本文适用于需要在有限时间内配置超过 5 万个用户帐号的 IT 管理员。
您可以使用第三方解决方案来快速配置大量帐号,例如可下载的免费开源 Google Apps Manager (GAM)。该解决方案使用 Admin SDK Directory API 来创建和管理 Google Workspace 用户和群组。
GAM 能与很多 Google API 配合使用,您可以使用这些 API 来管理其他帐号功能和资源。要详细了解如何与第三方集成,请访问通过 Google Cloud 解决各种问题的教程页面。
准备工作
配置大量帐号需要:
第 1 步:避免发生帐号冲突
部分用户可能拥有个人 Google 帐号(例如 Gmail 地址)。在您为这些用户配置受管理的新 Google Workspace 帐号或 Cloud Identity 帐号时,这可能会导致冲突。为避免此类问题,请执行以下操作:
第 2 步:创建简单的扁平式组织结构
避免创建包含多个层级的复杂组织部门架构。您可以之后再修改架构和移动用户。以下是一些关于设置简单组织结构的提示:
- 专注于您管理的用户需要使用的服务和功能。
- 限制顶级组织部门可使用的服务和功能,并将访问权限赋予下级组织部门。
详细了解组织结构工作原理。
教育机构示例
在下面的表格中,左侧结构为组织的实际结构。此结构在一开始可能很难管理,当您必须反复向学校中大量组织部门的教师授予 Google Meet 高级功能的访问权限时尤为如此。
我们建议的结构则侧重于功能。作为管理员,您可以轻松为 /Students 组织部门中的所有学生停用服务和功能。例如,您可以停用密码恢复自助服务以及设定 YouTube 限制。您也可以为教师和其他员工启用高级功能,例如 Meet 直播、录制以及两步验证。
| 组织结构示例 | 建议的组织结构 |
|---|---|
|
|
|
大型组织示例
首先,请确定用户需要哪些服务和功能。然后:
- 将这些设置用于顶级组织部门。
除非您覆盖相关设置,否则下级组织部门会沿用这些设置。示例: - 要求各部门使用两步验证,提高安全性。
| 组织结构示例 | 建议的组织结构 |
|---|---|
|
|
|
第 3 步:准备数据源
创建逗号分隔值 (CSV) 文件,其中需包含接下来创建用户帐号所需的数据。必填字段:
- FirstName(名字)
- LastName(姓氏)
- PrimaryEmail(主电子邮件)- 用户登录时使用的电子邮件地址
- Password(密码)- 必须至少包含 8 个字符
- OrgUnit(组织部门)- 要在相应的组织部门中创建用户,请考虑遵循上述建议
注意:要将用户置于顶级(根级)组织部门,请输入
/(正斜线)。您可以用正斜线分隔下级组织部门,例如/Staff/Teachers。
教育机构示例
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Jane,Doe,id12345678@students.example.com,Zee+HWdt,/Students
John,Smith,john.smith@example.com,X2Ae+pME,/Staff
大型组织示例
FirstName,LastName,PrimaryEmail,Password,OrgUnit
Jane,Doe,jane.doe@example.co.uk,V8hmj/QE,/
John,Smith,john.smith@example.com,9/t0UHQ6,/Sales
第 4 步:设置 GAM
如果您决定使用 GAM,请按照以下建议的步骤操作:
- 如果您使用的是 GAM 5.10 及更高版本,则在首次执行 GAM 之前,请先在 GAM 所在的文件夹中创建名为 noshorturls.txt 的文件。
此操作将停用 gam-shortn.appspot.com 短网址。 - 从 GAM 网站下载 GAM。
- 配置工具。
- 在设置过程中,当系统询问您是否“ready to authorize GAM to manage Google Workspace user data and settings”(准备授权 GAM 管理 Google Workspace 用户数据和设置)时,请回答 N(否)以跳过全网域授权。
以下命令可帮助您确认 GAM 是否已关联正确的 Google Workspace 帐号:
gam info domain
第 5 步:使用 GAM 创建多个用户
在创建用户时,GAM 会读取逗号分隔值 (CSV) 文件,并向 Admin SDK Directory API 发出相关请求。
如果您使用上述第 3 步中指定的字段创建了逗号分隔值 (CSV) 文件,则可通过以下命令在 CSV 文件中创建用户:
gam csv users.csv gam create user ~PrimaryEmail firstname ~FirstName lastname ~LastName password ~Password org ~OrgUnit changepassword on
请务必执行以下操作:
- 为每个用户分别创建不同的密码。
- 使用可选参数
changepassword on以强制要求用户在首次登录后更改密码。
替代方案:如果您的数据源缺少某些字段,该怎么办?
如果您的数据源中只有每位用户的名字、姓氏和密码,那么您可以用 first.last@example.com(<名字>.<姓氏>@example.com)的格式来创建用户名。例如,对于名为 Charlie Smith 的用户,就可以将 Charlie.Smith@example.com 用作用户名。
对应的命令为:
gam csv users.csv gam create user ~~FirstName~~.~~LastName~~@example.com password ~Password changepassword on
此方法假定所有用户都不会出现以下情况:
- 拥有相同的姓名
- 姓氏和名字中有:
- 空格
- 其他不允许使用的字符
请参阅用户和群组的命名准则。
问题
请参阅与 Google Workspace 支持团队联系。
如果您对本文的内容有疑问,请在支持请求中提供相关信息和文章的链接。要分享日志或其他有助于我们为您提供协助的详细信息,请通过发送电子邮件与我们联系。
创建 Google Workspace 帐号后,系统会提示您验证域名所有权。如果您不记得是否进行了验证,请登录管理控制台,转到“域名”部分,然后点击管理网域。
列出的第一个网域是您的主网域。状态列会显示该网域是否需要验证。
Google Cloud 支持团队不会为这些或其他第三方解决方案提供支持,而只会为这些工具使用的 Admin SDK Directory API 提供支持。虽然我们无法针对 GAM 工具本身提供帮助,但如果底层 API(尤其是 Admin SDK Directory API)返回了错误,我们也可以提供帮助。要详细了解 GAM 命令和相关技术,请访问 GAM Wiki。
需要有关 GAM 的帮助?请访问 GAM 论坛,与一群愿意提供支持的 Google Workspace 管理员联系。
如果您认为 Admin SDK Directory API 存在问题,请向 Google Cloud 支持团队提供以下详细信息:
- 第三方解决方案调用的 HTTP 方法和端点(例如
POST /admin/directory/v1/users?fields=primaryEmail) -
响应代码和消息(例如 403: Not Authorized to access this resource/api - forbidden)
- 响应 HTTP 标头日期(例如 Date: Wed, 22 Jun 2020 17:48:48 GMT)
- 发出调用的实体:用户名、服务帐号或 Google Cloud 项目 ID
请移除名称、密码、身份验证请求标头、IP 地址、自定义架构的值或其他认为您认为比较敏感的信息。
默认配额应该能满足大多数客户的需求。要了解有关 API 限制的更多信息,请参阅 Directory API:限制和配额。
如果您仍需要更多项目配额,请参阅 Google Cloud 控制台配额部分中的要求:
- 打开 Google Cloud 控制台。
- 在顶部选择 GAM 创建的项目。
- 点击左侧的“导航菜单”图标
> IAM 和管理 > 配额。
- 在服务下方,按 Admin SDK 过滤(与用户配置相关)。
- 选择您要为哪些项目申请更多配额。
- 点击顶部的修改配额。
要为 GAM 创建的 Google Cloud 项目启用结算功能,请访问如何为当前项目启用结算功能。
