken Sie auf Konfiguration der Google-Domain > Ausschlussregeln.
- Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
Legen Sie folgende Einstellungen fest:
- Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
- Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:
.*@((?!UPN_SUFFIX_DOMAIN).*)$
Ersetzen Sie
UPN_SUFFIX_DOMAIN
durch Ihre UPN-Suffixdomain, wie im folgenden Beispiel gezeigt:.*@((?!corp.example.com).*)$
Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:
.*@((?!corp.example.com|branch.example.com).*)$
Klicken Sie auf OK, um die Regel zu erstellen.
UPN: Domainersetzung
- Klicken Sie auf Konfiguration der Google-Domain > Ausschlussregeln.
- Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
Legen Sie folgende Einstellungen fest:
- Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
- Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:
.*@((?!SUBSTITUTION_DOMAIN).*)$
Ersetzen Sie
SUBSTITUTION_DOMAIN
durch die Domain, durch die Sie die UPN-Suffixdomain ersetzen. Beispiel:.*@((?!corp.example.com).*)$
Klicken Sie auf OK, um die Regel zu erstellen.
- Klicken Sie auf Konfiguration der Google-Domain > Ausschlussregeln.
- Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
Legen Sie folgende Einstellungen fest:
- Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
- Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:
.*@((?!MX_DOMAIN).*)$
Ersetzen Sie
MX_DOMAIN
durch den Domainnamen, den Sie in E-Mail-Adressen verwenden, wie im folgenden Beispiel:.*@((?!corp.example.com).*)$
Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:
.*@((?!corp.example.com|branch.example.com).*)$
Klicken Sie auf OK, um die Regel zu erstellen.
E-Mail: Domainsubstitution
- Klicken Sie auf Konfiguration der Google-Domain > Ausschlussregeln.
- Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
Legen Sie folgende Einstellungen fest:
- Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
- Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:
.*@((?!SUBSTITUTION_DOMAIN).*)$
Ersetzen Sie
SUBSTITUTION_DOMAIN
durch die Domain, mit der Sie die E-Mail-Domain ersetzen, wie im folgenden Beispiel:.*@((?!corp.example.com).*)$
Klicken Sie auf OK, um die Regel zu erstellen.
Weitere Einzelheiten zu Gruppeneinstellungen finden Sie unter Weitere Informationen zu den Optionen von Configuration Manager.
Logging und Benachrichtigungen konfigurieren
Sie müssen GCDS regelmäßig ausführen, damit die Nutzer synchron bleiben. Damit sich die Aktivitäten von GCDS und mögliche Probleme verfolgen lassen, können Sie steuern, wie und wann GCDS eine Logdatei schreibt:
- Klicken Sie im Configuration Manager auf Logging.
- Legen Sie Dateiname auf
PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log
fest. Ersetzen SiePROGRAM_DATA
durch den Pfad zum OrdnerProgramData
, den der PowerShell-Befehl zurückgegeben hat, als Sie ihn zuvor ausgeführt haben. Klicken Sie auf Datei > Speichern, um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.
Zusätzlich zum Logging kann GCDS Benachrichtigungen per E-Mail senden. Klicken Sie auf Benachrichtigungen und geben Sie die Verbindungsinformationen für Ihren Mail-Server an, um diesen Dienst zu aktivieren.
Nutzerverwaltung simulieren
Die GCDS-Konfiguration ist nun abgeschlossen. Wenn Sie prüfen möchten, ob die Konfiguration ordnungsgemäß funktioniert, müssen Sie die Konfiguration zuerst auf dem Laufwerk speichern und dann eine Nutzerbereitstellung simulieren. Während der Simulation nimmt GCDS keine Änderungen an Ihrem Cloud Identity- oder Google Workspace-Konto vor, sondern meldet stattdessen, welche Änderungen während einer regulären Bereitstellung ausgeführt würden.
- Klicken Sie im Konfigurationsmanager auf Synchronisierung.
- Wählen Sie unten auf dem Bildschirm Cache leeren aus und klicken Sie dann auf Synchronisierung simulieren.
- Prüfen Sie nach Abschluss des Vorgangs im Abschnitt Vorgeschlagene Änderungen des Logs, der in der unteren Hälfte des Dialogfelds angezeigt wird, ob es unerwünschte Änderungen gibt, wie z. B. das Löschen oder Sperren von Nutzern oder Gruppen.
Erste Nutzerverwaltung
Sie können jetzt die erste Nutzerverwaltung auslösen:
Warnungen
- Wenn Sie die Nutzerverwaltung auslösen, werden Nutzer und Gruppen in Ihrem Cloud Identity- oder Google Workspace-Konto dauerhaft geändert.
- Wenn Sie eine große Anzahl von zu verwaltenden Nutzern haben, sollten Sie die LDAP-Abfrage eventuell vorübergehend ändern, damit nur ein Teil dieser Nutzer berücksichtigt wird. Mit dieser Untergruppe von Nutzern können Sie dann den Vorgang testen und bei Bedarf Einstellungen anpassen. Nachdem Sie die Ergebnisse überprüft haben, ändern Sie die LDAP-Abfrage zurück und verwalten Sie die verbleibenden Nutzer.
- Vermeiden Sie es, beim Testen mehrmals eine große Anzahl von Nutzern zu ändern oder zu löschen, da dies als missbräuchliches Verhalten gewertet werden kann.
So lösen Sie eine Bereitstellung aus:
- Klicken Sie im Konfigurationsmanager auf Synchronisierung.
Wählen Sie am unteren Bildschirmrand Clear Cache (Cache leeren) aus und klicken Sie dann auf Sync & apply changes (Synchronisieren und Änderungen übernehmen).
Ein Dialogfeld mit dem Status wird angezeigt.
Überprüfen Sie nach Abschluss des Vorgangs das Log, das in der unteren Hälfte des Dialogfelds angezeigt wird:
- Achten Sie unter Successful user changes (Erfolgreiche Nutzeränderungen) darauf, dass mindestens ein Nutzer erstellt wurde.
- Achten Sie unter Failures (Fehler) darauf, dass keine Fehler aufgetreten sind.
Bereitstellung planen
Um sicherzustellen, dass in Active Directory vorgenommene Änderungen an Ihr Cloud Identity- oder Google Workspace-Konto weitergegeben werden, richten Sie eine geplante Aufgabe ein, die stündlich eine Bereitstellung ausführt:
- Öffnen Sie eine PowerShell-Konsole als Administrator.
Prüfen Sie, ob das Active Directory-PowerShell-Modul auf dem System verfügbar ist:
import-module ActiveDirectory
Wenn der Befehl fehlschlägt, laden Sie die Remoteserver-Verwaltungstools herunter, installieren Sie sie und versuchen Sie es noch einmal.
Erstellen Sie in Notepad eine Datei, kopieren Sie den folgenden Inhalt hinein und speichern Sie die Datei unter
%ProgramData%\gcds\sync.ps1
. Wenn Sie fertig sind, schließen Sie die Datei.[CmdletBinding()] Param( [Parameter(Mandatory=$True)] [string]$config, [Parameter(Mandatory=$True)] [string]$gcdsInstallationDir ) import-module ActiveDirectory # Stop on error. $ErrorActionPreference ="stop" # Ensure it's an absolute path. $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config) # Discover closest GC in current domain. $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain) # Load XML and replace the endpoint. $dom = [xml](Get-Content $rawConfigPath) $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config") # Tweak the endpoint. $ldapConfigNode.hostname = [string]$dc.HostName $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName $ldapConfigNode.port = "3268" # Always use GC port # Tweak the tsv files location $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config") $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv") $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv") # Save resulting config. $targetConfigPath = $rawConfigPath + ".autodiscover" $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False))) $dom.Save($writer) $writer.Close() # Start provisioning. Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" ` -Wait -ArgumentList "--apply --config ""$targetConfigPath"""
Configuration Manager hat einen geheimen Schlüssel zum Verschlüsseln der Anmeldedaten in der Konfigurationsdatei erstellt. Achten Sie darauf, dass GCDS die Konfiguration auch dann lesen kann, wenn sie als geplante Aufgabe ausgeführt wird. Führen Sie dazu die folgenden Befehle aus, um diesen geheimen Schlüssel aus Ihrem eigenen Profil in das Profil von
NT AUTHORITY\LOCAL SERVICE
zu kopieren:New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force; Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util ` -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
Wenn die Befehle fehlschlagen, prüfen Sie, ob Sie die PowerShell-Konsole als Administrator gestartet haben.
Erstellen Sie mit den folgenden Befehlen eine geplante Aufgabe. Diese wird stündlich ausgelöst und ruft das Skript
sync.ps1
alsNT AUTHORITY\LOCAL SERVICE
auf.$taskName = "Synchronize to Cloud Identity" $gcdsDir = "$Env:ProgramData\gcds" $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' ` -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" ` -WorkingDirectory $gcdsDir $trigger = New-ScheduledTaskTrigger ` -Once ` -At (Get-Date) ` -RepetitionInterval (New-TimeSpan -Minutes 60) ` -RepetitionDuration (New-TimeSpan -Days (365 * 20)) $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName $task = Get-ScheduledTask -TaskName "$taskName" $task.Settings.ExecutionTimeLimit = "PT12H" Set-ScheduledTask $task
Weitere Informationen finden Sie unter Automatische Synchronisierungen planen.
Nutzerverwaltung testen
Sie haben die Installation und Konfiguration von GCDS abgeschlossen und die geplante Aufgabe löst stündlich eine Bereitstellung aus.
Wechseln Sie zur PowerShell-Konsole und führen Sie den folgenden Befehl aus, um eine Bereitstellung manuell auszulösen:
Start-ScheduledTask "Synchronize to Cloud Identity"
Bereinigen
Führen Sie die folgenden Schritte aus, um GCDS zu entfernen:
- Öffnen Sie die Windows-Systemsteuerung und klicken Sie auf Programme > Programm deinstallieren.
- Wählen Sie Google Cloud Directory Sync aus und klicken Sie auf Deinstallieren/ändern, um den Deinstallationsassistenten zu starten. Folgen Sie dann der Anleitung des Assistenten.
Öffnen Sie eine PowerShell-Konsole und führen Sie den folgenden Befehl aus, um die geplante Aufgabe zu entfernen:
$taskName = "Synchronize to Cloud Identity" Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
Löschen Sie die Konfigurations- und Logdateien mit dem folgenden Befehl:
Remove-Item -Recurse -Force "$Env:ProgramData\gcds" Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
Nächste Schritte
- Einmalanmeldung (SSO) zwischen Active Directory und Google Cloud konfigurieren
- Mehr erfahren Sie unter Best Practices für GCDS und in den häufig gestellten Fragen.
- So beheben Sie gängige GCDS-Probleme.
- Best Practices für die Planung von Konten und Organisationen und Best Practices für die Verbindung von Google Cloud mit einem externen Identitätsanbieter
- Machen Sie sich mit unseren Best Practices für die Verwaltung von Super Admin-Konten vertraut.