Google Cloud mit Active Directory verbinden: Nutzerkonten bereitstellen

In diesem Artikel erfahren Sie, wie Sie mithilfe von Google Cloud Directory Sync (GCDS) die Nutzer- und Gruppenverwaltung zwischen Active Directory und Ihrem Cloud Identity- oder G Suite-Konto einrichten.

Um dieser Anleitung folgen zu können, benötigen Sie einen Active Directory-Nutzer, der zum Verwalten von Nutzern und Gruppen in Active Directory berechtigt ist. Wenn Sie noch kein Cloud Identity- oder G Suite-Konto haben, benötigen Sie Administratorzugriff auf Ihre DNS-Zone, um Domains prüfen zu können. Wenn Sie bereits ein Cloud Identity- oder G Suite-Konto haben, muss Ihr Nutzer Super Admin-Berechtigungen haben.

Ziele

  • Installieren Sie Cloud Directory Sync und verbinden Sie es mit Active Directory und Cloud Identity oder der G Suite.
  • Konfigurieren Sie Cloud Directory Sync so, dass Nutzer und optional Gruppen in Google Cloud bereitgestellt werden.
  • Registrieren Sie eine geplante Aufgabe für die kontinuierliche Bereitstellung.

Kosten

Mit der kostenlosen Version von Cloud Identity werden keine kostenpflichtigen Komponenten von Google Cloud verwendet, wenn Sie diese Anleitung befolgen.

Vorbereitung

Bereitstellung von Cloud Directory Sync planen

Ort der Bereitstellung von Cloud Directory Sync festlegen

Cloud Directory Sync kann Nutzer und Gruppen aus einem LDAP-Verzeichnis in Cloud Identity oder der G Suite bereitstellen. Cloud Directory Sync vermittelt zwischen dem LDAP-Server und Cloud Identity oder der G Suite und fragt das LDAP-Verzeichnis ab, um die erforderlichen Informationen daraus abzurufen. Außerdem verwendet es die Directory API, um Nutzer in Ihrem Cloud Identity- oder G Suite-Konto hinzuzufügen, zu ändern oder zu löschen.

Active Directory Domain Services basiert auf LDAP. Darum eignet sich Cloud Directory Sync gut dazu, die Nutzerverwaltung zwischen Active Directory und Cloud Identity oder der G Suite zu implementieren.

Wenn Sie eine lokale Active Directory-Infrastruktur mit Google Cloud verbinden, können Sie Cloud Directory Sync entweder lokal oder in Google Cloud auf einer virtuellen Compute Engine-Maschine ausführen. Aus den folgenden Gründen empfiehlt es sich meistens, Cloud Directory Sync lokal auszuführen:

  • Die von Active Directory verwalteten Informationen enthalten personenbezogene Daten und werden normalerweise vertraulich behandelt. Deshalb möchten Sie wahrscheinlich nicht, dass von außerhalb des lokalen Netzwerks auf Active Directory zugegriffen werden kann.
  • Standardmäßig verwendet Active Directory unverschlüsseltes LDAP. Wenn Sie von Google Cloud aus per Fernzugriff Active Directory verwenden, sollten Sie verschlüsselte Kommunikation nutzen. Sie können die Verbindung mithilfe von LDAP/S oder Cloud VPN verschlüsseln, wodurch jedoch die Komplexität der Einrichtung erhöht wird.
  • Die Kommunikation zwischen Cloud Directory Sync und Cloud Identity oder der G Suite erfolgt über HTTPS und erfordert nur geringfügige oder keine Änderungen an der Firewallkonfiguration.

Sie können Cloud Directory Sync entweder unter Windows oder unter Linux ausführen. Obwohl es möglich ist, Cloud Directory Sync auf dem Domain Controller bereitzustellen, sollten Sie es auf einem separaten Computer ausführen. Dieser Computer muss die Systemanforderungen erfüllen und LDAP-Zugriff auf Active Directory haben. Es ist zwar nicht notwendig, dass der Computer einer Domain angehört oder dass auf ihm Windows ausgeführt wird. Es wird aber davon ausgegangen, dass Cloud Directory Sync auf einem Windows-Computer mit Domainzugehörigkeit ausgeführt wird.

Cloud Directory Sync unterstützt die Einrichtung der Bereitstellung mit einer grafischen Benutzeroberfläche (Graphical User Interface, GUI), dem Configuration Manager. Wenn der Server, auf dem Sie Cloud Directory Sync ausführen möchten, eine Desktopdarstellung bietet, können Sie den Configuration Manager auf dem Server selbst ausführen. Andernfalls müssen Sie den Configuration Manager lokal ausführen und dann die resultierende Konfigurationsdatei auf den Server kopieren, um Cloud Directory Sync damit auszuführen. In diesem Leitfaden wird davon ausgegangen, dass Sie den Configuration Manager auf einem Server mit einer GUI ausführen.

Quelle für Datenabruf festlegen

Cloud Directory Sync verwendet LDAP, um mit Active Directory zu interagieren und Informationen zu Nutzern und Gruppen abzurufen. Sie müssen bei Cloud Directory Sync einen Hostnamen und einen Port in der Konfiguration angeben, um diese Interaktion zu ermöglichen. In einer kleinen Active Directory-Umgebung, in der nur ein einziger globaler Katalogserver ausgeführt wird, ist die Angabe eines Hostnamens und eines Ports kein Problem. In diesem Fall können Sie nämlich Cloud Directory Sync direkt an den globalen Katalogserver verweisen.

In einer komplexeren Umgebung, in der redundante globale Katalogserver ausgeführt werden, wird beim Verweis von Cloud Directory Sync auf einen einzelnen Server keine Redundanz genutzt. Daher ist dies nicht ideal. Es ist zwar möglich, einen Load-Balancer einzurichten, der LDAP-Abfragen auf mehrere globale Katalogserver verteilt und Server erfasst, die eventuell vorübergehend nicht verfügbar sind. Es empfiehlt sich aber, Server mit dem DC-Locator dynamisch zu lokalisieren.

Cloud Directory Sync selbst unterstützt derzeit nicht die Verwendung des DC-Locators. In diesem Leitfaden ergänzen Sie Cloud Directory Sync durch ein kleines PowerShell-Skript, mit dem das DC-Locator-Verfahren aktiviert wird. Dadurch brauchen Sie keine Endpunkte globaler Katalogserver statisch zu konfigurieren.

Cloud Identity- oder G Suite-Konto vorbereiten

Nutzer für Cloud Directory Sync erstellen

Damit Cloud Directory Sync mit der API von Cloud Identity und der G Suite interagieren kann, benötigt die Anwendung ein Nutzerkonto mit Administratorberechtigungen.

Bei der Registrierung für Cloud Identity oder die G Suite haben Sie bereits einen Super Admin-Nutzer erstellt. Sie können diesen Nutzer zwar für Cloud Directory Sync verwenden, empfohlen wird jedoch, einen separaten Nutzer einzurichten, der ausschließlich von Cloud Directory Sync verwendet wird:

  1. Öffnen Sie die Admin-Konsole und melden Sie sich mit dem Super Admin-Nutzer an, der bei der Registrierung für Cloud Identity oder die G Suite erstellt wurde.
  2. Klicken Sie im Menü auf Verzeichnis > Nutzer und dann auf Neuen Nutzer hinzufügen, um einen Nutzer zu erstellen.
  3. Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:

    1. Vorname: Google Cloud
    2. Nachname: Directory Sync
    3. Primäre E-Mail-Adresse: cloud-directory-sync

    Behalten Sie die primäre Domain in der E-Mail-Adresse bei, auch wenn die Domain nicht der Gesamtstruktur entspricht, aus der Sie die Bereitstellung vornehmen.

  4. Achten Sie darauf, dass Automatisch neues Passwort generieren auf Deaktiviert gesetzt ist. Geben Sie ein Passwort ein.

  5. Achten Sie darauf, dass Bei der nächsten Anmeldung auffordern, das Passwort zu ändern auf Deaktiviert gesetzt ist.

  6. Klicken Sie auf Neuen Nutzer hinzufügen.

  7. Klicken Sie auf Fertig.

Damit Cloud Directory Sync Nutzerkonten und -gruppen erstellen, auflisten und löschen kann, benötigt der Nutzer zusätzliche Berechtigungen. Außerdem wird empfohlen, den Nutzer von der Einmalanmeldung (SSO) auszunehmen. Andernfalls können Sie Cloud Directory Sync möglicherweise nicht erneut autorisieren, wenn bei der Einmalanmeldung Probleme auftreten. Beides kann erreicht werden, indem der Nutzer als Super Admin festgelegt wird:

  1. Suchen Sie in der Liste den neu erstellten Nutzer und rufen Sie ihn auf.
  2. Klicken Sie unter Administratorrollen und -berechtigungen auf Rollen zuweisen.
  3. Aktivieren Sie die Rolle Super Admin.
  4. Klicken Sie auf Speichern.

Nutzerverwaltung konfigurieren

Active Directory-Nutzer für Cloud Directory Sync erstellen

Cloud Directory Sync benötigt einen Domainnutzer mit ausreichenden Zugriffsberechtigungen, damit es Informationen über Nutzer und Gruppen aus Active Directory abrufen kann. Erstellen Sie einen speziellen Nutzer für Cloud Directory Sync, statt einen vorhandenen Windows-Nutzer dafür zu verwenden:

  1. Öffnen Sie das Snap-in Active Directory-Benutzer und -Computer.
  2. Rufen Sie die Domain und die Organisationseinheit auf, in der Sie den Nutzer erstellen möchten. Wenn Ihre Gesamtstruktur mehrere Domains enthält, erstellen Sie den Nutzer in derselben Domain, in der sich auch der Cloud Directory Sync-Computer befindet.
  3. Klicken Sie mit der rechten Maustaste in den rechten Fensterbereich und wählen Sie Neu > Benutzer aus.
  4. Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:
    1. Vorname: Google Cloud
    2. Nachname: Directory Sync
    3. Benutzeranmeldename: gcds
    4. Benutzeranmeldename (Prä-Windows 2000): gcds
  5. Klicken Sie auf Weiter.
  6. Geben Sie ein Passwort ein, das der Passwortrichtlinie entspricht.
  7. Deaktivieren Sie Benutzer muss Kennwort bei der nächsten Anmeldung ändern.
  8. Wählen Sie Kennwort läuft nie ab aus.
  9. Klicken Sie auf Weiter und dann auf Fertig stellen.

Jetzt sind die Voraussetzungen für die Installation von Cloud Directory Sync erfüllt.

Cloud Directory Sync installieren

Laden Sie auf den Computer, auf dem Sie Cloud Directory Sync ausführen möchten, das Installationsprogramm für Cloud Directory Sync herunter und führen Sie es aus. Sie können das Installationsprogramm mit einem Browser herunterladen oder den folgenden PowerShell-Befehl verwenden:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Nachdem der Download abgeschlossen ist, können Sie mit dem folgenden Befehl den Installationsassistenten starten:

.\dirsync-win64.exe

Ordner für die Cloud Directory Sync-Konfiguration erstellen

Die Konfiguration von Cloud Directory Sync wird in einer XML-Datei gespeichert. Da diese Konfiguration ein OAuth-Aktualisierungstoken enthält, das Cloud Directory Sync für die Authentifizierung bei Google verwendet, müssen Sie darauf achten, dass Sie den für die Konfiguration verwendeten Ordner effektiv schützen.

Cloud Directory Sync braucht auf keine anderen lokalen Ressourcen als diesen Ordner zuzugreifen. Darum muss Cloud Directory Sync für die Ausführung als eingeschränktes Nutzer (LocalService) konfiguriert werden:

  1. Melden Sie sich bei dem Computer, auf dem Sie Cloud Directory Sync installiert haben, entweder als Domain- oder als lokaler Administratornutzer an.
  2. Öffnen Sie eine PowerShell-Konsole mit Administratorberechtigungen.
  3. Führen Sie die folgenden Befehle aus, um einen Ordner mit dem Namen $Env:ProgramData\gcds zum Speichern der Konfiguration zu erstellen und eine Zugriffssteuerungsliste (Access Control List, ACL) anzuwenden, damit nur Cloud Directory Sync und Administratoren Zugriff haben:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
    New-Item -ItemType directory -Path  $gcdsDataFolder
    &icacls "$gcdsDataFolder" /inheritance:r
    &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
    
  4. Führen Sie den Befehl Write-Host $Env:ProgramData aus, um den Speicherort des Ordners "ProgramData" zu ermitteln. Bei englischen Versionen von Windows lautet dieser Pfad normalerweise c:\ProgramData. Sie benötigen diesen Pfad später.

Verbindung zu Google herstellen

Sie verwenden jetzt den Configuration Manager, um die Cloud Directory Sync-Konfiguration vorzubereiten. Bei diesen Schritten wird davon ausgegangen, dass Sie den Configuration Manager auf demselben Server ausführen, auf dem Sie Cloud Directory Sync ausführen möchten.

Wenn Sie den Configuration Manager auf einem anderen Computer ausführen, kopieren Sie die Konfigurationsdatei anschließend auf den Cloud Directory Sync-Server. Beachten Sie, dass Sie die Konfiguration auf einem anderen Computer möglicherweise nicht testen können.

  1. Starten Sie den Configuration Manager. Sie finden ihn im Windows-Startmenü unter Google Cloud Directory Sync > Configuration Manager.
  2. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Connection Settings (Verbindungseinstellungen).

    Konfiguration der Google-Domain > Verbindungseinstellungen

  3. Geben Sie unter Primary Domain Name (Primärer Domänenname) die primäre Domain Ihres Cloud Identity- oder G Suite-Kontos ein. Wenn Sie aus mehreren verschiedenen Gesamtstrukturen in ein einziges Cloud Identity- oder G Suite-Konto bereitstellen, bezieht sich der Name der primären Domain möglicherweise auf eine andere Gesamtstruktur als jene, die Sie einrichten.

  4. Klicken Sie auf Authorize Now (Jetzt autorisieren).

  5. Klicken Sie im Dialogfeld auf Sign-in (Anmelden), um ein Browserfenster für die Anmeldung zu öffnen. Wenn Sie die standardmäßige, sichere Konfiguration von Internet Explorer verwenden, werden möglicherweise mehrere Warnmeldungen angezeigt. In diesem Fall können Sie die URL auf Ihren lokalen Computer kopieren und dort öffnen.

    GCDS autorisieren

  6. Wenn die Google-Anmeldeseite angezeigt wird, melden Sie sich mit dem neu erstellten Google-Nutzer cloud-directory-sync und dem Passwort an, das Sie für diesen Nutzer angegeben haben.

    Wenn Sie Ihr Cloud Identity- oder G Suite-Konto bereits für die Verwendung der Einmalanmeldung (SSO) konfiguriert haben, werden Sie möglicherweise automatisch zur Anmeldeseite von Active Directory Federation Services (AD FS) umgeleitet, auf der Sie sich nicht mit dem Nutzer cloud-directory-sync anmelden können. Klicken Sie in diesem Fall noch einmal auf Sign-in (Anmelden) und drücken Sie die Taste Esc, um das Laden der Seite zu stoppen. Entfernen Sie den Parameter &hd=[PRIMARY_DOMAIN-name] in der Adressleiste des Browsers aus der URL und drücken Sie die Eingabetaste. Durch diesen Schritt wird das Anzeigen der Google-Anmeldeseite erzwungen.

  7. Da Sie das Nutzerkonto zum ersten Mal verwenden, werden Sie gebeten, die Cloud Identity-Vereinbarung zu akzeptieren. Wenn Sie den Bedingungen zustimmen, klicken Sie auf Akzeptieren.

  8. Auf dem folgenden Bildschirm werden Sie gebeten, den Nutzer cloud-directory-sync zu autorisieren, um auf Daten in Ihrem Cloud Identity- oder G Suite-Konto zuzugreifen und sie zu ändern. Klicken Sie zur Bestätigung auf Allow (Zulassen).

    cloud-Directory-Sync für Daten in Ihrem Cloud Identity- oder G Suite-Konto autorisieren

  9. Schließen Sie das Browserfenster, wenn die Meldung Received verification code angezeigt wird.

  10. Klicken Sie im Menü auf File (Datei) > Save as (Speichern unter).

  11. Geben Sie im Dateidialogfeld [PROGRAM_DATA]\gcds\config.xml als Dateinamen ein. Ersetzen Sie [PROGRAM_DATA] durch den Pfad zum Ordner "ProgramData", den der PowerShell-Befehl zurückgegeben hat, als Sie ihn zuvor ausgeführt haben.

  12. Klicken Sie auf Save (Speichern) und dann auf OK.

Verbindung zu Active Directory herstellen

Konfigurieren Sie als nächsten Schritt Cloud Directory Sync, um eine Verbindung zu Active Directory herzustellen:

  1. Klicken Sie im Configuration Manager auf LDAP Configuration (LDAP-Konfiguration) > Connection Settings (Verbindungseinstellungen).
  2. Legen Sie folgende Einstellungen fest:
    1. Server Type (Servertyp): Wählen Sie MS Active Directory aus.
    2. Connection Type (Verbindungstyp): Wählen Sie Standard LDAP aus.
    3. Host Name (Hostname): Geben Sie den Namen eines globalen Katalogservers ein. Diese Einstellung wird nur zum Testen verwendet. Später automatisieren Sie die Erkennung des globalen Katalogservers.
    4. Port: 3268. Wenn Sie einen globalen Katalogserver anstelle eines Domain Controllers verwenden, achten Sie darauf, dass Sie Nutzer aus allen Domains Ihrer Active Directory-Gesamtstruktur bereitstellen können.
    5. Authentication Type (Authentifizierungstyp): Simple (Einfach).
    6. Authorized User (Autorisierter Nutzer): Geben Sie den UPN des zuvor erstellten Domainnutzers ein: gcds@[UPN_SUFFIX_DOMAIN]. Ersetzen Sie [UPN_SUFFIX_DOMAIN] durch die entsprechende UPN-Suffixdomain für den Nutzer. Alternativ können Sie den Nutzer auch mit der Syntax [NETBIOS-DOMAIN-NAME]\gcds festlegen.
    7. Base DN (Basis-DN): Lassen Sie dieses Feld leer, damit Suchvorgänge in allen Domains der Gesamtstruktur durchgeführt werden.
  3. Klicken Sie auf Test connection (Verbindung testen), um die Einstellungen zu überprüfen. Wenn die Verbindung fehlschlägt, überprüfen Sie nochmals, ob Sie den Hostnamen eines globalen Katalogservers angegeben haben und ob Nutzername und Passwort korrekt sind. Ignorieren Sie, dass Sie in der Fehlermeldung möglicherweise aufgefordert werden, einen Basis-DN anzugeben.
  4. Klicken Sie auf Close (Schließen).
  5. Klicken Sie auf File (Datei) und dann auf Save (Speichern), um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

Entscheiden, was bereitgestellt werden soll

Nachdem Sie erfolgreich eine Verbindung zu Cloud Directory Sync hergestellt haben, können Sie festlegen, welche Elemente bereitgestellt werden sollen:

  1. Klicken Sie im Configuration Manager auf General Settings (Allgemeine Einstellungen).
  2. Achten Sie darauf, dass User Accounts (Nutzerkonten) ausgewählt ist.
  3. Wenn Sie Gruppen bereitstellen möchten, muss Groups (Gruppen) ausgewählt sein. Entfernen Sie andernfalls das Häkchen aus dem Kästchen.
  4. Das Synchronisieren von Organisationseinheiten wird in diesem Leitfaden nicht behandelt. Wählen Sie daher nicht die Option Organizational Units (Organisationseinheiten) aus.
  5. Wählen Sie weder User Profiles (Nutzerprofile) noch Custom Schemas (Benutzerdefinierte Schemas) aus.
  6. Klicken Sie auf File (Datei) und dann auf Save (Speichern), um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

Nutzer verwalten

Nutzerzuordnungen konfigurieren

Im nächsten Schritt konfigurieren Sie, wie Nutzer zwischen Active Directory und Cloud Identity oder der G Suite zugeordnet werden.

  1. Klicken Sie im Configuration Manager auf User Accounts (Nutzerkonten) > Additional User Attributes (Zusätzliche Nutzerattribute).
  2. Klicken Sie auf Use defaults (Standardeinstellungen verwenden), um als Attribute für Given Name (Vorname) und Family Name (Nachname) automatisch givenName und sn einzugeben.

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder G Suite-Nutzern zuzuordnen, und ob Sie Substitutionen von Domainnamen anwenden müssen. Wenn Sie sich nicht sicher sind, welche Option für Sie am besten geeignet ist, lesen Sie den Artikel dazu, wie die Active Directory-Identitätsverwaltung auf Google Cloud erweitert werden kann.

UPN

  1. Klicken Sie im Configuration Manager auf User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Legen Sie folgende Einstellungen fest:
    1. Attribut für die E-Mail-Adresse: userPrincipalName
    2. Attribut für Nutzerkennzeichnung: objectGUID
  3. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  4. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel trifft auf alle nicht deaktivierten Nutzer zu, ignoriert jedoch Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains in der Gesamtstruktur zu durchsuchen.

  5. Klicken Sie auf OK, um die Regel zu erstellen.

  6. Klicken Sie auf den Tab Exclusion Rules (Ausschlussregeln) und dann auf Add Exclusion Rule (Ausschlussregel hinzufügen). Damit der Nutzer, den Cloud Directory Sync zum Lesen aus Active Directory verwendet, nicht in Cloud Identity oder der G Suite bereitgestellt wird, geben Sie die folgenden Einstellungen ein:

    1. Exclude Type (Ausschlusstyp): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Exact Match (Genaue Übereinstimmung).
    3. Ausschlussregel: gcds@[UPN_SUFFIX_DOMAIN]. Ersetzen Sie [UPN_SUFFIX_DOMAIN] durch die in Active Directory verwendete UPN-Suffixdomain.
  7. Klicken Sie auf OK.

  8. Klicken Sie auf File (Datei) und dann auf Save (Speichern), um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

UPN: Domainersetzung

  1. Klicken Sie im Configuration Manager auf den Tab User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Legen Sie folgende Einstellungen fest:
    1. Attribut für die E-Mail-Adresse: userPrincipalName
    2. Attribut für Nutzerkennzeichnung: objectGUID
  3. Klicken Sie auf OK, um die Regel zu erstellen.
  4. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  5. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel trifft auf alle nicht deaktivierten Nutzer zu, abr nicht auf Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains innerhalb der Gesamtstruktur zu durchsuchen.

  6. Klicken Sie auf OK, um die Regel zu erstellen.

  7. Klicken Sie auf den Tab Exclusion Rules (Ausschlussregeln) und dann auf Ausschlussregel hinzufügen. Um sicherzustellen, dass der Nutzer, den Cloud Directory Sync zum Lesen aus Active Directory verwendet, nicht in Cloud Identity oder der G Suite bereitgestellt wird, geben Sie die folgenden Einstellungen ein:

    1. Exclude Type (Ausschlusstyp): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Exact Match (Genaue Übereinstimmung).
    3. Ausschlussregel: gcds@[PRIMARY_DOMAIN]. Ersetzen Sie [PRIMARY_DOMAIN] durch die primäre Domain Ihres Cloud Identity- oder G Suite-Kontos.
  8. Klicken Sie auf OK.

  9. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Connection Settings (Verbindungseinstellungen) und wählen Sie Replace domain names in LDAP email addresses (of users and groups) with this domain name (Domainnamen in LDAP-E-Mail-Adressen von Nutzern und Gruppen durch diesen Domainnamen ersetzen) aus.

  10. Klicken Sie auf File (Datei) und dann auf Save (Speichern), um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

E-Mail

  1. Klicken Sie im Configuration Manager auf User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Legen Sie folgende Einstellungen fest:
    1. Attribut für die E-Mail-Adresse: mail
    2. Attribut für Nutzerkennzeichnung: objectGUID
  3. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  4. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel trifft gilt für alle nicht deaktivierten Nutzer mit einer nicht leeren E-Mail-Adresse, aber nicht für Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains in der Gesamtstruktur zu durchsuchen.

  5. Klicken Sie auf OK, um die Regel zu erstellen.

  6. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

E-Mail: Domainsubstitution

  1. Klicken Sie im Configuration Manager auf User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Legen Sie folgende Einstellungen fest:
    1. Attribut für die E-Mail-Adresse: mail
    2. Attribut für Nutzerkennzeichnung: objectGUID
  3. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  4. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel trifft gilt für alle nicht deaktivierten Nutzer mit einer nicht leeren E-Mail-Adresse, aber nicht für Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains in der Gesamtstruktur zu durchsuchen.

  5. Klicken Sie auf OK, um die Regel zu erstellen.

  6. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Connection Settings (Verbindungseinstellungen) und wählen Sie Replace domain names in LDAP email addresses (of users and groups) with this domain name (Domainnamen in LDAP-E-Mail-Adressen von Nutzern und Gruppen durch diesen Domainnamen ersetzen) aus.

  7. Klicken Sie auf File (Datei) und dann auf Save (Speichern), um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

Löschrichtlinie

Bisher ging es bei der Konfiguration vor allem darum, Nutzer in Cloud Identity oder der G Suite hinzuzufügen und zu aktualisieren. In Active Directory gesperrte oder gelöschte Nutzer müssen aber auch in Cloud Identity oder der G Suite gesperrt oder gelöscht werden.

Im Rahmen des Bereitstellungsvorgangs generiert Cloud Directory Sync eine Liste von Nutzern in Cloud Identity oder der G Suite, für die in den Active Directory-LDAP-Abfrageergebnissen keine entsprechenden Übereinstimmungen vorhanden sind. Da die LDAP-Abfrage die Klausel (!(userAccountControl:1.2.840.113556.1.4.803:=2) enthält, werden alle Nutzer, die seit der letzten Bereitstellung in Active Directory gesperrt oder gelöscht wurden, in diese Liste aufgenommen. Das Standardverhalten von Cloud Directory Sync besteht darin, diese Nutzer in Cloud Identity oder der G Suite zu löschen. Sie können dieses Verhalten jedoch anpassen:

  1. Klicken Sie im Configuration Manager auf User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Unter Google Domain Users Deletion/Suspension Policy (Richtlinie für das Löschen/Sperren von Google-Domainnutzern) muss die Option Richtlinie für das Löschen/Sperren von Google-Domainnutzern (Google-Domainadministratoren, die nicht in LDAP gefunden wurden, nicht sperren oder löschen) angeklickt sein. Dadurch wird verhindert, dass Cloud Directory Sync den Super Admin-Nutzer sperrt oder löscht, den Sie zum Konfigurieren von Cloud Identity oder der G Suite verwendet haben.
  3. Ändern Sie optional die Löschrichtlinie für Nutzer ohne Administratorberechtigungen.
  4. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

Wenn Sie mehrere separate Instanzen von Cloud Directory Sync verwenden, um verschiedene Domains oder Gesamtstrukturen in einem einzigen Cloud Identity- oder G Suite-Konto bereitzustellen, dürfen sich die verschiedenen Cloud Directory Sync-Instanzen nicht gegenseitig beeinflussen. Standardmäßig werden Nutzer in Cloud Identity oder der G Suite, die aus einer anderen Quelle bereitgestellt wurden, in Active Directory fälschlicherweise als gelöscht identifiziert. Sie können dies vermeiden, indem Sie Cloud Directory Sync so konfigurieren, dass alle Nutzer ignoriert werden, die sich außerhalb des Bereichs der Domain oder Gesamtstruktur befinden, von der aus Sie die Bereitstellung vornehmen.

UPN

  1. Klicken Sie im Configuration Manager auf Google Domain Configuration (Google Domain-Konfiguration) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![UPN_SUFFIX_DOMAIN]).*)$

      Ersetzen Sie [UPN_SUFFIX_DOMAIN] durch die UPN-Suffixdomain. Beispiel:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

UPN: Domainersetzung

  1. Klicken Sie im Configuration Manager auf Google Domain Configuration (Google Domain-Konfiguration) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Ersetzen Sie [SUBSTITUTION_DOMAIN] durch die Domain, durch die Sie die UPN-Suffixdomain ersetzen. Beispiel:

      .*@((?!corp.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail

  1. Klicken Sie im Configuration Manager auf Google Domain Configuration (Google Domain-Konfiguration) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![MX_DOMAIN]).*)$

      Ersetzen Sie [MX_DOMAIN] durch den Domainnamen, den Sie in E-Mail-Adressen verwenden. Beispiel:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail: Domainsubstitution

  1. Klicken Sie im Configuration Manager auf Google Domain Configuration (Google Domain-Konfiguration) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Ersetzen Sie [SUBSTITUTION_DOMAIN] durch die Domain, durch die Sie die E-Mail-Domain ersetzen. Beispiel:

      .*@((?!corp.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

Gruppen verwalten

Im nächsten Schritt konfigurieren Sie, wie Gruppen zwischen Active Directory und Cloud Identity oder der G Suite zugeordnet werden. Dieser Vorgang hängt davon ab, ob Sie Gruppen nach dem Klarnamen oder der E-Mail-Adresse zuordnen möchten.

Gruppenzuordnungen nach Klarnamen konfigurieren

Bestimmen Sie zuerst die Typen von Sicherheitsgruppen, die Sie bereitstellen möchten. Formulieren Sie anschließend eine geeignete LDAP-Abfrage. Die folgende Tabelle enthält einige häufig verwendete Abfragen.

Typ LDAP-Abfrage
Lokale Domaingruppen (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Globale Gruppen (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Universelle Gruppen (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Globale und universelle Gruppen (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))

Die Abfrage für globale Gruppen deckt auch in Active Directory definierte Gruppen ab, z. B. Domain Controller. Sie können diese Gruppen filtern, indem Sie die Suche anhand von Organisationseinheiten (Organizational Units, ou) einschränken.

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder G Suite-Nutzern zuzuordnen.

UPN

  1. Klicken Sie im Configuration Manager auf Groups (Gruppen) > Search Rules (Suchregeln).
  2. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine Regel hinzuzufügen, die Nutzer und verschachtelte Gruppenmitgliedschaften erfasst.
  3. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie die LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  4. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Attribut für Gruppen-E-Mail-Adressen: cn
    2. Attribut für den Anzeigenamen der Gruppe: name
    3. Attribut für Gruppenbeschreibung: description
    4. Attribut für Nutzer-E-Mail-Name: userPrincipalName
  5. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Attribut für den Mitgliederverweis: member
    2. Lassen Sie die restlichen Felder leer.
  6. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Attribut für den Eigentümerverweis: managedBy
    2. Lassen Sie die restlichen Felder leer.
  7. Klicken Sie auf den Tab Prefix-Suffix (Präfix/Suffix).
  8. Geben Sie im Feld Group Email Address (Gruppen-E-Mail-Adresse) die folgenden Einstellungen ein:
    1. Suffix: @[PRIMARY_DOMAIN], wobei Sie [PRIMARY_DOMAIN] durch die primäre Domain Ihres Cloud Identity- oder G Suite-Kontos ersetzen müssen. Die Einstellung erscheint zwar überflüssig, da Cloud Directory Sync die Domain automatisch anfügt. Sie müssen die Einstellung aber explizit angeben, um zu verhindern, dass mehrfache Cloud Directory Sync-Instanzen Gruppenmitglieder löschen, die sie nicht hinzugefügt haben. Beispiel: @example.com.
    2. Klicken Sie auf OK.
  9. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine weitere Regel hinzuzufügen, die verschachtelte Gruppenmitgliedschaften erfasst.
  10. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie dieselbe LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  11. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Attribut für Gruppen-E-Mail-Adressen: cn
    2. Attribut für den Anzeigenamen der Gruppe: name
    3. Attribut für Gruppenbeschreibung: description
    4. Attribut für Nutzer-E-Mail-Name: cn
  12. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Attribut für den Mitgliederverweis: member
    2. Lassen Sie die restlichen Felder leer.
  13. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Attribut für den Eigentümerverweis: managedBy
    2. Lassen Sie die restlichen Felder leer.
  14. Klicken Sie auf den Tab Prefix-Suffix (Präfix/Suffix).
  15. Geben Sie im Feld Group Email Address (Gruppen-E-Mail-Adresse) die folgenden Einstellungen ein:
    • Suffix: @[PRIMARY_DOMAIN], wobei [PRIMARY_DOMAIN] durch die primäre Domain Ihres Cloud Identity- oder G Suite-Kontos ersetzt werden muss.
  16. Klicken Sie auf OK.
  17. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

E-Mail

  1. Klicken Sie im Configuration Manager auf Groups (Gruppen) > Search Rules (Suchregeln).
  2. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine Regel hinzuzufügen, die beide Gruppenmitgliedschaften erfasst.
  3. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie die LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  4. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Attribut für Gruppen-E-Mail-Adressen: cn
    2. Attribut für den Anzeigenamen der Gruppe: name
    3. Attribut für Gruppenbeschreibung: description
    4. Attribut für Nutzer-E-Mail-Name: mail
  5. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Attribut für den Mitgliederverweis: member
    2. Lassen Sie die restlichen Felder leer.
  6. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Attribut für den Eigentümerverweis: managedBy
    2. Lassen Sie die restlichen Felder leer.
  7. Klicken Sie auf OK.
  8. Klicken Sie auf File (Datei) und dann auf Save (Speichern), um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

Dieselben Einstellungen gelten auch, wenn Sie beim Zuordnen von Nutzern die Domainsubstitution verwendet haben.

Gruppenzuordnungen nach E-Mail-Adresse konfigurieren

Bestimmen Sie zuerst die Typen von Sicherheitsgruppen, die Sie bereitstellen möchten. Formulieren Sie anschließend eine geeignete LDAP-Abfrage. Die folgende Tabelle enthält einige häufig verwendete Abfragen.

Typ LDAP-Abfrage
Lokale Domaingruppen mit E-Mail-Adresse (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Globale Gruppen mit E-Mail-Adresse (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Universelle Gruppen mit E-Mail-Adresse (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Globale und universelle Gruppen mit E-Mail-Adresse (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory den Cloud Identity- oder G Suite-Nutzern zuzuordnen.

UPN

  1. Klicken Sie im Configuration Manager auf Groups (Gruppen) > Search Rules (Suchregeln).
  2. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine Regel hinzuzufügen, die beide Gruppenmitgliedschaften erfasst.
  3. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie die LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  4. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Attribut für Gruppen-E-Mail-Adressen: mail
    2. Attribut für den Anzeigenamen der Gruppe: name
    3. Attribut für Gruppenbeschreibung: description
    4. Attribut für Nutzer-E-Mail-Name: userPrincipalName
  5. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Attribut für den Mitgliederverweis: member
    2. Lassen Sie die restlichen Felder leer.
  6. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Attribut für den Eigentümerverweis: managedBy
    2. Lassen Sie die restlichen Felder leer.
  7. Klicken Sie auf OK.
  8. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine weitere Regel hinzuzufügen, die verschachtelte Gruppenmitgliedschaften erfasst.
  9. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie dieselbe LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  10. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Attribut für Gruppen-E-Mail-Adressen: mail
    2. Attribut für den Anzeigenamen der Gruppe: name
    3. Attribut für Gruppenbeschreibung: description
    4. Attribut für Nutzer-E-Mail-Name: mail
  11. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Attribut für den Mitgliederverweis: member
    2. Lassen Sie die restlichen Felder leer.
  12. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Attribut für den Eigentümerverweis: managedBy
    2. Lassen Sie die restlichen Felder leer.
  13. Klicken Sie auf OK.
  14. Klicken Sie auf Datei und dann auf Speichern, um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

E-Mail

  1. Klicken Sie im Configuration Manager auf Groups (Gruppen) > Search Rules (Suchregeln).
  2. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine Regel hinzuzufügen, die beide Gruppenmitgliedschaften erfasst.
  3. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie die LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  4. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Attribut für Gruppen-E-Mail-Adressen: mail
    2. Attribut für den Anzeigenamen der Gruppe: name
    3. Attribut für Gruppenbeschreibung: description
    4. Attribut für Nutzer-E-Mail-Name: mail
  5. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Attribut für den Mitgliederverweis: member
    2. Lassen Sie die restlichen Felder leer.
  6. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Attribut für den Eigentümerverweis: managedBy
    2. Lassen Sie die restlichen Felder leer.
  7. Klicken Sie auf OK.
  8. Klicken Sie auf Datei und dann auf Speichern, um die Konfigurationsänderungen per Commit auf das Laufwerk zu übertragen. Klicken Sie dann auf OK.

Dieselben Einstellungen gelten auch, wenn Sie beim Zuordnen von Nutzern die Domainsubstitution verwendet haben.

Löschrichtlinie

Cloud Directory Sync behandelt das Löschen von Gruppen ähnlich wie das Löschen von Nutzern. Wenn Sie mehrere separate Instanzen von Cloud Directory Sync verwenden, um verschiedene Domains oder Gesamtstrukturen in einem einzigen Cloud Identity- oder G Suite-Konto bereitzustellen, dürfen sich die verschiedenen Cloud Directory Sync-Instanzen nicht gegenseitig beeinflussen.

Standardmäßig werden Nutzer in Cloud Identity oder der G Suite, die aus einer anderen Quelle bereitgestellt wurden, in Active Directory fälschlicherweise als gelöscht identifiziert. Sie können dies vermeiden, indem Sie Cloud Directory Sync so konfigurieren, dass alle Nutzer ignoriert werden, die sich außerhalb des Bereichs der Domain oder Gesamtstruktur befinden, von der aus Sie die Bereitstellung vornehmen.

UPN

  1. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![UPN_SUFFIX_DOMAIN]).*)$

      Ersetzen Sie [UPN_SUFFIX_DOMAIN] durch die UPN-Suffixdomain. Beispiel:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

UPN: Domainersetzung

  1. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Ersetzen Sie [SUBSTITUTION_DOMAIN] durch die Domain, durch die Sie die UPN-Suffixdomain ersetzen. Beispiel:

      .*@((?!corp.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail

  1. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![MX_DOMAIN]).*)$

      Ersetzen Sie [MX_DOMAIN] durch den Domainnamen, den Sie in E-Mail-Adressen verwenden. Beispiel:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail: Domainsubstitution

  1. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Ersetzen Sie [SUBSTITUTION_DOMAIN] durch die Domain, durch die Sie die E-Mail-Domain ersetzen. Beispiel:

      .*@((?!corp.example.com).*)$
    4. Klicken Sie auf OK, um die Regel zu erstellen.

Logging und Benachrichtigungen konfigurieren

Sie müssen Cloud Directory Sync regelmäßig ausführen, damit die Nutzer synchron bleiben. Damit sich die Aktivitäten von Cloud Directory Sync und mögliche Probleme verfolgen lassen, können Sie Cloud Directory Sync so konfigurieren, dass eine Logdatei geschrieben wird:

  1. Klicken Sie im Configuration Manager auf Logging.
  2. Legen Sie Dateiname auf [PROGRAM_DATA]\gcds\gcds_sync.log fest. Ersetzen Sie [PROGRAM_DATA] durch den Pfad zum Ordner "ProgramData", den der PowerShell-Befehl zurückgegeben hat, als Sie ihn zuvor ausgeführt haben.
  3. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

Zusätzlich zum Logging kann Cloud Directory Sync Benachrichtigungen per E-Mail senden. Klicken Sie auf Notifications (Benachrichtigungen) und geben Sie die Verbindungsdaten für Ihren Mail-Server an, um diesen Dienst zu aktivieren.

Nutzerverwaltung simulieren

Sie haben die Konfiguration von Cloud Directory Sync abgeschlossen. Sie können eine Nutzerverwaltung simulieren, um zu überprüfen, ob die Konfiguration wie vorgesehen funktioniert. Während der Simulation nimmt GCDS keine Änderungen an Cloud Identity vor, sondern meldet stattdessen, welche Änderungen während einer regulären Bereitstellung ausgeführt würden.

  1. Klicken Sie im Configuration Manager auf Sync (Synchronisierung).
  2. Wählen Sie unten auf dem Bildschirm Cache leeren aus und klicken Sie dann auf Synchronisierung simulieren.
  3. Überprüfen Sie nach Abschluss des Vorgangs den Abschnitt Vorgeschlagene Änderungen des Protokolls, der in der unteren Hälfte des Dialogfelds angezeigt wird, und stellen Sie sicher, dass mindestens ein Nutzer zum Erstellen oder Ändern vorgeschlagen wird.

Erste Nutzerverwaltung

Sie können jetzt die erste Nutzerverwaltung auslösen:

Warnungen

  • Wenn eine Nutzerverwaltung ausgelöst wird, werden permanente Änderungen an den Nutzern und Gruppen in Ihrem Cloud Identity- oder G Suite-Konto vorgenommen.
  • Wenn Sie eine große Anzahl von zu verwaltenden Nutzern haben, sollten Sie die LDAP-Abfrage eventuell vorübergehend ändern, damit nur ein Teil dieser Nutzer berücksichtigt wird. Mit dieser Untergruppe von Nutzern können Sie dann den Vorgang testen und bei Bedarf Einstellungen anpassen. Nachdem Sie die Ergebnisse überprüft haben, ändern Sie die LDAP-Abfrage zurück und verwalten Sie die verbleibenden Nutzer.
  • Vermeiden Sie es, beim Testen mehrmals eine große Anzahl von Nutzern zu ändern oder zu löschen, da dies als missbräuchliches Verhalten gewertet werden kann.

So lösen Sie eine Bereitstellung aus:

  1. Klicken Sie im Configuration Manager auf Sync (Synchronisierung).
  2. Wählen Sie am unteren Bildschirmrand Clear Cache (Cache leeren) aus und klicken Sie dann auf Sync & apply changes (Synchronisieren und Änderungen übernehmen).

    Ein Dialogfeld mit dem Status wird angezeigt.

  3. Überprüfen Sie nach Abschluss des Vorgangs das Log, das in der unteren Hälfte des Dialogfelds angezeigt wird:

    1. Achten Sie unter Successful user changes (Erfolgreiche Nutzeränderungen) darauf, dass mindestens ein Nutzer erstellt wurde.
    2. Achten Sie unter Failures (Fehler) darauf, dass keine Fehler aufgetreten sind.

Wenn Sie sich für die Bereitstellung von Gruppen entschieden haben, enthält der Rest des Logs möglicherweise mehrere Warnungen, die normalerweise ignoriert werden können.

Planung

Um sicherzustellen, dass in Active Directory vorgenommene Änderungen an Cloud Identity weitergegeben werden, richten Sie eine geplante Aufgabe ein, die stündlich eine Bereitstellung ausführt:

  1. Öffnen Sie eine PowerShell-Konsole als Administrator.
  2. Prüfen Sie, ob das Active Directory-PowerShell-Modul auf dem System verfügbar ist:

    import-module ActiveDirectory

    Wenn der Befehl fehlschlägt, laden Sie die Remoteserver-Verwaltungstools herunter, installieren Sie sie und versuchen Sie es noch einmal.

  3. Erstellen Sie im Editor eine Datei, kopieren Sie den folgenden Inhalt hinein und speichern Sie die Datei unter $Env:ProgramData\gcds\sync.ps1. Wenn Sie fertig sind, schließen Sie die Datei.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True, Position=1)]
        [string]$config,
    
        [Parameter(Mandatory=$True, Position=1)]
        [string]$gcdsInstallationDir
    )
    
    import-module ActiveDirectory
    
    # Stop on error.
    $ErrorActionPreference ="stop"
    
    # Ensure it's an absolute path.
    $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
    
    # Discover closest GC in current domain.
    $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
    Write-Host ("Using Global Catalog server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
    
    # Load XML and replace the endpoint.
    $dom = [xml](Get-Content $rawConfigPath)
    $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
    
    # Tweak the endpoint.
    $ldapConfigNode.hostname = [string]$dc.HostName
    $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
    $ldapConfigNode.port = "3268"   # Always use Global Catalog port
    
    # Tweak the tsv files location
    $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
    $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
    $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
    
    # Save resulting config.
    $targetConfigPath = $rawConfigPath + ".autodiscover"
    
    $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
    $dom.Save($writer)
    $writer.Close()
    
    # Start provisioning.
    Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
        -Wait -ArgumentList "--apply --loglevel INFO --config ""$targetConfigPath"""
    
  4. Der Configuration Manager hat einen geheimen Schlüssel zum Verschlüsseln der Anmeldedaten in der Konfigurationsdatei erstellt. Achten Sie darauf, dass Cloud Directory Sync die Konfiguration auch dann lesen kann, wenn sie als geplante Aufgabe ausgeführt wird. Führen Sie dazu die folgenden Befehle aus, um diesen geheimen Schlüssel aus Ihrem eigenen Profil in das Profil von NT AUTHORITY\LOCAL SERVICE zu kopieren:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force
    
    Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
        -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
    

    Wenn die Befehle fehlschlagen, prüfen Sie, ob Sie die PowerShell-Konsole als Administrator gestartet haben.

  5. Erstellen Sie mit den folgenden Befehlen eine geplante Aufgabe. Diese wird stündlich ausgelöst und ruft das Skript sync.ps1 als NT AUTHORITY\LOCAL SERVICE auf.

    $taskName = "Synchronize to Cloud Identity"
    $gcdsDir = "$Env:ProgramData\gcds"
    
    $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
      -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
      -WorkingDirectory $gcdsDir
    $trigger = New-ScheduledTaskTrigger `
      -Once `
      -At (Get-Date) `
      -RepetitionInterval (New-TimeSpan -Minutes 60) `
      -RepetitionDuration (New-TimeSpan -Days (365 * 20))
    
    $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
    Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
    
    $task = Get-ScheduledTask -TaskName "$taskName"
    $task.Settings.ExecutionTimeLimit = "PT12H"
    Set-ScheduledTask $task
    

Nutzerverwaltung testen

Sie haben die Installation und Konfiguration von Cloud Directory Sync abgeschlossen und die geplante Aufgabe löst stündlich eine Bereitstellung aus.

Wechseln Sie zur PowerShell-Konsole und führen Sie den folgenden Befehl aus, um eine Bereitstellung manuell auszulösen:

$taskName = "Synchronize to Cloud Identity"
Start-ScheduledTask $taskName

Bereinigen

Führen Sie die folgenden Schritte aus, um Cloud Directory Sync zu entfernen:

  1. Öffnen Sie die Windows-Systemsteuerung und klicken Sie auf Programme > Programm deinstallieren.
  2. Wählen Sie Google Cloud Directory Sync aus und klicken Sie auf Deinstallieren/ändern, um den Deinstallationsassistenten zu starten. Folgen Sie dann der Anleitung des Assistenten.
  3. Öffnen Sie eine PowerShell-Konsole und führen Sie den folgenden Befehl aus, um die geplante Aufgabe zu entfernen:

    $taskName = "Synchronize to Cloud Identity"
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
    
  4. Löschen Sie die Konfigurations- und Logdateien mit dem folgenden Befehl:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
    Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
    

Weitere Informationen