Active Directory-Nutzerkonten bereitstellen

GCDS-Bereitstellung planen

Bereitstellungsort für GCDS festlegen

GCDS kann Nutzer und Gruppen aus einem LDAP-Verzeichnis für Cloud Identity oder Google Workspace bereitstellen. GCDS vermittelt zwischen dem LDAP-Server und Cloud Identity oder Google Workspace und fragt das LDAP-Verzeichnis ab, um die erforderlichen Informationen daraus abzurufen. Außerdem verwendet es die Directory API, um Nutzer in Ihrem Cloud Identity- oder Google Workspace-Konto hinzuzufügen, zu ändern oder zu löschen.

Active Directory Domain Services basiert auf LDAP. Darum eignet sich GCDS gut dazu, die Nutzerbereitstellung zwischen Active Directory und Cloud Identity oder Google Workspace zu implementieren.

Wenn Sie eine lokale Active Directory-Infrastruktur mit Google Cloud verbinden, können Sie GCDS entweder lokal oder in Google Cloud auf einer virtuellen Maschine von Compute Engine ausführen. Aus den folgenden Gründen empfiehlt es sich meist, GCDS lokal auszuführen:

• Die von Active Directory verwalteten Informationen enthalten personenbezogene Daten und werden normalerweise vertraulich behandelt. Deshalb möchten Sie wahrscheinlich nicht, dass von außerhalb des lokalen Netzwerks auf Active Directory zugegriffen werden kann.
• Standardmäßig verwendet Active Directory unverschlüsseltes LDAP. Wenn Sie von Google Cloud aus per Fernzugriff Active Directory verwenden, sollten Sie verschlüsselte Kommunikation nutzen. Sie können die Verbindung mithilfe von LDAPS (LDAP + SSL) oder Cloud VPN verschlüsseln.
• Die Kommunikation zwischen GCDS und Cloud Identity oder Google Workspace erfolgt über HTTPS und erfordert nur geringfügige oder keine Änderungen an der Firewallkonfiguration.

Sie können GCDS entweder unter Windows oder unter Linux ausführen. Obwohl es möglich ist, GCDS auf dem Domaincontroller bereitzustellen, sollten Sie es auf einem separaten Computer ausführen. Dieser Computer muss die Systemanforderungen erfüllen und LDAP-Zugriff auf Active Directory haben. Es ist zwar nicht notwendig, dass der Computer einer Domain angehört oder dass auf ihm Windows ausgeführt wird. Es wird aber davon ausgegangen, dass Cloud Directory Sync auf einem Windows-Computer mit Domainzugehörigkeit ausgeführt wird.

GCDS enthält eine grafische Benutzeroberfläche (Graphical User Interface, GUI) namens Configuration Manager, um Sie beim Einrichten der Bereitstellung zu unterstützen. Wenn der Server, auf dem Sie GCDS ausführen möchten, eine Desktopdarstellung bietet, können Sie Configuration Manager auf dem Server selbst ausführen. Andernfalls müssen Sie den Konfigurationsmanager lokal ausführen und dann die resultierende Konfigurationsdatei auf den Server kopieren. Dort können Sie damit GCDS ausführen. In diesem Leitfaden wird davon ausgegangen, dass Sie den Configuration Manager auf einem Server mit einer GUI ausführen.

Quelle für Datenabruf festlegen

GCDS verwendet LDAP, um mit Active Directory zu interagieren und Informationen zu Nutzern und Gruppen abzurufen. Sie müssen in GCDS einen Hostnamen und einen Port in der Konfiguration angeben, um diese Interaktion zu ermöglichen. In einer kleinen Active Directory-Umgebung, in der nur ein einziger globaler Katalogserver ausgeführt wird, stellt die Angabe eines Hostnamens und eines Ports kein Problem dar, da Sie GCDS direkt auf den globalen Katalogserver verweisen können.

In einer komplexeren Umgebung, in der redundante globale Katalogserver (Global Catalog, GC) ausgeführt werden, wird beim Verweis von GCDS auf einen einzelnen Server die Redundanz nicht genutzt. Daher ist dies nicht ideal. Es ist zwar möglich, einen Load-Balancer einzurichten, der LDAP-Abfragen auf mehrere globale Katalogserver verteilt und Server erfasst, die eventuell vorübergehend nicht verfügbar sind. Es empfiehlt sich aber, Server mit dem DC-Locator dynamisch zu lokalisieren.

GCDS setzt standardmäßig voraus, dass Sie den Endpunkt eines LDAP-Servers explizit angeben. Die Verwendung des DC-Locators wird nicht unterstützt. In dieser Anleitung ergänzen Sie GCDS um ein kleines PowerShell-Skript, das den DC-Locator nutzt, damit Sie Endpunkte globaler Katalogserver nicht statisch konfigurieren müssen.

Cloud Identity- oder Google Workspace-Konto vorbereiten

Nutzer für GCDS erstellen

Damit GCDS mit der Directory API und der Domain Shared Contacts API von Cloud Identity und Google Workspace interagieren kann, benötigt die Anwendung ein Nutzerkonto mit Administratorberechtigungen.

Bei der Registrierung für Cloud Identity oder Google Workspace haben Sie bereits einen Super Admin-Nutzer erstellt. Sie können diesen Nutzer zwar für GCDS verwenden, empfohlen wird jedoch, einen separaten Nutzer zu erstellen, der ausschließlich von Cloud Directory Sync verwendet wird:

1. Öffnen Sie die Admin-Konsole und melden Sie sich mit dem Super Admin-Nutzer an, der bei der Registrierung für Cloud Identity oder Google Workspace erstellt wurde.
2. Klicken Sie im Menü auf Verzeichnis > Nutzer und dann auf Neuen Nutzer hinzufügen, um einen Nutzer zu erstellen.

3. Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:

   1. Vorname: Google Cloud
   2. Nachname: Directory Sync
   3. Primäre E-Mail-Adresse: cloud-directory-sync

   Behalten Sie die primäre Domain in der E-Mail-Adresse bei, auch wenn die Domain nicht der Gesamtstruktur entspricht, aus der Sie die Bereitstellung vornehmen.

4. Achten Sie darauf, dass Automatisch neues Passwort generieren auf Deaktiviert gesetzt ist. Geben Sie ein Passwort ein.

5. Achten Sie darauf, dass Bei der nächsten Anmeldung auffordern, das Passwort zu ändern auf Deaktiviert gesetzt ist.

6. Klicken Sie auf Neuen Nutzer hinzufügen.

7. Klicken Sie auf Fertig.

Damit GCDS Nutzerkonten und -gruppen erstellen, auflisten und löschen kann, benötigt der Nutzer zusätzliche Berechtigungen. Außerdem wird empfohlen, den Nutzer von der Einmalanmeldung (SSO) auszunehmen. Andernfalls können Sie GCDS möglicherweise nicht wieder autorisieren, wenn bei der Einmalanmeldung Probleme auftreten. Beides kann erreicht werden, indem der Nutzer als Super Admin festgelegt wird:

1. Suchen Sie in der Liste den neu erstellten Nutzer und rufen Sie ihn auf.
2. Klicken Sie unter Administratorrollen und -berechtigungen auf Rollen zuweisen.
3. Aktivieren Sie die Rolle Super Admin.
4. Klicken Sie auf Speichern.

Nutzerverwaltung konfigurieren

Active Directory-Nutzer für GCDS erstellen

GCDS benötigt auch einen Domainnutzer mit ausreichenden Zugriffsberechtigungen, damit es Informationen über Nutzer und Gruppen aus Active Directory abrufen kann. Erstellen Sie einen dedizierten Nutzer für GCDS, statt einen vorhandenen Windows-Nutzer dafür zu verwenden:

Jetzt sind die Voraussetzungen für die Installation von GCDS erfüllt.

GCDS installieren

Laden Sie auf den Computer, auf dem Sie GCDS ausführen möchten, das Installationsprogramm für GCDS herunter und führen Sie es aus. Sie können das Installationsprogramm mit einem Browser herunterladen oder den folgenden PowerShell-Befehl verwenden:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Nachdem der Download abgeschlossen ist, können Sie mit dem folgenden Befehl den Installationsassistenten starten:

.\dirsync-win64.exe

Wenn GCDS schon installiert ist, können Sie GCDS aktualisieren, um zu gewährleisten, dass Sie die aktuelle Version verwenden.

Ordner für die GCDS-Konfiguration erstellen

GCDS speichert seine Konfiguration in einer XML-Datei. Da diese Konfiguration ein OAuth-Aktualisierungstoken enthält, das GCDS für die Authentifizierung bei Google verwendet, müssen Sie darauf achten, dass Sie den für die Konfiguration verwendeten Ordner effektiv schützen.

Und da GCDS auf keine anderen lokalen Ressourcen als diesen Ordner zugreifen muss, können Sie GCDS so konfigurieren, dass es als eingeschränkter Nutzer (LocalService) ausgeführt wird:

1. Melden Sie sich auf dem Computer, auf dem Sie GCDS installiert haben, als lokaler Administrator an.
2. Öffnen Sie eine PowerShell-Konsole mit Administratorberechtigungen.

3. Führen Sie die folgenden Befehle aus, um einen Ordner mit dem Namen $Env:ProgramData\gcds zum Speichern der Konfiguration zu erstellen und eine Access Control List (ACL) anzuwenden, damit nur GCDS und Administratoren Zugriff haben:

   $gcdsDataFolder = "$Env:ProgramData\gcds"
   New-Item -ItemType directory -Path  $gcdsDataFolder
   &icacls "$gcdsDataFolder" /inheritance:r
   &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
   &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
   &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
   &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
   

4. Führen Sie den Befehl Write-Host $Env:ProgramData aus, um den Speicherort des Ordners "ProgramData" zu ermitteln. Bei englischen Versionen von Windows lautet dieser Pfad normalerweise c:\ProgramData. Sie benötigen diesen Pfad später.

Verbindung zu Google herstellen

Sie verwenden jetzt Configuration Manager, um die GCDS-Konfiguration vorzubereiten. Bei diesen Schritten wird davon ausgegangen, dass Sie Configuration Manager auf demselben Server ausführen, auf dem Sie GCDS ausführen möchten.

Wenn Sie Configuration Manager auf einem anderen Computer ausführen, kopieren Sie die Konfigurationsdatei anschließend auf den GCDS-Server. Beachten Sie, dass Sie die Konfiguration auf einem anderen Computer möglicherweise nicht testen können.

1. Starten Sie den Configuration Manager. Sie finden ihn im Windows-Startmenü unter Google Cloud Directory Sync > Configuration Manager.

2. Klicken Sie auf Konfiguration der Google-Domain > Verbindungseinstellungen.

   Verbindungseinstellungen" class="l10n-absolute-url-src screenshot" l10n-attrs-original-order="src,alt,class" src="https://cloud.google.com/static/solutions/images/federating-gcp-with-ad-gcds-config-settings-v4.7.6.png" />

3. Autorisieren Sie GCDS und konfigurieren Sie Domaineinstellungen.

4. Klicken Sie im Menü auf Datei > Speichern unter.

5. Geben Sie im Dateidialogfeld PROGRAM_DATA\gcds\config.xml als Dateinamen ein. Ersetzen Sie PROGRAM_DATA durch den Pfad zum Ordner ProgramData, den der PowerShell-Befehl zurückgegeben hat, als Sie ihn zuvor ausgeführt haben.

6. Klicken Sie auf Save (Speichern) und dann auf OK.

Verbindung zu Active Directory herstellen

Im nächsten Schritt konfigurieren Sie GCDS für die Verbindung mit Active Directory:

1. Klicken Sie im Konfigurationsmanager auf LDAP-Konfiguration) > Verbindungseinstellungen.
2. Konfigurieren Sie die LDAP-Verbindungseinstellungen:
   1. Server Type (Servertyp): Wählen Sie MS Active Directory aus.
   2. Connection Type (Verbindungstyp): Wählen Sie entweder Standard LDAP oder LDAP+SSL aus.
   3. Hostname: Geben Sie den Namen eines GC-Servers ein. Diese Einstellung wird nur zum Testen verwendet. Später automatisieren Sie die Erkennung des GC-Servers.
   4. Port: 3268 (GC) oder 3269 (GC über SSL) Wenn Sie einen GCS Server anstelle eines Domain Controllers verwenden, achten Sie darauf, dass Sie Nutzer aus allen Domains Ihrer Active Directory-Gesamtstruktur bereitstellen können. Stellen Sie auch die Authentifizierung nach dem Microsoft ADV190023-Update sicher.
   5. Authentifizierungstyp: Einfach.
   6. Autorisierter Nutzer: Geben Sie den UPN des zuvor erstellten Domainnutzers ein: gcds@UPN_SUFFIX_DOMAIN. Ersetzen Sie UPN_SUFFIX_DOMAIN durch die entsprechende UPN-Suffixdomain für den Nutzer. Alternativ können Sie den Nutzer auch mit der Syntax NETBIOS_DOMAIN_NAME\gcds festlegen.
   7. Base DN (Basis-DN): Lassen Sie dieses Feld leer, damit Suchvorgänge in allen Domains der Gesamtstruktur durchgeführt werden.
3. Klicken Sie auf Test connection (Verbindung testen), um die Einstellungen zu überprüfen. Wenn die Verbindung fehlschlägt, prüfen Sie nochmals, ob Sie den Hostnamen eines GC-Servers angegeben haben und ob Nutzername und Passwort korrekt sind.
4. Klicken Sie auf Schließen.

Entscheiden, was bereitgestellt werden soll

Nachdem Sie erfolgreich eine Verbindung zu GCDS hergestellt haben, können Sie festlegen, welche Elemente bereitgestellt werden sollen:

1. Klicken Sie in Configuration Manager auf General Settings (Allgemeine Einstellungen).
2. Achten Sie darauf, dass User Accounts (Nutzerkonten) ausgewählt ist.
3. Wenn Sie Gruppen bereitstellen möchten, muss Groups (Gruppen) ausgewählt sein. Entfernen Sie andernfalls das Häkchen aus dem Kästchen.
4. Das Synchronisieren von Organisationseinheiten wird in diesem Leitfaden nicht behandelt. Wählen Sie daher nicht die Option Organizational Units (Organisationseinheiten) aus.
5. Wählen Sie weder User Profiles (Nutzerprofile) noch Custom Schemas (Benutzerdefinierte Schemas) aus.

Weitere Informationen finden Sie unter Was Sie bereitstellen möchten.

Nutzer verwalten

Nutzerzuordnungen konfigurieren

Im nächsten Schritt konfigurieren Sie, wie Nutzer in Active Directory zugeordnet werden sollen:

1. Klicken Sie in Configuration Manager auf User Accounts (Nutzerkonten) > Additional User Attributes (Zusätzliche Nutzerattribute).
2. Klicken Sie auf Use defaults (Standardeinstellungen verwenden), um als Attribute für Given Name (Vorname) und Family Name (Nachname) automatisch givenName und sn einzugeben.

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder Google Workspace-Nutzern zuzuordnen, und ob Sie Substitutionen von Domainnamen anwenden müssen. Wenn Sie sich nicht sicher sind, welche Option für Sie am besten geeignet ist, lesen Sie den Artikel dazu, wie die Active Directory-Identitätsverwaltung auf Google Cloud erweitert werden kann.

Weitere Informationen zum Zuordnen von Nutzerattributen finden Sie unter Synchronisierung mit Configuration Manager einrichten.

Löschrichtlinie

Bisher ging es bei der Konfiguration vor allem darum, Nutzer in Cloud Identity oder Google Workspace hinzuzufügen und zu aktualisieren. In Active Directory gesperrte oder gelöschte Nutzer müssen aber auch in Cloud Identity oder Google Workspace gesperrt oder gelöscht werden.

Im Rahmen des Bereitstellungsprozesses generiert GCDS eine Liste der Nutzer in Cloud Identity oder Google Workspace, die keine entsprechenden Übereinstimmungen in den Active Directory-LDAP-Abfrageergebnissen haben. Da die LDAP-Abfrage die Klausel (!(userAccountControl:1.2.840.113556.1.4.803:=2)) enthält, werden alle Nutzer, die seit der letzten Bereitstellung in Active Directory gesperrt oder gelöscht wurden, in diese Liste aufgenommen. Standardmäßig werden diese Nutzer in Cloud Identity oder Google Workspace gelöscht. Sie können dieses Verhalten jedoch anpassen:

1. Klicken Sie im Konfigurationsmanager auf Nutzerkonten > Nutzerattribute.
2. Unter Google Domain Users Deletion/Suspension Policy (Richtlinie für das Löschen/Sperren von Google-Domainnutzern) muss die Option Richtlinie für das Löschen/Sperren von Google-Domainnutzern (Google-Domainadministratoren, die nicht in LDAP gefunden wurden, nicht sperren oder löschen) angeklickt sein. Dadurch wird verhindert, dass GCDS den Super Admin-Nutzer sperrt oder löscht, den Sie zum Konfigurieren Ihres Cloud Identity- oder Google Workspace-Kontos verwendet haben.
3. Ändern Sie optional die Löschrichtlinie für Nutzer ohne Administratorberechtigungen.

Wenn Sie mehrere separate GCDS-Instanzen verwenden, um verschiedene Domains oder Gesamtstrukturen für ein einziges Cloud Identity- oder Google Workspace-Konto bereitzustellen, achten Sie darauf, dass die verschiedenen GCDS-Instanzen sich nicht gegenseitig beeinträchtigen. Standardmäßig werden Nutzer in Cloud Identity oder Google Workspace, die aus einer anderen Quelle bereitgestellt wurden, in Active Directory fälschlicherweise als gelöscht identifiziert. Zur Vermeidung dieser Situation können Sie alle Nutzer, die sich außerhalb des Bereichs der Domain oder Gesamtstruktur befinden, von der aus Sie die Bereitstellung vornehmen, in eine einzelne Organisationseinheit verschieben. Anschließend können Sie diese Organisationseinheit ausschließen.

1. Klicken Sie im Konfigurationsmanager auf Google Domain-Konfiguration > Ausschlussregeln.
2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).

3. Legen Sie folgende Einstellungen fest:

   1. Typ: Organisation – vollständiger Pfad
   2. Match Type (Übereinstimmungstyp): Exact Match (Genaue Übereinstimmung).

   3. Ausschlussregel: Geben Sie den OE-Pfad und den Namen ein. Beispiel:

      ROOT OU/EXCLUDED OU

      Ersetzen Sie ROOT OU/EXCLUDED OU durch den OE-Pfad und den Namen der ausgeschlossenen Organisationseinheit.

4. Klicken Sie auf OK, um die Regel zu erstellen.

Wenn eine einzelne Organisationseinheit nicht zu Ihrem Unternehmen passt, können Sie alternativ die Domain oder Gesamtstruktur anhand der E-Mail-Adressen von Nutzern ausschließen.

Weitere Einzelheiten zu den Lösch- und Sperreinstellungen finden Sie unter Weitere Informationen zu den Optionen von Configuration Manager.

Gruppen verwalten

Im nächsten Schritt konfigurieren Sie, wie Gruppen zwischen Active Directory und Cloud Identity oder Google Workspace zugeordnet werden. Dieser Vorgang hängt davon ab, ob Sie Gruppen nach dem Klarnamen oder der E-Mail-Adresse zuordnen möchten.

Gruppenzuordnungen nach Klarnamen konfigurieren

Bestimmen Sie zuerst die Typen von Sicherheitsgruppen, die Sie bereitstellen möchten. Formulieren Sie anschließend eine geeignete LDAP-Abfrage. Die folgende Tabelle enthält einige häufig verwendete Abfragen.

Die Abfrage für globale Gruppen deckt auch in Active Directory definierte Gruppen ab, z. B. Domain Controller. Sie können diese Gruppen filtern, indem Sie die Suche anhand von Organisationseinheiten (Organizational Units, ou) einschränken.

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder Google Workspace-Nutzern zuzuordnen.

Dieselben Einstellungen gelten auch, wenn Sie beim Zuordnen von Nutzern die Domainsubstitution verwendet haben.

Gruppenzuordnungen nach E-Mail-Adresse konfigurieren

Bestimmen Sie zuerst die Typen von Sicherheitsgruppen, die Sie bereitstellen möchten. Formulieren Sie anschließend eine geeignete LDAP-Abfrage. Die folgende Tabelle enthält einige häufig verwendete Abfragen.

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder Google Workspace-Nutzern zuzuordnen.

Wenn Sie die Option Domainnamen in LDAP-E-Mail-Adressen von Nutzern und Gruppen durch diesen Domainnamen ersetzen aktiviert haben, gilt dies auch für E-Mail-Adressen von Gruppen und Mitgliedern.

Löschrichtlinie

GCDS behandelt das Löschen von Gruppen ähnlich wie das Löschen von Nutzern. Wenn Sie mehrere separate GCDS-Instanzen verwenden, um verschiedene Domains oder Gesamtstrukturen für ein einziges Cloud Identity- oder Google Workspace-Konto bereitzustellen, achten Sie darauf, dass die verschiedenen GCDS-Instanzen sich nicht gegenseitig beeinträchtigen.

Standardmäßig wird ein Gruppenmitglied in Cloud Identity oder Google Workspace, das aus einer anderen Quelle bereitgestellt wurde, in Active Directory fälschlicherweise als gelöscht identifiziert. Zur Vermeidung dieser Situation können Sie GCDS so konfigurieren, dass alle Gruppenmitglieder ignoriert werden, die sich außerhalb des Bereichs der Domain oder Gesamtstruktur befinden, von der aus Sie die Bereitstellung vornehmen.

Weitere Einzelheiten zu Gruppeneinstellungen finden Sie unter Weitere Informationen zu den Optionen von Configuration Manager.

Logging und Benachrichtigungen konfigurieren

Sie müssen GCDS regelmäßig ausführen, damit die Nutzer synchron bleiben. Damit sich die Aktivitäten von GCDS und mögliche Probleme verfolgen lassen, können Sie steuern, wie und wann GCDS eine Logdatei schreibt:

1. Klicken Sie im Configuration Manager auf Logging.
2. Legen Sie Dateiname auf PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log fest. Ersetzen Sie PROGRAM_DATA durch den Pfad zum Ordner ProgramData, den der PowerShell-Befehl zurückgegeben hat, als Sie ihn zuvor ausgeführt haben.

3. Klicken Sie auf Datei > Speichern, um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

Zusätzlich zum Logging kann GCDS Benachrichtigungen per E-Mail senden. Klicken Sie auf Benachrichtigungen und geben Sie die Verbindungsinformationen für Ihren Mail-Server an, um diesen Dienst zu aktivieren.

Nutzerverwaltung simulieren

Die GCDS-Konfiguration ist nun abgeschlossen. Wenn Sie prüfen möchten, ob die Konfiguration ordnungsgemäß funktioniert, müssen Sie die Konfiguration zuerst auf dem Laufwerk speichern und dann eine Nutzerbereitstellung simulieren. Während der Simulation nimmt GCDS keine Änderungen an Ihrem Cloud Identity- oder Google Workspace-Konto vor, sondern meldet stattdessen, welche Änderungen während einer regulären Bereitstellung ausgeführt würden.

1. Klicken Sie im Konfigurationsmanager auf Synchronisierung.
2. Wählen Sie unten auf dem Bildschirm Cache leeren aus und klicken Sie dann auf Synchronisierung simulieren.
3. Prüfen Sie nach Abschluss des Vorgangs im Abschnitt Vorgeschlagene Änderungen des Logs, der in der unteren Hälfte des Dialogfelds angezeigt wird, ob es unerwünschte Änderungen gibt, wie z. B. das Löschen oder Sperren von Nutzern oder Gruppen.

Erste Nutzerverwaltung

Sie können jetzt die erste Nutzerverwaltung auslösen:

So lösen Sie eine Bereitstellung aus:

1. Klicken Sie im Konfigurationsmanager auf Synchronisierung.

2. Wählen Sie am unteren Bildschirmrand Clear Cache (Cache leeren) aus und klicken Sie dann auf Sync & apply changes (Synchronisieren und Änderungen übernehmen).

   Ein Dialogfeld mit dem Status wird angezeigt.

3. Überprüfen Sie nach Abschluss des Vorgangs das Log, das in der unteren Hälfte des Dialogfelds angezeigt wird:

   1. Achten Sie unter Successful user changes (Erfolgreiche Nutzeränderungen) darauf, dass mindestens ein Nutzer erstellt wurde.
   2. Achten Sie unter Failures (Fehler) darauf, dass keine Fehler aufgetreten sind.

Planung

Um sicherzustellen, dass in Active Directory vorgenommene Änderungen an Ihr Cloud Identity- oder Google Workspace-Konto weitergegeben werden, richten Sie eine geplante Aufgabe ein, die stündlich eine Bereitstellung ausführt:

1. Öffnen Sie eine PowerShell-Konsole als Administrator.

2. Prüfen Sie, ob das Active Directory-PowerShell-Modul auf dem System verfügbar ist:

   import-module ActiveDirectory

   Wenn der Befehl fehlschlägt, laden Sie die Remoteserver-Verwaltungstools herunter, installieren Sie sie und versuchen Sie es noch einmal.

3. Erstellen Sie in Notepad eine Datei, kopieren Sie den folgenden Inhalt hinein und speichern Sie die Datei unter %ProgramData%\gcds\sync.ps1. Wenn Sie fertig sind, schließen Sie die Datei.

   [CmdletBinding()]
   Param(
       [Parameter(Mandatory=$True)]
       [string]$config,
   
       [Parameter(Mandatory=$True)]
       [string]$gcdsInstallationDir
   )
   
   import-module ActiveDirectory
   
   # Stop on error.
   $ErrorActionPreference ="stop"
   
   # Ensure it's an absolute path.
   $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
   
   # Discover closest GC in current domain.
   $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
   Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
   
   # Load XML and replace the endpoint.
   $dom = [xml](Get-Content $rawConfigPath)
   $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
   
   # Tweak the endpoint.
   $ldapConfigNode.hostname = [string]$dc.HostName
   $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
   $ldapConfigNode.port = "3268"   # Always use GC port
   
   # Tweak the tsv files location
   $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
   $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
   $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
   
   # Save resulting config.
   $targetConfigPath = $rawConfigPath + ".autodiscover"
   
   $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
   $dom.Save($writer)
   $writer.Close()
   
   # Start provisioning.
   Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
       -Wait -ArgumentList "--apply --config ""$targetConfigPath"""
   

4. Configuration Manager hat einen geheimen Schlüssel zum Verschlüsseln der Anmeldedaten in der Konfigurationsdatei erstellt. Achten Sie darauf, dass GCDS die Konfiguration auch dann lesen kann, wenn sie als geplante Aufgabe ausgeführt wird. Führen Sie dazu die folgenden Befehle aus, um diesen geheimen Schlüssel aus Ihrem eigenen Profil in das Profil von NT AUTHORITY\LOCAL SERVICE zu kopieren:

   New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
   Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
       -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
   

   Wenn die Befehle fehlschlagen, prüfen Sie, ob Sie die PowerShell-Konsole als Administrator gestartet haben.

5. Erstellen Sie mit den folgenden Befehlen eine geplante Aufgabe. Diese wird stündlich ausgelöst und ruft das Skript sync.ps1 als NT AUTHORITY\LOCAL SERVICE auf.

   $taskName = "Synchronize to Cloud Identity"
   $gcdsDir = "$Env:ProgramData\gcds"
   
   $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
     -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
     -WorkingDirectory $gcdsDir
   $trigger = New-ScheduledTaskTrigger `
     -Once `
     -At (Get-Date) `
     -RepetitionInterval (New-TimeSpan -Minutes 60) `
     -RepetitionDuration (New-TimeSpan -Days (365 * 20))
   
   $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
   Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
   
   $task = Get-ScheduledTask -TaskName "$taskName"
   $task.Settings.ExecutionTimeLimit = "PT12H"
   Set-ScheduledTask $task
   

Weitere Informationen finden Sie unter Automatische Synchronisierungen planen.

Nutzerverwaltung testen

Sie haben die Installation und Konfiguration von GCDS abgeschlossen und die geplante Aufgabe löst stündlich eine Bereitstellung aus.

Wechseln Sie zur PowerShell-Konsole und führen Sie den folgenden Befehl aus, um eine Bereitstellung manuell auszulösen:

Start-ScheduledTask "Synchronize to Cloud Identity"