Diese Seite gilt für Directory Sync. Wenn Sie Google Cloud Directory Sync (GCDS) verwenden, rufen Sie GCDS auf. Directory Sync ist derzeit als öffentliche Betaversion verfügbar.
Hier finden Sie häufig gestellte Fragen zum Einrichten und Ausführen einer Synchronisierung mit Directory Sync.
Allgemein | Synchronisierung von Nutzern und Gruppen | Active Directory | Azure Active Directory
Einrichtung
Abschnitt öffnen | Alle minimieren und nach oben
Sollte ich von Google Cloud Directory Sync zu Directory Sync wechseln?Wenn Sie nur Nutzer und Gruppen synchronisieren, erfüllt Directory Sync möglicherweise Ihre Anforderungen.
Wenn Sie zusätzlich zu Nutzern und Gruppen Objekte synchronisieren, z. B. Google Workspace-Lizenzen oder freigegebene Kontakte, können Sie Directory Sync für die Synchronisierung der Nutzer und Gruppen und GCDS für die anderen Objekte verwenden. Wenn Sie jedoch sowohl Nutzer als auch Gruppen synchronisieren, müssen Sie für beide dasselbe Synchronisierungstool verwenden.
Weitere Informationen finden Sie im Hilfeartikel Directory Sync mit GCDS vergleichen.
Ja. Sie können Directory Sync verwenden, um Nutzer und Gruppen zu synchronisieren, und GCDS, um andere Objekte zu synchronisieren, z. B. freigegebene Kontakte. Wir empfehlen, Nutzer und Gruppen mit einem einzigen Tool zu synchronisieren.
Nein, Directory Sync kann keine Nutzerpasswörter aus externen Verzeichnissen synchronisieren.
Nutzer und Gruppen
Abschnitt öffnen | Alle minimieren und nach oben
Was passiert, wenn eine Synchronisierung nicht automatisch ausgeführt werden kann?Sie müssen nichts unternehmen.
Directory Sync wiederholt den Vorgang mindestens sieben Tage nach der letzten erfolgreichen Synchronisierung. Es wird mindestens neunmal versucht, die Synchronisierung neu zu starten, bevor der Vorgang abgebrochen wird.
Ja, Sie können den Namen einer externen Verzeichnisgruppe ändern. Falls Sie eine Synchronisierung ausgeführt haben, nachdem Sie die Gruppe im Abschnitt Nutzerumfang Directory Sync mit aktiviertem Feld Nutzer im Google-Verzeichnis sperren hinzugefügt haben, müssen Sie einige zusätzliche Schritte ausführen. Folgen Sie in diesem Fall der Anleitung unten, um den Gruppennamen zu ändern.
Hinweis: Wenn das oben beschriebene Szenario nicht für Ihre Einrichtung gilt, können Sie die externe Verzeichnisgruppe ohne diese zusätzlichen Schritte umbenennen.
- Deaktivieren Sie die Synchronisierung.
Weitere Informationen finden Sie im Hilfeartikel Synchronisierung aktivieren oder deaktivieren.
- Klicken Sie auf der Seite Verzeichnisdetails neben Nutzersynchronisierung auf „Bearbeiten“
.
- Geben Sie den neuen Gruppennamen ein und speichern Sie die Synchronisierungskonfiguration.
- Benennen Sie die Gruppe in Ihrem externen Verzeichnis um.
- Entfernen Sie in Directory Sync unter Nutzerumfang den alten Gruppennamen und speichern Sie die Synchronisierungskonfiguration.
Wenn eine im Nutzerumfang definierte Gruppe im externen Verzeichnis gelöscht wird, bleibt der Nutzer im Google Cloud-Verzeichnis nach einer Synchronisierung aktiv oder gesperrt, abhängig von der Einstellung Aufheben der Bereitstellung. Diese Aktion wird fortgesetzt, bis Sie die Gruppe aus dem Umfang der Synchronisierung entfernen.
Wenn Sie die Gruppe im externen Verzeichnis löschen und wieder mit demselben Namen hinzufügen, synchronisiert Directory Sync die Gruppe wie eine neue Gruppe, da sie eine neue Gruppen-ID hat.
Weitere Informationen finden Sie im Hilfeartikel Nutzer sperren, die nicht im externen Verzeichnis gefunden wurden.
Ja, Sie können Directory Sync verwenden, um Nutzer mit einer sekundären Domain zu synchronisieren.
Achten Sie darauf, dass die E-Mail-Adressen der Nutzer in Ihrem externen Verzeichnis mit dem Namen Ihrer sekundären Domain übereinstimmen. Wenn Sie an Ihrem bestehenden E-Mail-Attribut keine Änderungen vornehmen möchten, verwenden Sie ein anderes Attribut und weisen Sie es bei der Einrichtung der Nutzersynchronisierung zu. Während der Synchronisierung erstellt Directory Sync die Nutzer in Ihrem Google Cloud-Verzeichnis, wobei die sekundäre Domain als primäre E-Mail-Adresse verwendet wird.
Weitere Informationen finden Sie unter Domainnamen für synchronisierte Nutzer ersetzen.
Active Directory
Abschnitt öffnen | Alle minimieren und nach oben
Kann ich den VPC-Zugriffsconnector in einem separaten Projekt erstellen?Zur Vereinfachung der Netzwerkkonfiguration empfehlen wir, den VPC-Zugriffsconnector (Virtual Private Cloud) im selben Projekt wie Cloud VPN oder Cloud Interconnect zu erstellen. Wenn Sie den VPC-Zugriffsconnector in einem anderen Projekt erstellen möchten, verwenden Sie eine freigegebene VPC. Weitere Informationen finden Sie unter Freigegebene VPC – Übersicht.
Bei der Suche nach Verzeichnisobjekten wie Nutzern und Gruppen verwendet der LDAP-Server den Basis-DN als Ausgangspunkt. Je enger der Umfang des Basis-DNs, desto besser die Leistung bei der Suche.
Beispiele
| Art der Basis-DN-Suche | Beispiel | Hinweise |
|---|---|---|
| Basis-DN der obersten Ebene angeben | dc=beispiel, dc=de | Durchsucht alle Objekte im Verzeichnis. Die Suchleistung kann niedrig sein. |
| Organisationseinheit angeben | ou=vertrieb, dc=beispiel, dc=de |
Sucht nach allen Objekten in einer Organisationseinheit. |
|
Nutzer angeben |
cn=nutzer, dc=beispiel, dc=de |
Es wird nach allen Nutzern im Verzeichnis gesucht. |
Wir empfehlen, die Abfrage mit den Attributen objectClass und objectClass weiter einzugrenzen. Weitere Informationen finden Sie unter Nach objectCategory und objectClass filtern.
Weitere Informationen
Ja, Sie können bis zu 50 AD-Verbindungen herstellen. Die AD-Domain muss für jede Verbindung eindeutig sein.
So verbessern Sie die Suchleistung:
- Basis-DN: Passen Sie den Basis-DN an, um ihn so spezifisch wie möglich zu machen. Wenn sich Nutzer oder Gruppen beispielsweise in einer Hierarchie der Organisationseinheit befinden, können Sie mit der Suchanfrage auf das übergeordnete Element der Hierarchie statt auf die Stammorganisationseinheit verweisen. So wird die LDAP-Suche in der jeweiligen Hierarchie der Organisationseinheiten und nicht im gesamten Verzeichnis durchgeführt.
- Umfang: Betrachten Sie die Hierarchieebene, die in Ihrer LDAP-Abfrage enthalten ist.
In diesem Beispiel ist die Hierarchie Ihrer Organisationseinheit in Regionen (1. Ebene) und Länder (2. Ebene) unterteilt. Wenn sich Ihre Nutzer und Gruppen in der Organisationseinheit „APAC“ befinden, legen Sie den Umfang der LDAP-Abfrage als Eine Ebene fest, sodass die Abfrage nur in der APAC-Einheit (und nicht in ihren Einheiten der 2. Ebene) durchsucht wird. Wenn Sie Organisationseinheiten auf der zweiten Ebene in die Suche einbeziehen möchten, legen Sie den Umfang auf Unterstruktur fest.
Weitere Informationen
Azure Active Directory
Abschnitt öffnen | Alle minimieren und nach oben
Kann ich nur eine begrenzte Anzahl von Azure Active Directory-Verbindungen synchronisieren?Ja, Sie können nur eine einzelne Microsoft Azure Active Directory-Verbindung hinzufügen.
- Nutzerumfang: 2.000 Gruppen (maximal 100.000 Zeichen für alle Gruppen)
- Gruppenumfang: 400 Gruppen (maximal 17.000 Zeichen für alle Gruppen)
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.
