Esta página é sobre o Directory Sync. Se você usa o Google Cloud Directory Sync (GCDS), acesse o GCDS. No momento, o Directory Sync está na versão Beta pública.
Confira abaixo perguntas comuns sobre como configurar e executar uma sincronização com o Directory Sync.
Geral | Sincronização de usuários e grupos | Active Directory | Azure Active Directory
Configuração
Abrir seção | Recolher tudo e voltar ao início
Preciso mudar do Google Cloud Directory Sync para o Directory Sync?Se você estiver sincronizando apenas usuários e grupos, o Directory Sync talvez atenda aos seus requisitos.
Ao sincronizar objetos com usuários e grupos, como contatos compartilhados ou licenças do Google Workspace, use o Directory Sync para sincronizar usuários e grupos e o GCDS para os outros objetos. Se você estiver sincronizando usuários e grupos, precisará usar a mesma ferramenta para ambos.
Confira mais informações em Comparar o Directory Sync com o GCDS.
Sim. Você pode usar o Directory Sync para sincronizar usuários e grupos e o GCDS para sincronizar outros objetos, como contatos compartilhados. Recomendamos o uso de uma ferramenta para sincronizar usuários e grupos.
Não, o Directory Sync não pode sincronizar senhas de usuário de diretórios externos.
Na primeira vez que você acessar a página Directory Sync no Google Admin Console, uma conta de serviço com uma função de gerenciamento de diretório será criada automaticamente em um projeto interno do Google Cloud.
O Directory Sync usa essa conta para acessar os dados do diretório do Google Cloud. Não é possível acessar ou gerenciar a conta. As visitas subsequentes à página Directory Sync não criam contas adicionais.
É possível conferir quando a conta é acessada na ferramenta de investigação de segurança. Veja mais detalhes em Eventos de registro do administrador.
Sincronizar usuários e grupos
Abrir seção | Recolher tudo e voltar ao início
O que acontece se uma sincronização não for executada automaticamente?Você não precisa fazer nada.
O Directory Sync nova o processo por pelo menos sete dias após a última sincronização bem-sucedida. Ele tenta reiniciar a sincronização pelo menos nove vezes antes de cancelar o processo.
Sim, você pode alterar o nome de um grupo de diretórios externo. Você precisará de algumas etapas extras se tiver executado uma sincronização após adicionar o grupo na seção Escopo do usuário do Directory Sync com a opção Suspender usuário no diretório do Google marcada. Nesse caso, siga as instruções abaixo para alterar o nome do grupo.
Observação: se o cenário acima não se aplicar à sua configuração, renomeie o grupo do diretório externo sem estas etapas adicionais.
- Desative a sincronização.
Veja mais detalhes em Ativar ou desativar uma sincronização.
- Na página Detalhes do diretório, clique em Editar
ao lado de Sincronização do usuário.
- Digite o nome do novo grupo e salve a configuração de sincronização.
- No diretório externo, renomeie o grupo.
- No Directory Sync, em Escopo do usuário, remova o nome do grupo antigo e salve a configuração de sincronização.
Se um grupo definido no escopo do usuário for excluído do diretório externo, o usuário no diretório do Google Cloud permanecerá ativo ou suspenso após uma sincronização, dependendo da configuração de Desprovisionamento. Essa ação continua até que você remova o grupo do escopo da sincronização.
Se você excluir o grupo no diretório externo e adicioná-lo novamente com o mesmo nome, o Directory Sync sincronizará o grupo como se fosse um novo grupo porque ele tem um novo ID.
Confira mais informações em Suspender usuários não encontrados no diretório externo.
Sim, você pode usar o Directory Sync para sincronizar os usuários com um domínio secundário.
Verifique se os endereços de e-mail dos usuários no diretório externo correspondem ao nome de domínio secundário. Se você não quiser fazer alterações no atributo de e-mail existente, use outro atributo e o atribua ao configurar a sincronização de usuários. Durante uma sincronização, o Directory Sync cria os usuários no seu diretório do Google Cloud usando o domínio secundário como o endereço de e-mail principal.
Confira mais informações em Substituir o nome do domínio para usuários sincronizados.
Não. O Directory Sync não sincroniza dados de usuários administradores no Google Workspace.
Se você precisar sincronizar usuários administradores, use o Google Cloud Directory Sync. Para mais informações, acesse Sobre o Google Cloud Directory Sync.
Sim, é possível sincronizar grupos aninhados ao usar o Directory Sync. Confira as etapas em Configurar a sincronização de grupos.
Active Directory
Abrir seção | Recolher tudo e voltar ao início
Posso criar o conector de acesso à VPC em um projeto diferente?Para simplificar a configuração de rede, recomendamos que você crie o conector de acesso à nuvem privada virtual (VPC) no mesmo projeto da VPN do Cloud VPN ou do Cloud Interconnect. Se você quiser criar o conector de acesso à VPC em um projeto diferente, use a VPC compartilhada. Veja mais informações em Visão geral da VPC compartilhada.
O servidor LDAP usa o DN de base como ponto de partida ao pesquisar objetos de diretório, como usuários e grupos. Quanto mais restrito for o escopo do DN de base, melhor será o desempenho dele na pesquisa.
Exemplos
| Tipo de pesquisa de DN de base | Exemplo | Observações |
|---|---|---|
| Especificar o DN de base de nível superior | dc=example, dc=com | Pesquisa todos os objetos no diretório. O desempenho da pesquisa pode ser baixo. |
| Especificar uma unidade organizacional | ou=sales, dc=example, dc=com |
Pesquisa todos os objetos em uma unidade organizacional. |
|
Especificar a pesquisa de um usuário |
cn=Users, dc=example, dc=com |
Pesquisa todos os usuários no diretório. |
Recomendamos que você use os atributos objectClass e objectQuery para restringir ainda mais sua consulta. Confira mais detalhes em Filtrar com objectCategory e objectClass.
Temas relacionados
Sim, você pode criar até 50 conexões do AD. O domínio do AD precisa ser exclusivo para cada conexão.
Para melhorar o desempenho da pesquisa:
- DN de base: ajuste o DN de base para torná-lo o mais específico possível. Por exemplo, caso seus usuários ou grupos estejam em uma hierarquia de unidade organizacional, use a consulta de pesquisa para apontar para o pai da hierarquia em vez da unidade organizacional raiz. Isso garante que a pesquisa LDAP ocorra na hierarquia de unidades organizacionais específica, e não em todo o diretório.
- Escopo: considere o nível de hierarquia incluído na consulta LDAP.
Neste exemplo, a hierarquia de unidades da organização está dividida em regiões (primeiro nível) e países (segundo nível). Se os usuários e grupos estiverem na unidade organizacional APAC, defina o escopo da consulta LDAP como Um nível para que a consulta pesquise apenas a unidade APAC (e não as unidades de segundo nível). Se você quiser incluir as unidades organizacionais de segundo nível na pesquisa, defina o escopo como Subárvore.
Temas relacionados
Active Directory do Azure
Abrir seção | Recolher tudo e voltar ao início
Existe um limite para o número de conexões do Active Directory do Azure que posso sincronizar?Sim, só é possível adicionar uma conexão do Microsoft Azure Active Directory.
- Escopo do usuário: 2.000 grupos (um limite de 100.000 caracteres para todos os grupos)
- Escopo do grupo: 400 grupos (um limite de 17.000 caracteres para todos os grupos)
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.
