Google Cloud Platform mit Active Directory verbinden: Nutzerkonten synchronisieren

Dieser Leitfaden ist der zweite Teil einer mehrteiligen Reihe, in der erläutert wird, wie eine vorhandene Active Directory-basierte Identitätsverwaltungslösung auf die Google Cloud Platform (GCP) erweitert wird. In diesem Leitfaden erfahren Sie, wie Sie die Kontosynchronisierung zwischen Active Directory und Cloud Identity mithilfe von Google Cloud Directory Sync (GCDS) einrichten.

Die Reihe besteht aus folgenden Teilen:

In diesem Leitfaden wird davon ausgegangen, dass Sie eine vorhandene Active Directory-Gesamtstruktur haben und alle Domains in der Gesamtstruktur mit Cloud Identity synchronisieren möchten.

Damit Sie diesem Leitfaden folgen können, müssen Sie Zugriff auf ein Active Directory-Konto haben, mit dem sich Nutzer verwalten lassen. Wenn Sie noch kein Cloud Identity-Konto haben, benötigen Sie Administratorzugriff auf Ihre DNS-Zone, um Domains zu überprüfen. Wenn Sie schon ein Konto besitzen, achten Sie darauf, dass Sie in Cloud Identity ein Nutzerkonto mit Super Admin-Berechtigungen haben.

Ziele

  • Cloud Directory Sync installieren und mit Active Directory und Cloud Identity verbinden
  • Cloud Directory Sync konfigurieren, um Nutzerkonten mit Cloud Identity zu synchronisieren
  • Geplante Aufgabe für die kontinuierliche Synchronisierung mit Cloud Identity registrieren

Kosten

Wenn Sie die kostenlose Edition von Cloud Identity verwenden, werden keine abrechenbaren GCP-Komponenten genutzt, während Sie diesem Leitfaden folgen.

Vorbereitung

Bereitstellung von Cloud Directory Sync planen

Ort der Bereitstellung von Cloud Directory Sync festlegen

Cloud Directory Sync kann Nutzerkonten und Gruppen aus einem LDAP-Verzeichnis mit Cloud Identity synchronisieren. Cloud Directory Sync vermittelt zwischen dem LDAP-Server und Cloud Identity und fragt das LDAP-Verzeichnis ab, um die erforderlichen Informationen daraus abzurufen. Außerdem verwendet es die Directory API, um Konten in Cloud Identity hinzuzufügen, zu ändern oder zu löschen.

Active Directory Domain Services basiert auf LDAP. Darum eignet sich Cloud Directory Sync gut dazu, die Kontosynchronisierung zwischen Active Directory und Cloud Identity zu implementieren.

Wenn Sie eine lokale Active Directory-Infrastruktur mit der GCP verbinden, können Sie Cloud Directory Sync entweder lokal oder in der GCP auf einer virtuellen Compute Engine-Maschine ausführen. Aus den folgenden Gründen empfiehlt es sich meist, Cloud Directory Sync lokal auszuführen:

  • Die von Active Directory verwalteten Informationen enthalten personenbezogene Daten und werden normalerweise als vertraulich betrachtet. Deshalb möchten Sie wahrscheinlich nicht, dass von außerhalb des lokalen Netzwerks auf Active Directory zugegriffen werden kann.
  • Standardmäßig verwendet Active Directory unverschlüsseltes LDAP. Wenn Sie von der GCP aus per Fernzugriff auf Active Directory zugreifen, sollten Sie verschlüsselte Kommunikation verwenden. Sie können die Verbindung mithilfe von LDAP/S oder Cloud VPN verschlüsseln, wodurch jedoch die Komplexität der Einrichtung erhöht wird.
  • Die Kommunikation zwischen Cloud Directory Sync und Cloud Identity erfolgt über HTTPS und erfordert nur geringfügige oder keine Änderungen an der Firewallkonfiguration.

Sie können Cloud Directory Sync entweder unter Windows oder unter Linux ausführen. Obwohl es möglich ist, Cloud Directory Sync auf dem Domain Controller bereitzustellen, sollten Sie es auf einem separaten Computer ausführen. Dieser Computer muss die Systemanforderungen erfüllen und LDAP-Zugriff auf Active Directory haben. In diesem Leitfaden wird zwar nicht vorausgesetzt, dass der Computer einer Domain angehört oder dass auf ihm Windows ausgeführt wird. Es wird aber davon ausgegangen, dass Cloud Directory Sync auf einem Windows-Computer mit Domainzugehörigkeit ausgeführt wird.

Cloud Directory Sync enthält eine grafische Benutzeroberfläche (graphical user interface, GUI), den Configuration Manager, um die Einrichtung der Synchronisierung zu unterstützen. Wenn der Server, auf dem Sie Cloud Directory Sync ausführen möchten, eine Desktopdarstellung bietet, können Sie den Configuration Manager auf dem Server selbst ausführen. Andernfalls müssen Sie den Configuration Manager lokal ausführen und dann die resultierende Konfigurationsdatei auf den Server kopieren. Dort können Sie mit ihrer Hilfe die Synchronisierung ausführen. In diesem Leitfaden wird davon ausgegangen, dass Sie den Configuration Manager auf einem Server mit einer GUI ausführen.

Quelle für Datenabruf festlegen

Cloud Directory Sync verwendet LDAP, um mit Active Directory zu interagieren und Informationen zu Nutzerkonten und -gruppen abzurufen. Sie müssen bei Cloud Directory Sync einen Hostnamen und einen Port in der Konfiguration angeben, um diese Interaktion zu ermöglichen. In einer kleinen Active Directory-Umgebung, in der nur ein einziger globaler Katalogserver ausgeführt wird, ist die Angabe eines Hostnamens und eines Ports kein Problem. In diesem Fall können Sie nämlich Cloud Directory Sync direkt an den globalen Katalogserver verweisen.

In einer komplexeren Umgebung, in der redundante globale Katalogserver ausgeführt werden, wird beim Verweis von Cloud Directory Sync auf einen einzelnen Server keine Redundanz genutzt. Daher ist dies nicht ideal. Es ist zwar möglich, einen Load-Balancer einzurichten, der LDAP-Abfragen auf mehrere globale Katalogserver verteilt und Server erfasst, die eventuell vorübergehend nicht verfügbar sind. Es empfiehlt sich aber, Server mit dem DC-Locator dynamisch zu lokalisieren.

Cloud Directory Sync selbst unterstützt derzeit nicht die Verwendung des DC-Locators. In diesem Leitfaden ergänzen Sie Cloud Directory Sync durch ein kleines PowerShell-Skript, mit dem das DC-Locator-Verfahren aktiviert wird. Dadurch brauchen Sie keine Endpunkte globaler Katalogserver statisch zu konfigurieren.

Cloud Identity konfigurieren

Cloud Identity-Nutzerkonto zur Synchronisierung erstellen

Cloud Directory Sync muss mit Cloud Identity interagieren, um Konten zu synchronisieren. Für das Erstellen, Auflisten und Löschen von Nutzern (und gegebenenfalls Gruppen und Organisationseinheiten) in Cloud Identity sind Administratorberechtigungen erforderlich.

Bei der Registrierung für Cloud Identity haben Sie bereits ein Super Admin-Konto erstellt. Sie können dieses Konto zwar für Cloud Directory Sync verwenden. Es wird jedoch empfohlen, ein separates Konto zu erstellen, das ausschließlich von Cloud Directory Sync verwendet wird:

  1. Öffnen Sie die Admin-Konsole und melden Sie sich mit dem Super Admin-Konto an, das Sie bei der Registrierung für Cloud Identity erstellt haben.
  2. Klicken Sie im Menü auf Verzeichnis > Nutzer und anschließend auf das Symbol +, um einen Nutzer zu erstellen.
  3. Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:

    1. Vorname: Active Directory
    2. Nachname: Synchronizer
    3. Haupt-E-Mail-Adresse: ad-synchronizer

    Behalten Sie die primäre Domain in der E-Mail-Adresse bei, auch wenn die Domain nicht der Gesamtstruktur entspricht, aus der Sie synchronisieren.

  4. Achten Sie darauf, dass Automatisch neues Passwort generieren auf Deaktiviert gesetzt ist. Geben Sie ein Passwort ein.

  5. Achten Sie darauf, dass Bei der nächsten Anmeldung auffordern, das Passwort zu ändern auf Deaktiviert gesetzt ist.

  6. Klicken Sie auf Neuen Nutzer hinzufügen.

  7. Klicken Sie auf Fertig.

Damit Cloud Directory Sync Nutzerkonten und -gruppen erstellen, auflisten und löschen kann, benötigt das Konto zusätzliche Berechtigungen. Darüber hinaus empfiehlt es sich, das Konto von der Einmalanmeldung (SSO) auszunehmen. Andernfalls können Sie Cloud Directory Sync möglicherweise nicht neu autorisieren, wenn bei der Einmalanmeldung Probleme auftreten. Beides kann erreicht werden, indem das Konto als Super Admin festgelegt wird:

  1. Suchen Sie in der Liste den neu erstellten Nutzer und rufen Sie ihn auf.
  2. Klicken Sie unter Administratorrollen und -berechtigungen auf Rollen zuweisen.
  3. Aktivieren Sie die Rolle Super Admin.
  4. Klicken Sie auf Speichern.

API-Zugriff aktivieren

Cloud Directory Sync verwendet die Cloud Identity API, um Konten zu synchronisieren. Sie müssen diese API zuerst aktivieren:

  1. Wählen Sie im Menü der Admin-Konsole Sicherheit > Einstellungen aus.
  2. Klicken Sie auf API-Referenz, um die API-bezogenen Einstellungen aufzurufen.
  3. Das Kästchen API-Zugriff aktivieren muss angeklickt sein.
  4. Klicken Sie unten auf Speichern. Wenn Sie den API-Zugriff bereits aktiviert haben, können Sie diesen Schritt überspringen.

Active Directory-Synchronisierung konfigurieren

Active Directory-Nutzerkonto zur Synchronisierung erstellen

Cloud Directory Sync benötigt ein Domainkonto mit ausreichenden Zugriffsberechtigungen, damit es Informationen über Nutzer und Gruppen aus Active Directory abrufen kann. Erstellen Sie ein spezielles Konto für Cloud Directory Sync, statt ein vorhandenes Windows-Konto dafür zu verwenden:

  1. Öffnen Sie das Snap-in Active Directory-Benutzer und -Computer.
  2. Rufen Sie die Domain und die Organisationseinheit auf, in der Sie den Nutzer erstellen möchten. Wenn Ihre Gesamtstruktur mehrere Domains enthält, erstellen Sie den Nutzer in derselben Domain, in der sich auch der Cloud Directory Sync-Computer befindet.
  3. Klicken Sie mit der rechten Maustaste in den rechten Fensterbereich und wählen Sie Neu > Benutzer aus.
  4. Geben Sie einen geeigneten Namen und eine E-Mail-Adresse ein. Beispiel:
    1. Vorname: Google Cloud
    2. Nachname: Directory Sync
    3. Benutzeranmeldename: gcds
    4. Benutzeranmeldename (Prä-Windows 2000): gcds
  5. Klicken Sie auf Weiter.
  6. Geben Sie ein Passwort ein, das der Passwortrichtlinie entspricht.
  7. Deaktivieren Sie Benutzer muss Kennwort bei der nächsten Anmeldung ändern.
  8. Wählen Sie Kennwort läuft nie ab aus.
  9. Klicken Sie auf Weiter und dann auf Fertig stellen.

Jetzt sind die Voraussetzungen für die Installation von Cloud Directory Sync erfüllt.

Cloud Directory Sync installieren

Laden Sie auf dem Computer, auf dem Sie Cloud Directory Sync ausführen das Installationsprogramm für Cloud Directory Sync herunter und führen Sie es aus. Sie können das Installationsprogramm mit einem Browser herunterladen oder den folgenden PowerShell-Befehl verwenden:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Nachdem der Download abgeschlossen ist, können Sie mit dem folgenden Befehl den Installationsassistenten starten:

.\dirsync-win64.exe

Ordner für die Cloud Directory Sync-Konfiguration erstellen

Die Konfiguration von Cloud Directory Sync wird in einer XML-Datei gespeichert. Da diese Konfiguration ein OAuth-Aktualisierungstoken enthält, das Cloud Directory Sync für die Authentifizierung bei Google verwendet, müssen Sie darauf achten, dass Sie den für die Konfiguration verwendeten Ordner ordnungsgemäß schützen.

Cloud Directory Sync braucht auf keine anderen lokalen Ressourcen als diesen Ordner zuzugreifen. Darum muss Cloud Directory Sync für die Ausführung als eingeschränktes Nutzerkonto (LocalService) konfiguriert werden:

  1. Melden Sie sich auf dem Computer, auf dem Sie Cloud Directory Sync installiert haben, entweder mit einem Domain- oder einem lokalen Administratorkonto an.
  2. Öffnen Sie eine PowerShell-Konsole mit Administratorberechtigungen.
  3. Führen Sie die folgenden Befehle aus. Dadurch wird der Ordner $Env:ProgramData\gcds erstellt, in dem die Konfiguration gespeichert wird, und es wird eine ACL (Access Control List) angewendet, sodass nur Cloud Directory Sync und Administratoren Zugriff haben:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
    New-Item -ItemType directory -Path  $gcdsDataFolder
    &icacls "$gcdsDataFolder" /inheritance:r
    &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
    
  4. Führen Sie den Befehl Write-Host $Env:ProgramData aus, um den Speicherort des Ordners "ProgramData" zu ermitteln. Bei englischen Windows-Versionen ist dieser Pfad normalerweise c:\ProgramData. Sie benötigen diesen Pfad später.

Verbindung zu Google herstellen

Sie verwenden jetzt den Configuration Manager, um die Cloud Directory Sync-Konfiguration vorzubereiten. Bei diesen Schritten wird davon ausgegangen, dass Sie den Configuration Manager auf demselben Server ausführen, auf dem Sie Cloud Directory Sync ausführen möchten.

Wenn Sie den Configuration Manager auf einem anderen Computer ausführen, kopieren Sie die Konfigurationsdatei anschließend auf den Cloud Directory Sync-Server. Beachten Sie, dass Sie die Konfiguration auf einem anderen Computer möglicherweise nicht testen können.

  1. Starten Sie den Configuration Manager. Sie finden ihn im Windows-Startmenü unter Google Cloud Directory Sync > Configuration Manager.
  2. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Connection Settings (Verbindungseinstellungen).

    Konfiguration der Google-Domain > Verbindungseinstellungen

  3. Geben Sie unter Primary Domain Name (Name der primären Domain) die primäre Domain Ihres Cloud Identity-Kontos ein. Wenn Sie aus mehreren verschiedenen Gesamtstrukturen in ein einziges Cloud Identity-Konto synchronisieren, bezieht sich der Name der primären Domain möglicherweise auf eine andere Gesamtstruktur als jene, die Sie einrichten.

  4. Klicken Sie auf Authorize Now (Jetzt autorisieren).

  5. Klicken Sie im Dialogfeld auf Sign-in (Anmelden), um ein Browserfenster für die Anmeldung zu öffnen. Wenn Sie die standardmäßige, sichere Konfiguration von Internet Explorer verwenden, werden möglicherweise mehrere Warnmeldungen angezeigt. In diesem Fall können Sie die URL auf Ihren lokalen Computer kopieren und dort öffnen.

    GCDS autorisieren

  6. Wenn die Google-Anmeldeseite angezeigt wird, melden Sie sich mit dem neu erstellten Google-Konto ad-synchronizer und dem Passwort an, das Sie für dieses Konto angegeben haben.

    Wenn Sie das Cloud Identity-Konto schon für die Verwendung der Einmalanmeldung (SSO) konfiguriert haben, werden Sie möglicherweise automatisch zur Anmeldeseite von Active Directory Federation Services (AD FS) umgeleitet, auf der Sie sich nicht mit dem Konto ad-synchronizer anmelden können. Klicken Sie in diesem Fall noch einmal auf Sign-in (Anmelden) und drücken Sie die Taste Esc, um das Laden der Seite zu stoppen. Entfernen Sie in der Adressleiste des Browsers den Parameter &hd=[PRIMARY_DOMAIN-name] aus der URL und drücken Sie die Eingabetaste. Durch diesen Schritt wird das Anzeigen der Google-Anmeldeseite erzwungen.

  7. Da Sie das Konto zum ersten Mal verwenden, werden Sie gebeten, die Cloud Identity-Vereinbarung zu akzeptieren. Wenn Sie den Bedingungen zustimmen, klicken Sie auf Akzeptieren.

  8. Auf dem folgenden Bildschirm werden Sie gebeten, das Konto ad-synchronizer zu autorisieren, um auf Daten in Ihrem Cloud Identity-Konto zuzugreifen und sie zu ändern. Klicken Sie zur Bestätigung auf Allow (Zulassen).

    Anzeigensynchronisierung für Daten in Ihrem Cloud Identity-Konto autorisieren

  9. Auf der folgenden Seite steht ein Code. Kopieren Sie ihn, fügen Sie ihn in das entsprechende Eingabefeld im Dialogfeld des Configuration Managers ein und klicken Sie auf Validate (Validieren).

  10. Lautet das Ergebnis Success: Connected to Google, so war die Überprüfung erfolgreich und Sie können auf Close (Schließen) klicken. Wenn die Überprüfung fehlschlägt, prüfen Sie, ob Sie sich mit dem Cloud Directory Sync-Konto angemeldet haben und ob das Konto die nötigen Administratorberechtigungen hat.

  11. Klicken Sie im Menü auf File (Datei) > Save as (Speichern unter).

  12. Geben Sie im Dialogfeld [PROGRAM_DATA]\gcds\config.xml als Dateinamen ein. Ersetzen Sie [PROGRAM_DATA] durch den Pfad zum Ordner "ProgramData", den der PowerShell-Befehl zurückgegeben hat, als Sie ihn zuvor ausgeführt haben.

  13. Klicken Sie auf Save (Speichern) und dann auf OK.

Verbindung zu Active Directory herstellen

Konfigurieren Sie als nächsten Schritt Cloud Directory Sync, um eine Verbindung zu Active Directory herzustellen:

  1. Klicken Sie im Configuration Manager auf LDAP Configuration (LDAP-Konfiguration) > Connection Settings (Verbindungseinstellungen).
  2. Legen Sie folgende Einstellungen fest:
    1. Server Type (Servertyp): Wählen Sie MS Active Directory aus.
    2. Connection Type (Verbindungstyp): Wählen Sie Standard LDAP aus.
    3. Host Name (Hostname): Geben Sie den Namen eines globalen Katalogservers ein. Diese Einstellung wird nur zum Testen verwendet. Später automatisieren Sie die Erkennung des globalen Katalogservers.
    4. Port: 3268. Wenn Sie einen globalen Katalogserver anstelle eines Domain Controllers verwenden, achten Sie darauf, dass Sie Konten aus allen Domains Ihrer Active Directory-Gesamtstruktur synchronisieren können.
    5. Authentication Type (Authentifizierungstyp): Simple (Einfach).
    6. Authorized User (Autorisierter Nutzer): Geben Sie den User Principal Name (UPN) des zuvor erstellten Domainnutzers ein: gcds@[UPN_SUFFIX_DOMAIN]. Ersetzen Sie [UPN_SUFFIX_DOMAIN] durch die entsprechende UPN-Suffixdomain für den Nutzer. Alternativ können Sie den Nutzer auch mit der Syntax [NETBIOS-DOMAIN-NAME]\gcds festlegen.
    7. Base DN (Basis-DN): Lassen Sie dieses Feld leer, damit Suchvorgänge in allen Domains der Gesamtstruktur durchgeführt werden.
  3. Klicken Sie auf Test connection (Verbindung testen), um die Einstellungen zu überprüfen. Wenn die Verbindung fehlschlägt, überprüfen Sie nochmals, ob Sie den Hostnamen eines globalen Katalogservers angegeben haben und ob Nutzername und Passwort korrekt sind. Ignorieren Sie, dass Sie in der Fehlermeldung möglicherweise aufgefordert werden, einen Basis-DN anzugeben.
  4. Klicken Sie auf Close (Schließen).
  5. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

Umfang der Synchronisierung planen

Nachdem Sie eine Verbindung sowohl zu Cloud Identity als auch zu Active Directory hergestellt haben, können Sie festlegen, welche Elemente synchronisiert werden sollen:

  1. Klicken Sie im Configuration Manager auf General Settings (Allgemeine Einstellungen).
  2. Achten Sie darauf, dass User Accounts (Nutzerkonten) ausgewählt ist.
  3. Wenn Sie Gruppen synchronisieren möchten, muss Groups (Gruppen) ausgewählt sein. Entfernen Sie andernfalls das Häkchen aus dem Kästchen.
  4. Das Synchronisieren von Organisationseinheiten wird in diesem Leitfaden nicht behandelt. Wählen Sie daher nicht die Option Organizational Units (Organisationseinheiten) aus.
  5. Wählen Sie weder User Profiles (Nutzerprofile) noch Custom Schemas (Benutzerdefinierte Schemas) aus.
  6. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

Nutzerkonten synchronisieren

Kontozuordnungen konfigurieren

Im nächsten Schritt konfigurieren Sie, wie Nutzerkonten zwischen Active Directory und Cloud Identity zugeordnet werden.

  1. Klicken Sie im Configuration Manager auf User Accounts (Nutzerkonten) > Additional User Attributes (Zusätzliche Nutzerattribute).
  2. Klicken Sie auf Use defaults (Standardeinstellungen verwenden), um die Attribute für Given Name (Vorname) und Family Name (Nachname) automatisch mit givenName und sn auszufüllen.

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory-Nutzerkonten den Cloud Identity-Nutzerkonten zuzuordnen, und ob Sie Substitutionen von Domainnamen anwenden müssen. Wenn Sie sich nicht sicher sind, welche Option für Sie am besten geeignet ist, lesen Sie den Artikel dazu, wie die Active Directory-Identitätsverwaltung auf die GCP erweitert werden kann.

UPN

  1. Klicken Sie im Configuration Manager auf User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Legen Sie folgende Einstellungen fest:
    1. Email Address Attribute (Attribut für E-Mail-Adresse): userPrincipalName.
    2. User Identifier Attribute (Attribut für Nutzerkennzeichnung): objectGUID.
  3. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  4. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel trifft auf alle nicht deaktivierten Nutzerkonten zu, ignoriert jedoch Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains in der Gesamtstruktur zu durchsuchen.

  5. Klicken Sie auf OK, um die Regel zu erstellen.

  6. Klicken Sie auf den Tab Exclusion Rules (Ausschlussregeln) und dann auf Add Exclusion Rule (Ausschlussregel hinzufügen). Geben Sie die folgenden Einstellungen ein, damit das von Cloud Directory Sync zum Lesen aus Active Directory verwendete Konto nicht mit Cloud Identity synchronisiert wird:

    1. Exclude Type (Ausschlusstyp): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Exact Match (Genaue Übereinstimmung).
    3. Exclusion Rule (Ausschlussregel): gcds@[UPN_SUFFIX_DOMAIN]. Ersetzen Sie [UPN_SUFFIX_DOMAIN] durch die in Active Directory verwendete UPN-Suffixdomain.
  7. Klicken Sie auf OK.

  8. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

UPN: Domainsubstitution

  1. Klicken Sie im Configuration Manager auf den Tab User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Legen Sie folgende Einstellungen fest:
    1. Email Address Attribute (Attribut für E-Mail-Adresse): userPrincipalName.
    2. User identifier Attribute (Attribut für Nutzerkennzeichnung): objectGUID.
  3. Klicken Sie auf OK, um die Regel zu erstellen.
  4. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  5. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel trifft auf alle nicht deaktivierten Nutzerkonten zu, ignoriert jedoch Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains innerhalb der Gesamtstruktur zu durchsuchen.

  6. Klicken Sie auf OK, um die Regel zu erstellen.

  7. Klicken Sie auf den Tab Exclusion Rules (Ausschlussregeln) und dann auf Ausschlussregel hinzufügen. Geben Sie die folgenden Einstellungen ein, damit das von Cloud Directory Sync zum Lesen aus Active Directory verwendete Konto nicht mit Cloud Identity synchronisiert wird:

    1. Exclude Type (Ausschlusstyp): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Exact Match (Genaue Übereinstimmung).
    3. Exclusion Rule (Ausschlussregel): gcds@[PRIMARY_DOMAIN]. Ersetzen Sie [PRIMARY_DOMAIN] durch die primäre Domain Ihres Cloud Identity-Kontos.
  8. Klicken Sie auf OK.

  9. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Connection Settings (Verbindungseinstellungen) und wählen Sie Replace domain names in LDAP email addresses (of users and groups) with this domain name (Domainnamen in LDAP-E-Mail-Adressen von Nutzern und Gruppen durch diesen Domainnamen ersetzen) aus.

  10. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

E-Mail

  1. Klicken Sie im Configuration Manager auf User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Legen Sie folgende Einstellungen fest:
    1. Email Address Attribute (Attribut für E-Mail-Adresse): mail.
    2. User identifier Attribute (Attribut für Nutzerkennzeichnung): objectGUID.
  3. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  4. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel vergleicht alle nicht deaktivierten Nutzerkonten mit einer nicht leeren E-Mail-Adresse, ignoriert jedoch Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains in der Gesamtstruktur zu durchsuchen.

  5. Klicken Sie auf OK, um die Regel zu erstellen.

  6. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

E-Mail: Domainsubstitution

  1. Klicken Sie im Configuration Manager auf User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Legen Sie folgende Einstellungen fest:
    1. Email Address Attribute (Attribut für E-Mail-Adresse): mail.
    2. User identifier Attribute (Attribut für Nutzerkennzeichnung): objectGUID.
  3. Klicken Sie auf den Tab Search Rules (Suchregeln) und dann auf Add Search Rule (Suchregel hinzufügen).
  4. Geben Sie die folgenden Einstellungen ein:

    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel):

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Diese Regel vergleicht alle nicht deaktivierten Nutzerkonten mit einer nicht leeren E-Mail-Adresse, ignoriert jedoch Computer- und verwaltete Dienstkonten.

    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um alle Domains in der Gesamtstruktur zu durchsuchen.

  5. Klicken Sie auf OK, um die Regel zu erstellen.

  6. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Connection Settings (Verbindungseinstellungen) und wählen Sie Replace domain names in LDAP email addresses (of users and groups) with this domain name (Domainnamen in LDAP-E-Mail-Adressen von Nutzern und Gruppen durch diesen Domainnamen ersetzen) aus.

  7. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

Löschrichtlinie

Bisher ging es bei der Konfiguration vor allem darum, Nutzerkonten in Cloud Identity hinzuzufügen und zu aktualisieren. In Active Directory deaktivierte oder gelöschte Nutzerkonten müssen aber auch in Cloud Identity deaktiviert oder gesperrt werden.

Im Rahmen des Synchronisierungsvorgangs generiert Cloud Directory Sync eine Liste von Nutzerkonten in Cloud Identity, für die in den Active Directory-LDAP-Abfrageergebnissen keine entsprechenden Übereinstimmungen vorhanden sind. Da die LDAP-Abfrage die Klausel (!(userAccountControl:1.2.840.113556.1.4.803:=2) enthält, werden alle Konten, die seit der letzten Synchronisierung in Active Directory deaktiviert oder gelöscht wurden, in diese Liste aufgenommen. Das Standardverhalten von Cloud Directory Sync besteht darin, diese Nutzer in Cloud Identity zu löschen. Sie können dieses Verhalten jedoch anpassen:

  1. Klicken Sie im Configuration Manager auf User Accounts (Nutzerkonten) > User Attributes (Nutzerattribute).
  2. Unter Google Domain Users Deletion/Suspension Policy (Richtlinie für das Löschen/Sperren von Google-Domainnutzern) muss die Option Richtlinie für das Löschen/Sperren von Google-Domainnutzern (Google-Domainadministratoren, die nicht in LDAP gefunden wurden, nicht sperren oder löschen) angeklickt sein. Dadurch wird verhindert, dass Cloud Directory Sync das Super Admin-Konto sperrt oder löscht, das Sie zum Konfigurieren von Cloud Identity verwendet haben.
  3. Ändern Sie optional die Löschrichtlinie für Konten ohne Administratorberechtigungen.
  4. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

Wenn Sie mehrere separate Instanzen von Cloud Directory Sync verwenden, um verschiedene Domains oder Gesamtstrukturen mit einem einzigen Cloud Identity-Konto zu synchronisieren, dürfen die verschiedenen Cloud Directory Sync-Instanzen sich nicht gegenseitig beeinflussen. Standardmäßig werden Nutzerkonten in Cloud Identity, die aus einer anderen Quelle synchronisiert wurden, in Active Directory fälschlicherweise als gelöscht identifiziert. Sie können dies vermeiden, indem Sie Cloud Directory Sync so konfigurieren, dass alle Cloud Identity-Nutzerkonten ignoriert werden, die sich außerhalb des Bereichs der Domain oder Gesamtstruktur befinden, von der aus Sie synchronisieren.

UPN

  1. Klicken Sie im Configuration Manager auf Google Domain Configuration (Google Domain-Konfiguration) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![UPN_SUFFIX_DOMAIN]).*)$

      Ersetzen Sie [UPN_SUFFIX_DOMAIN] durch die UPN-Suffixdomain. Beispiel:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

UPN: Domainsubstitution

  1. Klicken Sie im Configuration Manager auf Google Domain Configuration (Google Domain-Konfiguration) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Ersetzen Sie [SUBSTITUTION_DOMAIN] durch die Domain, durch die Sie die UPN-Suffixdomain ersetzen. Beispiel:

      .*@((?!corp.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail

  1. Klicken Sie im Configuration Manager auf Google Domain Configuration (Google Domain-Konfiguration) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![MX_DOMAIN]).*)$

      Ersetzen Sie [MX_DOMAIN] durch den Domainnamen, den Sie in E-Mail-Adressen verwenden. Beispiel:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail: Domainsubstitution

  1. Klicken Sie im Configuration Manager auf Google Domain Configuration (Google Domain-Konfiguration) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): User Email Address (Nutzer-E-Mail-Adresse).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Ersetzen Sie [SUBSTITUTION_DOMAIN] durch die Domain, durch die Sie die E-Mail-Domain ersetzen. Beispiel:

      .*@((?!corp.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

Gruppen synchronisieren

Im nächsten Schritt konfigurieren Sie, wie Gruppen zwischen Active Directory und Cloud Identity zugeordnet werden. Dieser Vorgang hängt davon ab, ob Sie Gruppen nach dem Klarnamen oder der E-Mail-Adresse zuordnen möchten.

Gruppenzuordnungen nach Klarnamen konfigurieren

Bestimmen Sie zuerst die Typen von Sicherheitsgruppen, die Sie synchronisieren möchten. Formulieren Sie anschließend eine geeignete LDAP-Abfrage. Die folgende Tabelle enthält einige häufig verwendete Abfragen.

Typ LDAP-Abfrage
Lokale Domaingruppen (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Globale Gruppen (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Universelle Gruppen (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Globale und universelle Gruppen (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))

Die Abfrage für globale Gruppen deckt auch in Active Directory definierte Gruppen ab, z. B. Domain Controller. Sie können diese Gruppen filtern, indem Sie die Suche anhand von Organisationseinheiten (organizational units, ou) einschränken.

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory-Nutzerkonten den Cloud Identity-Nutzerkonten zuzuordnen.

UPN

  1. Klicken Sie im Configuration Manager auf Groups (Gruppen) > Search Rules (Suchregeln).
  2. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine Regel hinzuzufügen, die Nutzerkonten und Gruppenmitgliedschaften erfasst.
  3. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie die LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  4. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Group Email Address Attribute (Attribut für Gruppen-E-Mail-Adresse): cn.
    2. Group Display Name Attribute (Attribut für Gruppenanzeigename): name.
    3. Group Description Attribute (Attribut für Gruppenbeschreibung): description.
    4. User Email Name Attribute (Attribut für Nutzer-E-Mail-Name): userPrincipalName.
  5. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Member Reference Attribute (Attribut für Mitgliedsverweis): member.
    2. Lassen Sie die restlichen Felder leer.
  6. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Owner Reference Attribute (Attribut für Inhaberverweis): managedBy.
    2. Lassen Sie die restlichen Felder leer.
  7. Klicken Sie auf den Tab Prefix-Suffix (Präfix/Suffix).
  8. Geben Sie im Feld Group Email Address (Gruppen-E-Mail-Adresse) die folgenden Einstellungen ein:
    1. Suffix: @[PRIMARY_DOMAIN], wobei Sie [PRIMARY_DOMAIN] durch die primäre Domain Ihres Cloud Identity-Kontos ersetzen müssen. Die Einstellung erscheint zwar überflüssig, da Cloud Directory Sync die Domain automatisch anfügt. Sie müssen die Einstellung aber explizit angeben, um zu verhindern, dass mehrfache Cloud Directory Sync-Instanzen Gruppenmitglieder löschen, die sie nicht hinzugefügt haben. Beispiel: @example.com.
    2. Klicken Sie auf OK.
  9. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine weitere Regel hinzuzufügen, die verschachtelte Gruppenmitgliedschaften erfasst.
  10. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie dieselbe LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  11. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Group Email Address Attribute (Attribut für Gruppen-E-Mail-Adresse): cn.
    2. Group Display Name Attribute (Attribut für Gruppenanzeigename): name.
    3. Group Description Attribute (Attribut für Gruppenbeschreibung): description.
    4. User Email Name Attribute (Attribut für Nutzer-E-Mail-Name): cn.
  12. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Member Reference Attribute (Attribut für Mitgliedsverweis): member.
    2. Lassen Sie die restlichen Felder leer.
  13. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Owner Reference Attribute (Attribut für Inhaberverweis): managedBy.
    2. Lassen Sie die restlichen Felder leer.
  14. Klicken Sie auf den Tab Prefix-Suffix (Präfix/Suffix).
  15. Geben Sie im Feld Group Email Address (Gruppen-E-Mail-Adresse) die folgenden Einstellungen ein:
    • Suffix: @[PRIMARY_DOMAIN], wobei Sie [PRIMARY_DOMAIN] durch die primäre Domain Ihres Cloud Identity-Kontos ersetzen.
  16. Klicken Sie auf OK.
  17. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

E-Mail

  1. Klicken Sie im Configuration Manager auf Groups (Gruppen) > Search Rules (Suchregeln).
  2. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine Regel hinzuzufügen, die beide Gruppenmitgliedschaften erfasst.
  3. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie die LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  4. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Group Email Address Attribute (Attribut für Gruppen-E-Mail-Adresse): cn.
    2. Group Display Name Attribute (Attribut für Gruppenanzeigename): name.
    3. Group Description Attribute (Attribut für Gruppenbeschreibung): description.
    4. User Email Name Attribute (Attribut für Nutzer-E-Mail-Name): mail.
  5. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Member Reference Attribute (Attribut für Mitgliedsverweis): member.
    2. Lassen Sie die restlichen Felder leer.
  6. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Owner Reference Attribute (Attribut für Inhaberverweis): managedBy.
    2. Lassen Sie die restlichen Felder leer.
  7. Klicken Sie auf OK.
  8. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

Dieselben Einstellungen gelten auch, wenn Sie beim Zuordnen von Nutzerkonten die Domainsubstitution verwendet haben.

Gruppenzuordnungen nach E-Mail-Adresse konfigurieren

Bestimmen Sie zuerst die Typen von Sicherheitsgruppen, die Sie synchronisieren möchten. Formulieren Sie anschließend eine geeignete LDAP-Abfrage. Die folgende Tabelle enthält einige häufig verwendete Abfragen.

Typ LDAP-Abfrage
Lokale Domaingruppen mit E-Mail-Adresse (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Globale Gruppen mit E-Mail-Adresse (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Universelle Gruppen mit E-Mail-Adresse (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Globale und universelle Gruppen mit E-Mail-Adresse (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))

Die übrigen Einstellungen hängen davon ab, ob Sie den UPN oder die E-Mail-Adresse verwenden möchten, um Active Directory-Nutzerkonten den Cloud Identity-Nutzerkonten zuzuordnen.

UPN

  1. Klicken Sie im Configuration Manager auf Groups (Gruppen) > Search Rules (Suchregeln).
  2. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine Regel hinzuzufügen, die beide Gruppenmitgliedschaften erfasst.
  3. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie die LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  4. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Group Email Address Attribute (Attribut für Gruppen-E-Mail-Adresse): mail.
    2. Group Display Name Attribute (Attribut für Gruppenanzeigename): name.
    3. Group Description Attribute (Attribut für Gruppenbeschreibung): description.
    4. User Email Name Attribute (Attribut für Nutzer-E-Mail-Name): userPrincipalName.
  5. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Member Reference Attribute (Attribut für Mitgliedsverweis): member.
    2. Lassen Sie die restlichen Felder leer.
  6. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Owner Reference Attribute (Attribut für Inhaberverweis): managedBy.
    2. Lassen Sie die restlichen Felder leer.
  7. Klicken Sie auf OK.
  8. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine weitere Regel hinzuzufügen, die verschachtelte Gruppenmitgliedschaften erfasst.
  9. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie dieselbe LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  10. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Group Email Address Attribute (Attribut für Gruppen-E-Mail-Adresse): mail.
    2. Group Display Name Attribute (Attribut für Gruppenanzeigename): name.
    3. Group Description Attribute (Attribut für Gruppenbeschreibung): description.
    4. User Email Name Attribute (Attribut für Nutzer-E-Mail-Name): mail.
  11. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Member Reference Attribute (Attribut für Mitgliedsverweis): member.
    2. Lassen Sie die restlichen Felder leer.
  12. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Owner Reference Attribute (Attribut für Inhaberverweis): managedBy.
    2. Lassen Sie die restlichen Felder leer.
  13. Klicken Sie auf OK.
  14. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

E-Mail

  1. Klicken Sie im Configuration Manager auf Groups (Gruppen) > Search Rules (Suchregeln).
  2. Klicken Sie auf Add Search Rule (Suchregel hinzufügen), um eine Regel hinzuzufügen, die beide Gruppenmitgliedschaften erfasst.
  3. Legen Sie folgende Einstellungen fest:
    1. Scope (Bereich): Sub-tree (Unterstruktur).
    2. Rule (Regel): Geben Sie die LDAP-Abfrage ein.
    3. Base DN (Basis-DN): Lassen Sie das Feld leer, um Gruppen in allen Domains in der Gesamtstruktur abzufragen.
  4. Geben Sie im Feld Groups (Gruppen) die folgenden Einstellungen ein:
    1. Group Email Address Attribute (Attribut für Gruppen-E-Mail-Adresse): mail.
    2. Group Display Name Attribute (Attribut für Gruppenanzeigename): name.
    3. Group Description Attribute (Attribut für Gruppenbeschreibung): description.
    4. User Email Name Attribute (Attribut für Nutzer-E-Mail-Name): mail.
  5. Geben Sie im Feld Members (Mitglieder) die folgenden Einstellungen ein:
    1. Member Reference Attribute (Attribut für Mitgliedsverweis): member.
    2. Lassen Sie die restlichen Felder leer.
  6. Geben Sie im Feld Owners (Inhaber) die folgenden Einstellungen ein:
    1. Owner Reference Attribute (Attribut für Inhaberverweis): managedBy.
    2. Lassen Sie die restlichen Felder leer.
  7. Klicken Sie auf OK.
  8. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

Dieselben Einstellungen gelten auch, wenn Sie beim Zuordnen von Nutzerkonten die Domainsubstitution verwendet haben.

Löschrichtlinie

Cloud Directory Sync behandelt das Löschen von Gruppen ähnlich wie das Löschen von Nutzern. Wenn Sie mehrere separate Instanzen von Cloud Directory Sync verwenden, um verschiedene Domains oder Gesamtstrukturen mit einem einzigen Cloud Identity-Konto zu synchronisieren, dürfen sich die verschiedenen Cloud Directory Sync-Instanzen nicht gegenseitig beeinflussen.

Standardmäßig werden Nutzerkonten in Cloud Identity, die aus einer anderen Quelle synchronisiert wurden, in Active Directory fälschlicherweise als gelöscht identifiziert. Sie können dies vermeiden, indem Sie Cloud Directory Sync so konfigurieren, dass alle Cloud Identity-Nutzerkonten ignoriert werden, die sich außerhalb des Bereichs der Domain oder Gesamtstruktur befinden, von der aus Sie synchronisieren.

UPN

  1. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![UPN_SUFFIX_DOMAIN]).*)$

      Ersetzen Sie [UPN_SUFFIX_DOMAIN] durch die UPN-Suffixdomain. Beispiel:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

UPN: Domainsubstitution

  1. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Ersetzen Sie [SUBSTITUTION_DOMAIN] durch die Domain, durch die Sie die UPN-Suffixdomain ersetzen. Beispiel:

      .*@((?!corp.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail

  1. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![MX_DOMAIN]).*)$

      Ersetzen Sie [MX_DOMAIN] durch den Domainnamen, den Sie in E-Mail-Adressen verwenden. Beispiel:

      .*@((?!corp.example.com).*)$

      Wenn Sie mehr als eine UPN-Suffixdomain verwenden, erweitern Sie den Ausdruck so:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Klicken Sie auf OK, um die Regel zu erstellen.

E-Mail: Domainsubstitution

  1. Klicken Sie auf Google Domain Configuration (Konfiguration der Google-Domain) > Exclusion Rules (Ausschlussregeln).
  2. Klicken Sie auf Add Exclusion Rule (Ausschlussregel hinzufügen).
  3. Legen Sie folgende Einstellungen fest:

    1. Type (Typ): Group Member Email Address (E-Mail-Adresse des Gruppenmitglieds).
    2. Match Type (Übereinstimmungstyp): Regular Expression (Regulärer Ausdruck).
    3. Exclusion Rule (Ausschlussregel): Wenn Sie eine einzelne UPN-Suffixdomain verwenden, geben Sie den folgenden regulären Ausdruck ein:

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      Ersetzen Sie [SUBSTITUTION_DOMAIN] durch die Domain, durch die Sie die E-Mail-Domain ersetzen. Beispiel:

      .*@((?!corp.example.com).*)$
    4. Klicken Sie auf OK, um die Regel zu erstellen.

Logging und Benachrichtigungen konfigurieren

Sie müssen die Cloud Directory-Synchronisierung gemäß einem Zeitplan ausführen, um Active Directory und Cloud Identity synchron zu halten. Damit sich die Aktivitäten von Cloud Directory Sync und mögliche Probleme verfolgen lassen, können Sie Cloud Directory Sync so konfigurieren, dass eine Logdatei geschrieben wird:

  1. Klicken Sie im Configuration Manager auf Logging.
  2. Legen Sie als File Name (Dateiname) [PROGRAM_DATA]\gcds\gcds_sync.log fest. Ersetzen Sie [PROGRAM_DATA] durch den Pfad zum Ordner "ProgramData", den der PowerShell-Befehl zurückgegeben hat, als Sie ihn zuvor ausgeführt haben.
  3. Klicken Sie auf File (Datei) > Save (Speichern), um die Konfigurationsänderungen auf dem Laufwerk zu speichern, und klicken Sie dann auf OK.

Zusätzlich zum Logging kann Cloud Directory Sync Benachrichtigungen per E-Mail senden. Klicken Sie auf Notifications (Benachrichtigungen) und geben Sie die Verbindungsinformationen für Ihren Mail-Server an, um diesen Dienst zu aktivieren.

Erste Synchronisierung durchführen

Sie haben nun die Cloud Directory Sync-Konfiguration abgeschlossen. Bevor Sie eine Aufgabe festlegen, die Cloud Directory Sync gemäß einem Zeitplan ausführt, können Sie manuell eine Synchronisierung auslösen, um Ihre Einstellungen zu überprüfen.

Warnungen

  • Wenn eine Synchronisierung ausgelöst wird, werden permanente Änderungen an den Nutzerkonten und -gruppen in Ihrem Cloud Identity-Konto vorgenommen.
  • Wenn Sie eine große Anzahl von Nutzerkonten haben, die synchronisiert werden sollen, sollten Sie die LDAP-Abfrage eventuell vorübergehend ändern, damit nur ein Teil dieser Nutzerkonten berücksichtigt wird. Mit dieser Untergruppe von Konten können Sie dann die Synchronisierung testen und bei Bedarf Einstellungen anpassen. Nachdem Sie die Ergebnisse überprüft haben, ändern Sie die LDAP-Abfrage zurück und synchronisieren Sie die verbleibenden Konten.
  • Vermeiden Sie es, beim Testen der Synchronisierung mehrmals eine große Anzahl von Nutzerkonten zu ändern oder zu löschen, da dies als missbräuchliches Verhalten gewertet werden kann.

So lösen Sie eine Synchronisierung aus:

  1. Klicken Sie im Configuration Manager auf Sync (Synchronisierung).
  2. Wählen Sie am unteren Bildschirmrand Clear Cache (Cache leeren) aus und klicken Sie dann auf Sync & apply changes (Synchronisieren und Änderungen übernehmen).

    In einem Dialogfenster wird der Synchronisierungsstatus angezeigt.

  3. Überprüfen Sie nach Abschluss der Synchronisierung das Log, das in der unteren Hälfte des Dialogfelds angezeigt wird:

    1. Achten Sie unter Successful user changes (Erfolgreiche Nutzeränderungen) darauf, dass mindestens ein Nutzer erstellt wurde.
    2. Achten Sie unter Failures (Fehler) darauf, dass während der Synchronisierung keine Fehler aufgetreten sind.

Wenn Sie sich für die Synchronisierung von Gruppen entschieden haben, enthält der Rest des Logs möglicherweise mehrere Warnungen, die normalerweise ignoriert werden können.

Planung

  1. Öffnen Sie eine PowerShell-Konsole als Administrator.
  2. Prüfen Sie, ob das Active Directory-PowerShell-Modul auf dem System verfügbar ist:

    import-module ActiveDirectory

    Wenn der Befehl fehlschlägt, laden Sie die Remoteserver-Verwaltungstools herunter, installieren Sie sie und versuchen Sie es noch einmal.

  3. Erstellen Sie im Editor eine Datei, kopieren Sie den folgenden Inhalt hinein und speichern Sie die Datei unter $Env:ProgramData\gcds\sync.ps1. Wenn Sie fertig sind, schließen Sie die Datei.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True, Position=1)]
        [string]$config,
    
        [Parameter(Mandatory=$True, Position=1)]
        [string]$gcdsInstallationDir
    )
    
    import-module ActiveDirectory
    
    # Stop on error.
    $ErrorActionPreference ="stop"
    
    # Ensure it's an absolute path.
    $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
    
    # Discover closest GC in current domain.
    $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
    Write-Host ("Using Global Catalog server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
    
    # Load XML and replace the endpoint.
    $dom = [xml](Get-Content $rawConfigPath)
    $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
    
    # Tweak the endpoint.
    $ldapConfigNode.hostname = [string]$dc.HostName
    $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
    $ldapConfigNode.port = "3268"   # Always use Global Catalog port
    
    # Tweak the tsv files location
    $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
    $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
    $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
    
    # Save resulting config.
    $targetConfigPath = $rawConfigPath + ".autodiscover"
    
    $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
    $dom.Save($writer)
    $writer.Close()
    
    # Run synchronization.
    Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
        -Wait -ArgumentList "--apply --loglevel INFO --config ""$targetConfigPath"""
    
  4. Der Configuration Manager hat einen geheimen Schlüssel zum Verschlüsseln der Anmeldedaten in der Konfigurationsdatei erstellt. Achten Sie darauf, dass Cloud Directory Sync die Konfiguration auch dann lesen kann, wenn sie als geplante Aufgabe ausgeführt wird. Führen Sie dazu die folgenden Befehle aus, um diesen geheimen Schlüssel aus Ihrem eigenen Profil in das Profil von NT AUTHORITY\LOCAL SERVICE zu kopieren:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force
    
    Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
        -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
    

    Wenn die Befehle fehlschlagen, prüfen Sie, ob Sie die PowerShell-Konsole als Administrator gestartet haben.

  5. Erstellen Sie mit den folgenden Befehlen eine geplante Aufgabe. Diese wird stündlich ausgelöst und ruft das Skript sync.ps1 als NT AUTHORITY\LOCAL SERVICE auf.

    $taskName = "Synchronize to Cloud Identity"
    
    $arguments = [string]::Format('-ExecutionPolicy Bypass -NoProfile {0}\gcds\sync.ps1 -config {0}\gcds\config.xml -gcdsInstallationDir ''{1}\Google Cloud Directory Sync''', $Env:ProgramData, $Env:Programfiles)
    
    $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
      -Argument $arguments
    $trigger = New-ScheduledTaskTrigger `
      -Once `
      -At (Get-Date) `
      -RepetitionInterval (New-TimeSpan -Minutes 60) `
      -RepetitionDuration (New-TimeSpan -Days (365 * 20))
    
    $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
    Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
    
    $task = Get-ScheduledTask -TaskName "$taskName"
    $Task.Settings.ExecutionTimeLimit = "PT12H"
    Set-ScheduledTask $task
    

Synchronisierung testen

Sie haben die Installation und Konfiguration von Cloud Directory Sync abgeschlossen und die geplante Aufgabe löst stündlich eine Synchronisierung aus.

Wechseln Sie zur PowerShell-Konsole und führen Sie den folgenden Befehl aus, um eine Synchronisierung manuell auszulösen:

$taskName = "Synchronize to Cloud Identity"
Start-ScheduledTask $taskName

Bereinigen

Führen Sie die folgenden Schritte aus, um Cloud Directory Sync zu entfernen:

  1. Öffnen Sie die Windows-Systemsteuerung und klicken Sie auf Programme > Programm deinstallieren.
  2. Wählen Sie Google Cloud Directory Sync aus und klicken Sie auf Deinstallieren/ändern, um den Deinstallationsassistenten zu starten. Folgen Sie dann der Anleitung des Assistenten.
  3. Öffnen Sie eine PowerShell-Konsole und führen Sie den folgenden Befehl aus, um die geplante Synchronisierungsaufgabe zu entfernen:

    $taskName = "Synchronize to Cloud Identity"
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
    
  4. Führen Sie den folgenden Befehl aus, um die Konfigurations- und Logdateien zu löschen:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
    Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
    

Weitere Informationen