Active Directory-Nutzerkonten bereitstellen

In diesem Artikel erfahren Sie, wie Sie mithilfe von Google Cloud Directory Sync (GCDS) die Nutzer- und Gruppenbereitstellung zwischen Active Directory und Ihrem Cloud Identity- oder Google Workspace-Konto einrichten.

Um dieser Anleitung folgen zu können, benötigen Sie einen Active Directory-Nutzer, der zum Verwalten von Nutzern und Gruppen in Active Directory berechtigt ist. Wenn Sie noch kein Cloud Identity- oder Google Workspace-Konto haben, benötigen Sie Administratorzugriff auf Ihre DNS-Zone, um Domains zu bestätigen. Wenn Sie bereits ein Cloud Identity- oder Google Workspace-Konto haben, achten Sie darauf, dass Ihr Nutzer Super Admin-Berechtigungen hat.

Ziele

  • Installieren Sie GCDS und verbinden Sie es mit Active Directory, Cloud Identity oder Google Workspace.
  • Konfigurieren Sie GCDS, um Nutzer und optional Gruppen in Google Cloud bereitzustellen.
  • Registrieren Sie eine geplante Aufgabe für die kontinuierliche Bereitstellung.

Kosten

Mit der kostenlosen Version von Cloud Identity werden keine kostenpflichtigen Komponenten von Google Cloud verwendet, wenn Sie dieser Anleitung folgen.

Hinweis

GCDS-Bereitstellung planen

Bereitstellungsort für GCDS festlegen

GCDS kann Nutzer und Gruppen aus einem LDAP-Verzeichnis für Cloud Identity oder Google Workspace bereitstellen. GCDS vermittelt zwischen dem LDAP-Server und Cloud Identity oder Google Workspace und fragt das LDAP-Verzeichnis ab, um die erforderlichen Informationen daraus abzurufen. Außerdem verwendet es die Directory API, um Nutzer in Ihrem Cloud Identity- oder Google Workspace-Konto hinzuzufügen, zu ändern oder zu löschen.

Active Directory Domain Services basiert auf LDAP. Darum eignet sich GCDS gut dazu, die Nutzerbereitstellung zwischen Active Directory und Cloud Identity oder Google Workspace zu implementieren.

Wenn Sie eine lokale Active Directory-Infrastruktur mit Google Cloud verbinden, können Sie GCDS entweder lokal oder in Google Cloud auf einer virtuellen Maschine von Compute Engine ausführen. Aus den folgenden Gründen empfiehlt es sich meist, GCDS lokal auszuführen:

  • Die von Active Directory verwalteten Informationen enthalten personenbezogene Daten und werden normalerweise vertraulich behandelt. Deshalb möchten Sie wahrscheinlich nicht, dass von außerhalb des lokalen Netzwerks auf Active Directory zugegriffen werden kann.
  • Standardmäßig verwendet Active Directory unverschlüsseltes LDAP. Wenn Sie von Google Cloud aus per Fernzugriff Active Directory verwenden, sollten Sie verschlüsselte Kommunikation nutzen. Sie können die Verbindung mithilfe von LDAP(s) oder Cloud VPN verschlüsseln, wodurch jedoch die Komplexität der Einrichtung erhöht wird.
  • Die Kommunikation zwischen GCDS und Cloud Identity oder Google Workspace erfolgt über HTTPS und erfordert nur geringfügige oder keine Änderungen an der Firewallkonfiguration.

Sie können GCDS entweder unter Windows oder unter Linux ausführen. Obwohl es möglich ist, GCDS auf dem Domaincontroller bereitzustellen, sollten Sie es auf einem separaten Computer ausführen. Dieser Computer muss die Systemanforderungen erfüllen und LDAP-Zugriff auf Active Directory haben. Es ist zwar nicht notwendig, dass der Computer einer Domain angehört oder dass auf ihm Windows ausgeführt wird. Es wird aber davon ausgegangen, dass Cloud Directory Sync auf einem Windows-Computer mit Domainzugehörigkeit ausgeführt wird.

GCDS enthält eine grafische Benutzeroberfläche (Graphical User Interface, GUI) namens Configuration Manager, um Sie beim Einrichten der Bereitstellung zu unterstützen. Wenn der Server, auf dem Sie GCDS ausführen möchten, eine Desktopdarstellung bietet, können Sie Configuration Manager auf dem Server selbst ausführen. Andernfalls müssen Sie den Konfigurationsmanager lokal ausführen und dann die resultierende Konfigurationsdatei auf den Server kopieren. Dort können Sie damit GCDS ausführen. In diesem Leitfaden wird davon ausgegangen, dass Sie den Configuration Manager auf einem Server mit einer GUI ausführen.

Quelle für Datenabruf festlegen

GCDS verwendet LDAP, um mit Active Directory zu interagieren und Informationen zu Nutzern und Gruppen abzurufen. Sie müssen in GCDS einen Hostnamen und einen Port in der Konfiguration angeben, um diese Interaktion zu ermöglichen. In einer kleinen Active Directory-Umgebung, in der nur ein einziger globaler Katalogserver ausgeführt wird, stellt die Angabe eines Hostnamens und eines Ports kein Problem dar, da Sie GCDS direkt auf den globalen Katalogserver verweisen können.

In einer komplexeren Umgebung, in der redundante globale Katalogserver ausgeführt werden, wird beim Verweis von GCDS auf einen einzelnen Server die Redundanz nicht genutzt. Daher ist dies nicht ideal. Es ist zwar möglich, einen Load-Balancer einzurichten, der LDAP-Abfragen auf mehrere globale Katalogserver verteilt und Server erfasst, die eventuell vorübergehend nicht verfügbar sind. Es empfiehlt sich aber, Server mit dem DC-Locator dynamisch zu lokalisieren.

GCDS setzt standardmäßig voraus, dass Sie den Endpunkt eines LDAP-Servers explizit angeben. Die Verwendung des DC-Locators wird nicht unterstützt. In dieser Anleitung ergänzen Sie GCDS um ein kleines PowerShell-Skript, das den DC-Locator nutzt, damit Sie Endpunkte globaler Katalogserver nicht statisch konfigurieren müssen.

Cloud Identity- oder Google Workspace-Konto vorbereiten

Nutzer für GCDS erstellen

Damit GCDS mit der Directory API und der Domain Shared Contacts API von Cloud Identity und Google Workspace interagieren kann, benötigt die Anwendung ein Nutzerkonto mit Administratorberechtigungen.

Bei der Registrierung für Cloud Identity oder Google Workspace haben Sie bereits einen Super Admin-Nutzer erstellt. Sie können diesen Nutzer zwar für GCDS verwenden, empfohlen wird jedoch, einen separaten Nutzer zu erstellen, der ausschließlich von Cloud Directory Sync verwendet wird:

  1. Öffnen Sie die Admin-Konsole und melden Sie sich mit dem Super Admin-Nutzer an, der bei der Registrierung für Cloud Identity oder Google Workspace erstellt wurde.
  2. Klicken Sie im Menü auf Verzeichnis > Nutzer und dann auf Neuen Nutzer hinzufügen, um einen Nutzer zu erstellen.
  3. Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:

    1. Vorname: Google Cloud
    2. Nachname: Directory Sync
    3. Primäre E-Mail-Adresse: cloud-directory-sync

    Behalten Sie die primäre Domain in der E-Mail-Adresse bei, auch wenn die Domain nicht der Gesamtstruktur entspricht, aus der Sie die Bereitstellung vornehmen.

  4. Achten Sie darauf, dass Automatisch neues Passwort generieren auf Deaktiviert gesetzt ist. Geben Sie ein Passwort ein.

  5. Achten Sie darauf, dass Bei der nächsten Anmeldung auffordern, das Passwort zu ändern auf Deaktiviert gesetzt ist.

  6. Klicken Sie auf Neuen Nutzer hinzufügen.

  7. Klicken Sie auf Fertig.

Damit GCDS Nutzerkonten und -gruppen erstellen, auflisten und löschen kann, benötigt der Nutzer zusätzliche Berechtigungen. Außerdem wird empfohlen, den Nutzer von der Einmalanmeldung (SSO) auszunehmen. Andernfalls können Sie GCDS möglicherweise nicht wieder autorisieren, wenn bei der Einmalanmeldung Probleme auftreten. Beides kann erreicht werden, indem der Nutzer als Super Admin festgelegt wird:

  1. Suchen Sie in der Liste den neu erstellten Nutzer und rufen Sie ihn auf.
  2. Klicken Sie unter Administratorrollen und -berechtigungen auf Rollen zuweisen.
  3. Aktivieren Sie die Rolle Super Admin.
  4. Klicken Sie auf Speichern.

Nutzerverwaltung konfigurieren

Active Directory-Nutzer für GCDS erstellen

GCDS benötigt auch einen Domainnutzer mit ausreichenden Zugriffsberechtigungen, damit es Informationen über Nutzer und Gruppen aus Active Directory abrufen kann. Erstellen Sie einen dedizierten Nutzer für GCDS, statt einen vorhandenen Windows-Nutzer dafür zu verwenden:

  1. Öffnen Sie das Snap-in Active Directory-Benutzer und -Computer.
  2. Rufen Sie die Domain und die Organisationseinheit auf, in der Sie den Nutzer erstellen möchten. Wenn Ihre Gesamtstruktur mehrere Domains enthält, erstellen Sie den Nutzer in derselben Domain, in der sich auch der GCDS-Computer befindet.
  3. Klicken Sie mit der rechten Maustaste in den rechten Fensterbereich und wählen Sie Neu > Nutzer aus.
  4. Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:
    1. Vorname: Google Cloud
    2. Nachname: Directory Sync
    3. Benutzeranmeldename: gcds
    4. Benutzeranmeldename (Prä-Windows 2000): gcds
  5. Klicken Sie auf Weiter.
  6. Geben Sie ein Passwort ein, das der Passwortrichtlinie entspricht.
  7. Deaktivieren Sie Benutzer muss Kennwort bei der nächsten Anmeldung ändern.
  8. Wählen Sie Kennwort läuft nie ab aus.
  9. Klicken Sie auf Weiter und dann auf Fertig stellen.

Sie können einen solchen dedizierten Nutzer auch mit einem Windows PowerShell-Befehl erstellen. Hier ein Beispiel:

New-ADUser -Name "Google Cloud Directory Sync" -GivenName "Google Cloud" -Surname "Directory Sync" -SamAccountName "gcds" -UserPrincipalName "gcds@domain.com" -Path "OU=Users,DC=domain,DC=com" -AccountPassword(Read-Host -AsSecureString "Type password for User") -Enabled $true

Jetzt sind die Voraussetzungen für die Installation von GCDS erfüllt.

GCDS installieren

Laden Sie auf den Computer, auf dem Sie GCDS ausführen möchten, das Installationsprogramm für GCDS herunter und führen Sie es aus. Sie können das Installationsprogramm mit einem Browser herunterladen oder den folgenden PowerShell-Befehl verwenden:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Nachdem der Download abgeschlossen ist, können Sie mit dem folgenden Befehl den Installationsassistenten starten:

.\dirsync-win64.exe

Wenn GCDS schon installiert ist, können Sie GCDS aktualisieren, um zu gewährleisten, dass Sie die aktuelle Version verwenden.

Ordner für die GCDS-Konfiguration erstellen

GCDS speichert seine Konfiguration in einer XML-Datei. Da diese Konfiguration ein OAuth-Aktualisierungstoken enthält, das GCDS für die Authentifizierung bei Google verwendet, müssen Sie darauf achten, dass Sie den für die Konfiguration verwendeten Ordner effektiv schützen.

Und da GCDS auf keine anderen lokalen Ressourcen als diesen Ordner zugreifen muss, können Sie GCDS so konfigurieren, dass es als eingeschränkter Nutzer (LocalService) ausgeführt wird:

  1. Melden Sie sich auf dem Computer, auf dem Sie GCDS installiert haben, entweder als Domainnutzer oder als lokaler Administrator an.
  2. Öffnen Sie eine PowerShell-Konsole mit Administratorberechtigungen.
  3. Führen Sie die folgenden Befehle aus, um einen Ordner mit dem Namen $Env:ProgramData\gcds zum Speichern der Konfiguration zu erstellen und eine Access Control List (ACL) anzuwenden, damit nur GCDS und Administratoren Zugriff haben:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
    New-Item -ItemType directory -Path  $gcdsDataFolder
    &icacls "$gcdsDataFolder" /inheritance:r
    &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
    
  4. Führen Sie den Befehl Write-Host $Env:ProgramData aus, um den Speicherort des Ordners "ProgramData" zu ermitteln. Bei englischen Versionen von Windows lautet dieser Pfad normalerweise c:\ProgramData. Sie benötigen diesen Pfad später.

Verbindung zu Google herstellen

Sie verwenden jetzt Configuration Manager, um die GCDS-Konfiguration vorzubereiten. Bei diesen Schritten wird davon ausgegangen, dass Sie Configuration Manager auf demselben Server ausführen, auf dem Sie GCDS ausführen möchten.

Wenn Sie Configuration Manager auf einem anderen Computer ausführen, kopieren Sie die Konfigurationsdatei anschließend auf den GCDS-Server. Beachten Sie, dass Sie die Konfiguration auf einem anderen Computer möglicherweise nicht testen können.

  1. Starten Sie den Configuration Manager. Sie finden ihn im Windows-Startmenü unter Google Cloud Directory Sync > Configuration Manager.
  2. Klicken Sie auf Konfiguration der Google-Domain > Verbindungseinstellungen.

    Konfiguration der Google-Domain > Verbindungseinstellungen

  3. Autorisieren Sie GCDS und konfigurieren Sie Domaineinstellungen.

  4. Klicken Sie im Menü auf Datei > Speichern unter.

  5. Geben Sie im Dateidialogfeld PROGRAM_DATA\gcds\config.xml als Dateinamen ein. Ersetzen Sie PROGRAM_DATA durch den Pfad zum Ordner ProgramData, den der PowerShell-Befehl zurückgegeben hat, als Sie ihn zuvor ausgeführt haben.

  6. Klicken Sie auf Save (Speichern) und dann auf OK.

Verbindung zu Active Directory herstellen

Im nächsten Schritt konfigurieren Sie GCDS für die Verbindung mit Active Directory:

  1. Klicken Sie im Konfigurationsmanager auf LDAP-Konfiguration) > Verbindungseinstellungen.
  2. Konfigurieren Sie die LDAP-Verbindungseinstellungen:
    1. Server Type (Servertyp): Wählen Sie MS Active Directory aus.
    2. Connection Type (Verbindungstyp): Wählen Sie entweder Standard LDAP oder LDAP+SSL aus.
    3. Host Name (Hostname): Geben Sie den Namen eines globalen Katalogservers ein. Diese Einstellung wird nur zum Testen verwendet. Später automatisieren Sie die Erkennung des globalen Katalogservers.
    4. Port: 3268 (globaler Katalog) oder 3269 (globaler Katalog über SSL). Die Verwendung eines globalen Katalogservers anstelle eines Domaincontrollers sorgt dafür, dass Sie Nutzer aus allen Domains Ihrer Active Directory-Gesamtstruktur bereitstellen können. Siehe auch Authentifizierung nach dem Microsoft ADV190023-Update sicherstellen.
    5. Authentication Type (Authentifizierungstyp): Simple (Einfach).
    6. Autorisierter Nutzer: Geben Sie den UPN des zuvor erstellten Domainnutzers ein: gcds@UPN_SUFFIX_DOMAIN. Ersetzen Sie UPN_SUFFIX_DOMAIN durch die entsprechende UPN-Suffixdomain für den Nutzer. Alternativ können Sie den Nutzer auch mit der Syntax NETBIOS_DOMAIN_NAME\gcds festlegen.
    7. Base DN (Basis-DN): Lassen Sie dieses Feld leer, damit Suchvorgänge in allen Domains der Gesamtstruktur durchgeführt werden.
  3. Klicken Sie auf Test connection (Verbindung testen), um die Einstellungen zu überprüfen. Wenn die Verbindung fehlschlägt, überprüfen Sie nochmals, ob Sie den Hostnamen eines globalen Katalogservers angegeben haben und ob Nutzername und Passwort korrekt sind. Ignorieren Sie, dass Sie in der Fehlermeldung möglicherweise aufgefordert werden, einen Basis-DN anzugeben.
  4. Klicken Sie auf Close (Schließen).
  5. Klicken Sie auf Datei und dann auf Speichern, um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

Entscheiden, was bereitgestellt werden soll

Nachdem Sie erfolgreich eine Verbindung zu GCDS hergestellt haben, können Sie festlegen, welche Elemente bereitgestellt werden sollen:

  1. Klicken Sie in Configuration Manager auf General Settings (Allgemeine Einstellungen).
  2. Achten Sie darauf, dass User Accounts (Nutzerkonten) ausgewählt ist.
  3. Wenn Sie Gruppen bereitstellen möchten, muss Groups (Gruppen) ausgewählt sein. Entfernen Sie andernfalls das Häkchen aus dem Kästchen.
  4. Das Synchronisieren von Organisationseinheiten wird in diesem Leitfaden nicht behandelt. Wählen Sie daher nicht die Option Organizational Units (Organisationseinheiten) aus.
  5. Wählen Sie weder User Profiles (Nutzerprofile) noch Custom Schemas (Benutzerdefinierte Schemas) aus.
  6. Klicken Sie auf Datei und dann auf Speichern, um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

Nutzer verwalten

Nutzerzuordnungen konfigurieren

Im nächsten Schritt konfigurieren Sie, wie Nutzer in Active Directory zugeordnet werden sollen:

  1. Klicken Sie in Configuration Manager auf User Accounts (Nutzerkonten) > Additional User Attributes (Zusätzliche Nutzerattribute).
  2. Klicken Sie auf Use defaults (Standardeinstellungen verwenden), um als Attribute für Given Name (Vorname) und Family Name (Nachname) automatisch givenName und sn einzugeben.

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder Google Workspace-Nutzern zuzuordnen, und ob Sie Substitutionen von Domainnamen anwenden müssen. Wenn Sie sich nicht sicher sind, welche Option für Sie am besten geeignet ist, lesen Sie den Artikel dazu, wie die Active Directory-Identitätsverwaltung auf Google Cloud erweitert werden kann.

UPN

  1. Klicken Sie im Konfigurationsmanager auf Nutzerkonten) > Nutzerattribute.
  2. Klicken Sie auf Use defaults (Standardeinstellungen verwenden).
  3. Ändern Sie Attribut für E-Mail-Adresse in userPrincipalName.
  4. Optional: Klicken Sie auf proxyAddresses > Entfernen, wenn Sie die Alias-Adresse nicht synchronisieren möchten.
  5. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  6. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel trifft auf alle nicht deaktivierten Nutzer zu, ignoriert jedoch Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains in der Gesamtstruktur zu durchsuchen.

  7. Klicken Sie auf OK, um die Regel zu erstellen.

  8. Klicken Sie auf den Tab Exclusion Rules (Ausschlussregeln) und dann auf Ausschlussregel hinzufügen. Damit der Nutzer, den GCDS zum Lesen von Daten aus Active Directory verwendet, nicht in Cloud Identity oder Google Workspace bereitgestellt wird, legen Sie die folgenden Einstellungen fest:

    1. Exclude Type (Ausschlusstyp): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Exact Match (Genaue Übereinstimmung).
    3. Ausschlussregel: gcds@UPN_SUFFIX_DOMAIN. Ersetzen Sie UPN_SUFFIX_DOMAIN durch die in Active Directory verwendete UPN-Suffixdomain.
  9. Klicken Sie auf OK.

  10. Klicken Sie auf Datei und dann auf Speichern, um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

UPN: Domainersetzung

  1. Klicken Sie im Configuration Manager auf den Tab User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Legen Sie folgende Einstellungen fest:
    1. Attribut für die E-Mail-Adresse: userPrincipalName
    2. Attribut für Nutzerkennzeichnung: objectGUID
  3. Klicken Sie auf OK, um die Regel zu erstellen.
  4. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  5. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel trifft auf alle nicht deaktivierten Nutzer zu, abr nicht auf Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains innerhalb der Gesamtstruktur zu durchsuchen.

  6. Klicken Sie auf OK, um die Regel zu erstellen.

  7. Klicken Sie auf den Tab Exclusion Rules (Ausschlussregeln) und dann auf Ausschlussregel hinzufügen. Damit der Nutzer, den GCDS zum Lesen von Daten aus Active Directory verwendet, nicht in Cloud Identity oder Google Workspace bereitgestellt wird, legen Sie die folgenden Einstellungen fest:

    1. Exclude Type (Ausschlusstyp): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Exact Match (Genaue Übereinstimmung).
    3. Ausschlussregel: gcds@PRIMARY_DOMAIN. Ersetzen Sie PRIMARY_DOMAIN durch die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos.
  8. Klicken Sie auf OK.

  9. Klicken Sie auf Konfiguration der Google-Domain > Verbindungseinstellungen und wählen Sie Domainnamen in LDAP-E-Mail-Adressen von Nutzern und Gruppen durch diesen Domainnamen ersetzen aus.

  10. Klicken Sie auf Datei und dann auf Speichern, um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

E-Mail-Adresse

  1. Klicken Sie in Configuration Manager auf User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Legen Sie folgende Einstellungen fest:
    1. Attribut für die E-Mail-Adresse: mail
    2. Attribut für Nutzerkennzeichnung: objectGUID
  3. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  4. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel trifft gilt für alle nicht deaktivierten Nutzer mit einer nicht leeren E-Mail-Adresse, aber nicht für Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains in der Gesamtstruktur zu durchsuchen.

  5. Klicken Sie auf OK, um die Regel zu erstellen.

  6. Klicken Sie auf Datei > Speichern, um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

E-Mail: Domainsubstitution

  1. Klicken Sie in Configuration Manager auf User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Legen Sie folgende Einstellungen fest:
    1. Attribut für die E-Mail-Adresse: mail
    2. Attribut für Nutzerkennzeichnung: objectGUID
  3. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  4. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel trifft gilt für alle nicht deaktivierten Nutzer mit einer nicht leeren E-Mail-Adresse, aber nicht für Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains in der Gesamtstruktur zu durchsuchen.

  5. Klicken Sie auf OK, um die Regel zu erstellen.

  6. Klicken Sie auf Konfiguration der Google-Domain > Verbindungseinstellungen und wählen Sie Domainnamen in LDAP-E-Mail-Adressen von Nutzern und Gruppen durch diesen Domainnamen ersetzen aus.

  7. Klicken Sie auf Datei und dann auf Speichern, um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

Weitere Informationen zum Zuordnen von Nutzerattributen finden Sie unter Synchronisierung mit Configuration Manager einrichten.

Löschrichtlinie

Bisher ging es bei der Konfiguration vor allem darum, Nutzer in Cloud Identity oder Google Workspace hinzuzufügen und zu aktualisieren. In Active Directory gesperrte oder gelöschte Nutzer müssen aber auch in Cloud Identity oder Google Workspace gesperrt oder gelöscht werden.

Im Rahmen des Bereitstellungsprozesses generiert GCDS eine Liste der Nutzer in Cloud Identity oder Google Workspace, die keine entsprechenden Übereinstimmungen in den Active Directory-LDAP-Abfrageergebnissen haben. Da die LDAP-Abfrage die Klausel (!(userAccountControl:1.2.840.113556.1.4.803:=2) enthält, werden alle Nutzer, die seit der letzten Bereitstellung in Active Directory gesperrt oder gelöscht wurden, in diese Liste aufgenommen. Standardmäßig werden diese Nutzer in Cloud Identity oder Google Workspace gelöscht. Sie können dieses Verhalten jedoch anpassen:

  1. Klicken Sie im Konfigurationsmanager auf Nutzerkonten) > Nutzerattribute.
  2. Unter Google Domain Users Deletion/Suspension Policy (Richtlinie für das Löschen/Sperren von Google-Domainnutzern) muss die Option Richtlinie für das Löschen/Sperren von Google-Domainnutzern (Google-Domainadministratoren, die nicht in LDAP gefunden wurden, nicht sperren oder löschen) angeklickt sein. Dadurch wird verhindert, dass GCDS den Super Admin-Nutzer sperrt oder löscht, den Sie zum Konfigurieren Ihres Cloud Identity- oder Google Workspace-Kontos verwendet haben.
  3. Ändern Sie optional die Löschrichtlinie für Nutzer ohne Administratorberechtigungen.
  4. Klicken Sie auf Datei und dann auf Speichern, um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

Wenn Sie mehrere separate GCDS-Instanzen verwenden, um verschiedene Domains oder Gesamtstrukturen für ein einziges Cloud Identity- oder Google Workspace-Konto bereitzustellen, achten Sie darauf, dass die verschiedenen GCDS-Instanzen sich nicht gegenseitig beeinträchtigen. Standardmäßig werden Nutzer in Cloud Identity oder Google Workspace, die aus einer anderen Quelle bereitgestellt wurden, in Active Directory fälschlicherweise als gelöscht identifiziert. Zur Vermeidung dieser Situation können Sie GCDS so konfigurieren, dass alle Nutzer ignoriert werden, die sich außerhalb des Bereichs der Domain oder Gesamtstruktur befinden, von der aus Sie die Bereitstellung vornehmen. Alternativ können Sie diese Nutzer in eine einzelne Organisationseinheit verschieben und dann diese Organisationseinheit ausschließen.

UPN

  1. Klicken Sie im Konfigurationsmanager auf Google Domain-Konfiguration > Ausschlussregeln.
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$

      Ersetzen Sie UPN_SUFFIX_DOMAIN durch die UPN-Suffixdomain. Beispiel:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

UPN: Domainersetzung

  1. Klicken Sie im Configuration Manager auf Google Domain Configuration (Google Domain-Konfiguration) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Ersetzen Sie SUBSTITUTION_DOMAIN durch die Domain, durch die Sie die UPN-Suffixdomain ersetzen. Beispiel:

      .*@((?!corp.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail-Adresse

  1. Klicken Sie im Configuration Manager auf Google Domain Configuration (Google Domain-Konfiguration) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?!MX_DOMAIN).*)$

      Ersetzen Sie MX_DOMAIN durch den Domainnamen, den Sie in E-Mail-Adressen verwenden. Beispiel:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail: Domainsubstitution

  1. Klicken Sie im Konfigurationsmanager auf Google Domain-Konfiguration > Ausschlussregeln.
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Ersetzen Sie SUBSTITUTION_DOMAIN durch die Domain, durch die Sie die E-Mail-Domain ersetzen. Beispiel:

      .*@((?!corp.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

Weitere Einzelheiten zu den Lösch- und Sperreinstellungen finden Sie unter Weitere Informationen zu den Optionen von Configuration Manager.

Gruppen verwalten

Im nächsten Schritt konfigurieren Sie, wie Gruppen zwischen Active Directory und Cloud Identity oder Google Workspace zugeordnet werden. Dieser Vorgang hängt davon ab, ob Sie Gruppen nach dem Klarnamen oder der E-Mail-Adresse zuordnen möchten.

Gruppenzuordnungen nach Klarnamen konfigurieren

Bestimmen Sie zuerst die Typen von Sicherheitsgruppen, die Sie bereitstellen möchten. Formulieren Sie anschließend eine geeignete LDAP-Abfrage. Die folgende Tabelle enthält einige häufig verwendete Abfragen.

Typ LDAP-Abfrage
Lokale Domaingruppen (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Globale Gruppen (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Universelle Gruppen (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Globale und universelle Gruppen (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))

Die Abfrage für globale Gruppen deckt auch in Active Directory definierte Gruppen ab, z. B. Domain Controller. Sie können diese Gruppen filtern, indem Sie die Suche anhand von Organisationseinheiten (Organizational Units, ou) einschränken.

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder Google Workspace-Nutzern zuzuordnen.

UPN

  1. Klicken Sie im Konfigurationsmanager auf Gruppen > Suchregeln.
  2. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine Regel hinzuzufügen, die Nutzer und verschachtelte Gruppenmitgliedschaften erfasst.
  3. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie die LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  4. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Attribut für Gruppen-E-Mail-Adressen: cn
    2. Attribut für den Anzeigenamen der Gruppe: name
    3. Attribut für Gruppenbeschreibung: description
    4. Attribut für Nutzer-E-Mail-Name: userPrincipalName
  5. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Attribut für den Mitgliederverweis: member
    2. Lassen Sie die restlichen Felder leer.
  6. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Attribut für den Eigentümerverweis: managedBy
    2. Lassen Sie die restlichen Felder leer.
  7. Klicken Sie auf den Tab Prefix-Suffix (Präfix/Suffix).
  8. Geben Sie im Feld Group Email Address (Gruppen-E-Mail-Adresse) die folgenden Einstellungen ein:

    1. Suffix: @PRIMARY_DOMAIN, wobei Sie @PRIMARY_DOMAIN durch die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos ersetzen. Die Einstellung erscheint zwar überflüssig, da GCDS die Domain automatisch anhängt. Sie müssen die Einstellung aber explizit angeben, um zu verhindern, dass mehrere Google Cloud Directory Sync-Instanzen Gruppenmitglieder löschen, die sie nicht hinzugefügt haben.

      Beispiel: @example.com

    2. Klicken Sie auf OK.

  9. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine weitere Regel hinzuzufügen, die verschachtelte Gruppenmitgliedschaften erfasst.

  10. Legen Sie folgende Einstellungen fest:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie dieselbe LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  11. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:

    1. Attribut für Gruppen-E-Mail-Adressen: cn
    2. Attribut für den Anzeigenamen der Gruppe: name
    3. Attribut für Gruppenbeschreibung: description
    4. Attribut für Nutzer-E-Mail-Name: cn
  12. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:

    1. Attribut für den Mitgliederverweis: member
    2. Lassen Sie die restlichen Felder leer.
  13. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:

    1. Attribut für den Eigentümerverweis: managedBy
    2. Lassen Sie die restlichen Felder leer.
  14. Klicken Sie auf den Tab Prefix-Suffix (Präfix/Suffix).

  15. Geben Sie im Feld Group Email Address (Gruppen-E-Mail-Adresse) die folgenden Einstellungen ein:

    • Suffix: @PRIMARY_DOMAIN, wobei Sie @PRIMARY_DOMAIN durch die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos ersetzen.
  16. Klicken Sie auf OK.

  17. Klicken Sie auf Datei > Speichern, um die Konfigurationsänderungen auf dem Laufwerk zu speichern.

  18. Klicken Sie im Eingabeaufforderungsfenster erst dann auf Go to the simulation tab (Zum Simulationstab wechseln), wenn die Konfiguration für die Tests bereit ist. Klicken Sie andernfalls auf Skip simulation (Simulation überspringen).

E-Mail-Adresse

  1. Klicken Sie im Konfigurationsmanager auf Gruppen > Suchregeln.
  2. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine Regel hinzuzufügen, die beide Gruppenmitgliedschaften erfasst.
  3. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie die LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  4. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Attribut für Gruppen-E-Mail-Adressen: cn
    2. Attribut für den Anzeigenamen der Gruppe: name
    3. Attribut für Gruppenbeschreibung: description
    4. Attribut für Nutzer-E-Mail-Name: mail
  5. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Attribut für den Mitgliederverweis: member
    2. Lassen Sie die restlichen Felder leer.
  6. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Attribut für den Eigentümerverweis: managedBy
    2. Lassen Sie die restlichen Felder leer.
  7. Klicken Sie auf OK.
  8. Klicken Sie auf Datei und dann auf Speichern, um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

Dieselben Einstellungen gelten auch, wenn Sie beim Zuordnen von Nutzern die Domainsubstitution verwendet haben.

Gruppenzuordnungen nach E-Mail-Adresse konfigurieren

Bestimmen Sie zuerst die Typen von Sicherheitsgruppen, die Sie bereitstellen möchten. Formulieren Sie anschließend eine geeignete LDAP-Abfrage. Die folgende Tabelle enthält einige häufig verwendete Abfragen.

Typ LDAP-Abfrage
Lokale Domaingruppen mit E-Mail-Adresse (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Globale Gruppen mit E-Mail-Adresse (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Universelle Gruppen mit E-Mail-Adresse (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Globale und universelle Gruppen mit E-Mail-Adresse (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder Google Workspace-Nutzern zuzuordnen.

UPN

  1. Klicken Sie im Konfigurationsmanager auf Gruppen > Suchregeln.
  2. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine Regel hinzuzufügen, die beide Gruppenmitgliedschaften erfasst.
  3. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie die LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  4. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Attribut für Gruppen-E-Mail-Adressen: mail
    2. Attribut für den Anzeigenamen der Gruppe: name
    3. Attribut für Gruppenbeschreibung: description
    4. Attribut für Nutzer-E-Mail-Name: userPrincipalName
  5. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Attribut für den Mitgliederverweis: member
    2. Lassen Sie die restlichen Felder leer.
  6. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Attribut für den Eigentümerverweis: managedBy
    2. Lassen Sie die restlichen Felder leer.
  7. Klicken Sie auf OK.
  8. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine weitere Regel hinzuzufügen, die verschachtelte Gruppenmitgliedschaften erfasst.
  9. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie dieselbe LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  10. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Attribut für Gruppen-E-Mail-Adressen: mail
    2. Attribut für den Anzeigenamen der Gruppe: name
    3. Attribut für Gruppenbeschreibung: description
    4. Attribut für Nutzer-E-Mail-Name: mail
  11. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Attribut für den Mitgliederverweis: member
    2. Lassen Sie die restlichen Felder leer.
  12. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Attribut für den Eigentümerverweis: managedBy
    2. Lassen Sie die restlichen Felder leer.
  13. Klicken Sie auf OK.
  14. Klicken Sie auf Datei > Speichern, um die Konfigurationsänderungen auf dem Laufwerk zu speichern.
  15. Klicken Sie im Eingabeaufforderungsfenster erst dann auf Go to the simulation tab (Zum Simulationstab wechseln), wenn die Konfiguration für die Tests bereit ist. Klicken Sie andernfalls auf Skip simulation (Simulation überspringen).

E-Mail-Adresse

  1. Klicken Sie im Konfigurationsmanager auf Gruppen > Suchregeln.
  2. Klicken Sie auf Use Defaults (Standardeinstellungen verwenden), um einige Standardregeln hinzuzufügen.
  3. Klicken Sie auf das Symbol "Bearbeiten" der ersten Regel.
  4. Ändern Sie im Feld Rule (Regel) die Standard-LDAP-Abfrage.
  5. Klicken Sie auf OK.
  6. Klicken Sie auf das Kreuzsymbol der zweiten Regel, um diese Regel zu entfernen.
  7. Klicken Sie auf Datei > Speichern, um die Konfigurationsänderungen auf dem Laufwerk zu speichern.
  8. Klicken Sie im Eingabeaufforderungsfenster erst dann auf Go to the simulation tab (Zum Simulationstab wechseln), wenn die Konfiguration für die Tests bereit ist. Klicken Sie andernfalls auf Skip simulation (Simulation überspringen).

Dieselben Einstellungen gelten auch, wenn Sie beim Zuordnen von Nutzern die Domainsubstitution verwendet haben.

Löschrichtlinie

GCDS behandelt das Löschen von Gruppen ähnlich wie das Löschen von Nutzern. Wenn Sie mehrere separate GCDS-Instanzen verwenden, um verschiedene Domains oder Gesamtstrukturen für ein einziges Cloud Identity- oder Google Workspace-Konto bereitzustellen, achten Sie darauf, dass die verschiedenen GCDS-Instanzen sich nicht gegenseitig beeinträchtigen.

Standardmäßig werden Nutzer in Cloud Identity oder Google Workspace, die aus einer anderen Quelle bereitgestellt wurden, in Active Directory fälschlicherweise als gelöscht identifiziert. Zur Vermeidung dieser Situation können Sie GCDS so konfigurieren, dass alle Nutzer ignoriert werden, die sich außerhalb des Bereichs der Domain oder Gesamtstruktur befinden, von der aus Sie die Bereitstellung vornehmen.

UPN

  1. Klicken Sie auf Konfiguration der Google-Domain > Ausschlussregeln.
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$

      Ersetzen Sie UPN_SUFFIX_DOMAIN durch Ihre UPN-Suffixdomain, wie im folgenden Beispiel gezeigt:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

UPN: Domainersetzung

  1. Klicken Sie auf Konfiguration der Google-Domain > Ausschlussregeln.
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Ersetzen Sie SUBSTITUTION_DOMAIN durch die Domain, durch die Sie die UPN-Suffixdomain ersetzen. Beispiel:

      .*@((?!corp.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail-Adresse

  1. Klicken Sie auf Konfiguration der Google-Domain > Ausschlussregeln.
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?!MX_DOMAIN).*)$

      Ersetzen Sie MX_DOMAIN durch den Domainnamen, den Sie in E-Mail-Adressen verwenden, wie im folgenden Beispiel:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail: Domainsubstitution

  1. Klicken Sie auf Konfiguration der Google-Domain > Ausschlussregeln.
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Ersetzen Sie SUBSTITUTION_DOMAIN durch die Domain, mit der Sie die E-Mail-Domain ersetzen, wie im folgenden Beispiel:

      .*@((?!corp.example.com).*)$
    4. Klicken Sie auf OK, um die Regel zu erstellen.

Weitere Einzelheiten zu Gruppeneinstellungen finden Sie unter Weitere Informationen zu den Optionen von Configuration Manager.

Logging und Benachrichtigungen konfigurieren

Sie müssen GCDS regelmäßig ausführen, damit die Nutzer synchron bleiben. Damit sich die Aktivitäten von GCDS und mögliche Probleme verfolgen lassen, können Sie Google Cloud Directory Sync so konfigurieren, dass eine Logdatei geschrieben wird:

  1. Klicken Sie im Configuration Manager auf Logging.
  2. Legen Sie Dateiname auf PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log fest. Ersetzen Sie PROGRAM_DATA durch den Pfad zum Ordner ProgramData, den der PowerShell-Befehl zurückgegeben hat, als Sie ihn zuvor ausgeführt haben.
  3. Klicken Sie auf Datei > Speichern, um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

Zusätzlich zum Logging kann GCDS Benachrichtigungen per E-Mail senden. Klicken Sie auf Benachrichtigungen und geben Sie die Verbindungsinformationen für Ihren Mail-Server an, um diesen Dienst zu aktivieren.

Nutzerverwaltung simulieren

Die GCDS-Konfiguration ist nun abgeschlossen. Sie können eine Nutzerbereitstellung simulieren, um zu prüfen, ob die Konfiguration wie vorgesehen funktioniert. Während der Simulation nimmt GCDS keine Änderungen an Cloud Identity vor, sondern meldet stattdessen, welche Änderungen während einer regulären Bereitstellung ausgeführt würden.

  1. Klicken Sie im Configuration Manager auf Sync (Synchronisierung).
  2. Wählen Sie unten auf dem Bildschirm Cache leeren aus und klicken Sie dann auf Synchronisierung simulieren.
  3. Überprüfen Sie nach Abschluss des Vorgangs den Abschnitt Vorgeschlagene Änderungen des Protokolls, der in der unteren Hälfte des Dialogfelds angezeigt wird, und stellen Sie sicher, dass mindestens ein Nutzer zum Erstellen oder Ändern vorgeschlagen wird.

Erste Nutzerverwaltung

Sie können jetzt die erste Nutzerverwaltung auslösen:

Warnungen

  • Wenn Sie die Nutzerverwaltung auslösen, werden Nutzer und Gruppen in Ihrem Cloud Identity- oder Google Workspace-Konto dauerhaft geändert.
  • Wenn Sie eine große Anzahl von zu verwaltenden Nutzern haben, sollten Sie die LDAP-Abfrage eventuell vorübergehend ändern, damit nur ein Teil dieser Nutzer berücksichtigt wird. Mit dieser Untergruppe von Nutzern können Sie dann den Vorgang testen und bei Bedarf Einstellungen anpassen. Nachdem Sie die Ergebnisse überprüft haben, ändern Sie die LDAP-Abfrage zurück und verwalten Sie die verbleibenden Nutzer.
  • Vermeiden Sie es, beim Testen mehrmals eine große Anzahl von Nutzern zu ändern oder zu löschen, da dies als missbräuchliches Verhalten gewertet werden kann.

So lösen Sie eine Bereitstellung aus:

  1. Klicken Sie im Configuration Manager auf Sync (Synchronisierung).
  2. Wählen Sie am unteren Bildschirmrand Clear Cache (Cache leeren) aus und klicken Sie dann auf Sync & apply changes (Synchronisieren und Änderungen übernehmen).

    Ein Dialogfeld mit dem Status wird angezeigt.

  3. Überprüfen Sie nach Abschluss des Vorgangs das Log, das in der unteren Hälfte des Dialogfelds angezeigt wird:

    1. Achten Sie unter Successful user changes (Erfolgreiche Nutzeränderungen) darauf, dass mindestens ein Nutzer erstellt wurde.
    2. Achten Sie unter Failures (Fehler) darauf, dass keine Fehler aufgetreten sind.

Wenn Sie sich für die Bereitstellung von Gruppen entschieden haben, enthält der Rest des Logs möglicherweise mehrere Warnungen, die normalerweise ignoriert werden können.

Planung

Um sicherzustellen, dass in Active Directory vorgenommene Änderungen an Cloud Identity weitergegeben werden, richten Sie eine geplante Aufgabe ein, die stündlich eine Bereitstellung ausführt:

  1. Öffnen Sie eine PowerShell-Konsole als Administrator.
  2. Prüfen Sie, ob das Active Directory-PowerShell-Modul auf dem System verfügbar ist:

    import-module ActiveDirectory

    Wenn der Befehl fehlschlägt, laden Sie die Remoteserver-Verwaltungstools herunter, installieren Sie sie und versuchen Sie es noch einmal.

  3. Erstellen Sie in Notepad eine Datei, kopieren Sie den folgenden Inhalt hinein und speichern Sie die Datei unter %ProgramData%\gcds\sync.ps1. Wenn Sie fertig sind, schließen Sie die Datei.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True, Position=1)]
        [string]$config,
    
        [Parameter(Mandatory=$True, Position=1)]
        [string]$gcdsInstallationDir
    )
    
    import-module ActiveDirectory
    
    # Stop on error.
    $ErrorActionPreference ="stop"
    
    # Ensure it's an absolute path.
    $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
    
    # Discover closest GC in current domain.
    $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
    Write-Host ("Using Global Catalog server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
    
    # Load XML and replace the endpoint.
    $dom = [xml](Get-Content $rawConfigPath)
    $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
    
    # Tweak the endpoint.
    $ldapConfigNode.hostname = [string]$dc.HostName
    $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
    $ldapConfigNode.port = "3268"   # Always use Global Catalog port
    
    # Tweak the tsv files location
    $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
    $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
    $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
    
    # Save resulting config.
    $targetConfigPath = $rawConfigPath + ".autodiscover"
    
    $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
    $dom.Save($writer)
    $writer.Close()
    
    # Start provisioning.
    Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
        -Wait -ArgumentList "--apply --loglevel INFO --config ""$targetConfigPath"""
    
  4. Configuration Manager hat einen geheimen Schlüssel zum Verschlüsseln der Anmeldedaten in der Konfigurationsdatei erstellt. Achten Sie darauf, dass GCDS die Konfiguration auch dann lesen kann, wenn sie als geplante Aufgabe ausgeführt wird. Führen Sie dazu die folgenden Befehle aus, um diesen geheimen Schlüssel aus Ihrem eigenen Profil in das Profil von NT AUTHORITY\LOCAL SERVICE zu kopieren:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
    Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
        -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
    

    Wenn die Befehle fehlschlagen, prüfen Sie, ob Sie die PowerShell-Konsole als Administrator gestartet haben.

  5. Erstellen Sie mit den folgenden Befehlen eine geplante Aufgabe. Diese wird stündlich ausgelöst und ruft das Skript sync.ps1 als NT AUTHORITY\LOCAL SERVICE auf.

    $taskName = "Synchronize to Cloud Identity"
    $gcdsDir = "$Env:ProgramData\gcds"
    
    $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
      -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
      -WorkingDirectory $gcdsDir
    $trigger = New-ScheduledTaskTrigger `
      -Once `
      -At (Get-Date) `
      -RepetitionInterval (New-TimeSpan -Minutes 60) `
      -RepetitionDuration (New-TimeSpan -Days (365 * 20))
    
    $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
    Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
    
    $task = Get-ScheduledTask -TaskName "$taskName"
    $task.Settings.ExecutionTimeLimit = "PT12H"
    Set-ScheduledTask $task
    

Weitere Informationen finden Sie unter Automatische Synchronisierungen planen.

Nutzerverwaltung testen

Sie haben die Installation und Konfiguration von GCDS abgeschlossen und die geplante Aufgabe löst stündlich eine Bereitstellung aus.

Wechseln Sie zur PowerShell-Konsole und führen Sie den folgenden Befehl aus, um eine Bereitstellung manuell auszulösen:

$taskName = "Synchronize to Cloud Identity"
Start-ScheduledTask $taskName

Bereinigen

Führen Sie die folgenden Schritte aus, um GCDS zu entfernen:

  1. Öffnen Sie die Windows-Systemsteuerung und klicken Sie auf Programme > Programm deinstallieren.
  2. Wählen Sie Google Cloud Directory Sync aus und klicken Sie auf Deinstallieren/ändern, um den Deinstallationsassistenten zu starten. Folgen Sie dann der Anleitung des Assistenten.
  3. Öffnen Sie eine PowerShell-Konsole und führen Sie den folgenden Befehl aus, um die geplante Aufgabe zu entfernen:

    $taskName = "Synchronize to Cloud Identity"
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
    
  4. Löschen Sie die Konfigurations- und Logdateien mit dem folgenden Befehl:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
    Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
    

Nächste Schritte