Dieser Artikel richtet sich an IT-Administratoren, die in kurzer Zeit mehr als 50.000 Nutzerkonten bereitstellen müssen.
Für eine schnelle, umfangreiche Kontenbereitstellung können Sie auf Lösungen von Drittanbietern zurückgreifen. Beim Google Apps Manager (GAM), einer kostenlos herunterladbaren Open Source, wird beispielsweise die Admin SDK Directory API zum Erstellen und Verwalten von Google Workspace-Nutzern und -Gruppen verwendet.
GAM interagiert mit vielen Google APIs, mit denen Sie auch andere Kontofunktionen und -ressourcen verwalten können. Weitere Informationen zu Integrationen mit Drittanbietern finden Sie auf der Seite mit Anleitungen unter Mit Google Cloud Lösungen erstellen.
Hinweis
Die Bereitstellung vieler Konten erfordert Folgendes:
- Übung im Umgang mit Befehlszeilen-Eingabeaufforderungen
- Ein kostenpflichtiges Google Workspace-Konto, das diese Voraussetzungen erfüllen muss:
- Es befindet sich nicht mehr in einem kostenlosen Testzeitraum. Weitere Informationen
- Es ist ein Konto mit Domainbestätigung. Weitere Informationen
Schritt 1: Konflikte zwischen Konten vermeiden
Einige Ihrer Nutzer haben möglicherweise ein privates Google-Konto, z. B. eine Gmail-Adresse. Dies kann zu Konflikten führen, wenn Sie ihr neues, verwaltetes Google Workspace- oder Cloud Identity-Konto bereitstellen. Sehen Sie sich hierzu die folgenden Hilfeartikel an:
Schritt 2: Einfache, flache Organisationsstruktur erstellen
Vermeiden Sie komplexe Hierarchien von Organisationseinheiten mit vielen Ebenen. Sie können Hierarchien auch später ändern und Nutzer verschieben. Hier finden Sie einige Tipps zum Einrichten einer vereinfachten Organisationsstruktur:
- Konzentrieren Sie sich auf die Dienste und Funktionen, auf die Nutzer, die Sie verwalten, zugreifen müssen.
- Beschränken Sie die Verfügbarkeit von Diensten und Funktionen der obersten Organisationseinheit und gewähren Sie Zugriff auf untergeordnete Organisationseinheiten.
Weitere Informationen zur Funktionsweise der Organisationsstruktur
Beispiel für Bildungseinrichtungen
In der Tabelle unten ist links die aktuelle Struktur der Organisation zu sehen. Sie ist eher umständlich, z. B. wenn Sie Lehrkräften wiederholt Zugriff auf erweiterte Google Meet-Funktionen für viele Organisationseinheiten in der Bildungseinrichtung gewähren müssen.
Bei der empfohlenen Struktur liegt der Fokus auf der Funktion. Als Administrator haben Sie die Möglichkeit, Dienste und Funktionen für alle Schüler und Studenten ganz einfach in der Organisationseinheit /Schüler zu deaktivieren. Sie können beispielsweise die Passwortwiederherstellung für Nutzer deaktivieren und YouTube-Einschränkungen anwenden. Außerdem lassen sich erweiterte Funktionen für Lehrkräfte und andere Mitarbeiter aktivieren, z. B. Streaming und Aufzeichnung in Meet sowie die Bestätigung in zwei Schritten.
| Aktuelle Organisationsstruktur | Empfohlene Organisationsstruktur |
|---|---|
|
|
|
Beispiel für eine große Organisation
Ermitteln Sie zuerst, welche Dienste und Funktionen Ihre Nutzer benötigen. Gehen Sie anschließend so vor:
- Wenden Sie die jeweiligen Einstellungen auf die oberste Organisationseinheit an.
Wenn Sie diese Einstellungen nicht überschreiben, werden sie für untergeordnete Organisationseinheiten übernommen. Beispiele: - Für zusätzliche Sicherheit sollten Abteilungen oder Fachbereiche die Bestätigung in zwei Schritten (2SV, 2-Step Verification) verwenden.
| Aktuelle Organisationsstruktur | Empfohlene Organisationsstruktur |
|---|---|
|
|
|
Schritt 3: Datenquelle vorbereiten
Erstellen Sie eine CSV-Datei (kommagetrennte Werte) mit den erforderlichen Daten, damit Sie weitere Nutzerkonten anlegen können. Pflichtfelder:
- FirstName
- LastName
- PrimaryEmail: Die E-Mail-Adresse, mit der sich der Nutzer anmeldet.
- Password: Das Passwort muss aus mindestens acht Zeichen bestehen.
- OrgUnit: Berücksichtigen Sie die oben genannten Empfehlungen, wenn Sie einen Nutzer einer Organisationseinheit zuweisen.
Hinweis: Geben Sie einen Schrägstrich (
/) ein, um Nutzer in die oberste (Stamm-)Organisationseinheit aufzunehmen. Trennen Sie die untergeordneten Organisationseinheiten mit einem Schrägstrich, z. B./Staff/Teachers.
Beispiel für Bildungseinrichtungen
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students
John,Smith,john.smith@example.com,X2Ae+pME,/Staff
Beispiel für eine große Organisation
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/
John,Smith,john.smith@example.com,9/t0UHQ6,/Sales
Schritt 4: GAM einrichten
Wenn Sie sich für GAM entscheiden, gehen Sie so vor:
- Erstellen Sie mit GAM, Version 5.10 oder höher, vor dem ersten Ausführen von GAM die Datei „noshorturls.txt“ im GAM-Ordner.
Dadurch wird gam-shortn.appspot.com für Kurz-URLs deaktiviert. - Laden Sie GAM von der Website herunter.
- Konfigurieren Sie das Tool.
- Wenn Sie während der Einrichtung gefragt werden, ob Sie GAM autorisieren möchten, Google Workspace-Nutzerdaten und -einstellungen zu verwalten, geben Sie N (nein) ein, um die domainweite Delegierung zu überspringen.
Mit diesem Befehl können Sie überprüfen, ob GAM-Konten mit dem richtigen Google Workspace-Konto verknüpft sind:
gam info domain
Schritt 5: Mehrere Nutzer mit GAM erstellen
Zum Erstellen der Nutzer wird in GAM eine CSV-Datei (kommagetrennte Werte) gelesen und die relevanten Anfragen werden an die Admin SDK Directory API gesendet.
Wenn Sie eine CSV-Datei mit den oben in Schritt 3 angegebenen Feldern erstellt haben, werden die folgenden Nutzer in diesem CSV-Format angelegt:
gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on
Gehen Sie so vor:
- Erstellen Sie für jeden Nutzer ein eigenes Passwort.
- Verwenden Sie den optionalen Parameter
changepassword on, um den Nutzer zu zwingen, sein Passwort nach der ersten Anmeldung zu ändern.
Vorgehensweise, wenn in der Datenquelle Felder fehlen
Wenn Ihre Datenquelle nur den Vor- und Nachnamen sowie ein Passwort für jeden Nutzer enthält, können Sie Nutzernamen im Format first.last@example.com erstellen. Beispiel: Charlie.Smith@example.com.
Der Befehl lautet:
gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on
Bei diesem Ansatz wird davon ausgegangen, dass Folgendes zutrifft:
- Es gibt keine Nutzer mit demselben Namen.
- Es gibt keine Vor- und Nachnamen mit:
- Leerzeichen
- Anderen unzulässigen Zeichen
Fragen
Weitere Informationen finden Sie unter Google Workspace-Support kontaktieren.
Wenn Sie Fragen zum Inhalt dieses Artikels haben, geben Sie sie in der Supportanfrage an und verlinken Sie den Artikel. Wenn Sie uns Logs oder andere Details mitteilen möchten, die uns helfen könnten, kontaktieren Sie uns per E-Mail.
Informationen zum Verfahren für Google Workspace for Education finden Sie in folgenden Artikeln:
- Einführung in Google Workspace for Education
- Google Workspace for Education – FAQ
Nachdem Sie ein Google Workspace-Konto erstellt haben, werden Sie aufgefordert, die Inhaberschaft für Ihre Domain zu bestätigen. Wenn Sie sich nicht mehr erinnern, ob Sie das getan haben, melden Sie sich in der Admin-Konsole an, rufen Sie den Abschnitt „Domains“ auf und klicken Sie auf Domains verwalten.
Die erste aufgeführte Domain ist Ihre primäre Domain. In der Statusspalte wird angezeigt, ob die Domain noch bestätigt werden muss.
Der Google Cloud-Support unterstützt weder GAM noch Lösungen von Drittanbietern, dafür aber die Admin SDK Directory API, die von diesen Tools verwendet wird. Zwar können wir Ihnen also nicht mit dem GAM-Tool selbst helfen, wenn jedoch die zugrunde liegenden APIs Fehler zurückgeben, insbesondere die Admin SDK Directory API, sind wir der richtige Ansprechpartner. Weitere Informationen zu GAM-Befehlen und -Verfahren finden Sie im GAM-Wiki.
Benötigen Sie Hilfe mit GAM? Dann wenden Sie sich einfach im GAM-Forum an eine Community von Google Workspace-Administratoren, die gern ihre Unterstützung anbieten.
Wenn Sie vermuten, dass ein Problem mit der Admin SDK Directory API vorliegt, wenden Sie sich bitte an den Google Cloud-Support. Halten Sie dazu die folgenden Informationen bereit:
- Die HTTP-Methode und den Endpunkt, den die Drittanbieterlösung aufruft (z. B.
POST /admin/directory/v1/users?fields=primaryEmail) -
Den Antwortcode und die zugehörige Meldung (z. B. 403: Nicht für den Zugriff auf diese Ressource/API autorisiert – unzulässig)
- Das Datum des Antwort-HTTP-Headers (z. B. Datum: Mi, 22 Jun 2020 17:48:48 GMT)
- Die Entität, die den Aufruf ausführt: Nutzername, Dienstkonto oder Google Cloud-Projekt-ID
Entfernen Sie Informationen wie Namen, Passwörter, Anfrageheader für die Authentifizierung, IP-Adressen, Werte von benutzerdefinierten Schemas oder andere vertrauliche Informationen.
Die Standardkontingente sollten für die meisten Kunden ausreichen. Weitere Informationen zu API-Limits finden Sie im englischsprachigen Artikel Directory API: Limits and Quotas.
Wenn Sie zusätzliche Kontingente für Ihr Projekt benötigen, lesen Sie die Anforderungen im Abschnitt „Kontingente“ in Google Cloud:
- Öffnen Sie die Google Cloud Console.
- Wählen Sie oben das Projekt aus, das mit GAM erstellt wurde.
- Klicken Sie links auf das Dreistrich-Menü
> IAM & Verwaltung > Kontingente.
- Filtern Sie unter Dienst nach Admin SDK (relevant für die Bereitstellung von Nutzern).
- Wählen Sie die Elemente aus, für die Sie ein höheres Kontingent anfordern möchten.
- Klicken Sie oben auf Kontingente bearbeiten.
Die Aktivierung der Abrechnung für das von GAM erstellte Google Cloud-Projekt wird in diesem Hilfeartikel im entsprechenden Abschnitt beschrieben.
