Konfigurowanie Password Sync

Za pomocą Password Sync możesz aktualizować hasła użytkowników Google Workspace i Cloud Identity bezpośrednio z Microsoft Active Directory. Dowiedz się więcej o Password Sync.

Narzędzie Password Sync jest dostępne dla administratorów Google Workspace i Cloud Identity.

Zanim zaczniesz

Upewnij się, że:

  • jesteś administratorem w swojej organizacji (tylko administratorzy mogą wykonać czynności niezbędne do skonfigurowania Password Sync),
  • jesteś administratorem domeny Active Directory,
  • środowisko spełnia wymagania systemowe.

Ważne: Password Sync służy tylko do synchronizowania zmienionych haseł Active Directory na koncie Google organizacji. Aby zakończyć proces synchronizacji, użytkownicy muszą zmienić swoje hasła Active Directory po skonfigurowaniu Password Sync na wszystkich kontrolerach domeny dostępnych do zapisu.

Przygotowanie do instalacji Password Sync

Krok 1. Wybierz metodę uwierzytelniania w Google

Password Sync obsługuje te metody uwierzytelniania:

  • konto usługi,
  • 3-etapowa autoryzacja OAuth.

Zalecamy uwierzytelnianie Password Sync za pomocą konta usługi. Konto usługi jest wykorzystywane w Password Sync w wersji 1.6 lub nowszej. Więcej informacji o metodach uwierzytelniania Password Sync znajdziesz w artykule na temat wybierania metody autoryzacji w Google.

Krok 2. Utwórz konto usługi
Jeśli używasz konta usługi jako metody uwierzytelniania, musisz utworzyć konto usługi dla Password Sync w Google Cloud Console. Szczegółowe informacje znajdziesz w artykule Autoryzowanie Password Sync w domenie.
Krok 3. Dodaj konta użytkowników do domeny Google

Jeśli nie wszyscy użytkownicy mają konta Google, musisz je utworzyć. Następnie możesz dodać te konta:

  • Przy użyciu Google Cloud Directory Sync – zalecaną metodą dodawania użytkowników do konta w środowisku Active Directory jest użycie Google Cloud Directory Sync (GCDS). GCDS automatycznie synchronizuje konta użytkowników w domenie Google z kontami użytkowników w systemie Active Directory.

    Aby przeprowadzić synchronizację, musisz w GCDS kliknąć Additional User Attributes (Dodatkowe atrybuty użytkownika) a potem Synchronize Passwords (Synchronizuj hasła), wybrać ustawienie Only for new users (Tylko dla nowych użytkowników) i odznaczyć pole Force new users to change password (Wymuszaj zmianę hasła przez nowych użytkowników). W przeciwnym razie hasła mogą nie być synchronizowane po uruchomieniu GCDS. Więcej informacji

  • Przy użyciu innej metody – jeśli nie chcesz korzystać z GCDS, zobacz artykuł Opcje związane z dodawaniem kont użytkowników.

Instalowanie i konfigurowanie Password Sync przy użyciu kreatora konfiguracji

W tej sekcji opisaliśmy, jak zainstalować Password Sync przy użyciu kreatora konfiguracji. Instrukcję instalacji Password Sync z poziomu wiersza poleceń znajdziesz w artykule Instalowanie i konfigurowanie Password Sync z poziomu wiersza poleceń.

Krok 4. Pobierz Password Sync

Wykonaj te czynności na każdym serwerze Active Directory (kontrolerze domeny):

  1. Zaloguj się w kontrolerze domeny jako administrator domeny. Konto musi pochodzić z domeny kontrolera domeny.
  2. Pobierz Password Sync w wersji odpowiedniej dla systemu operacyjnego (32-bitowej lub 64-bitowej).
  3. (Opcjonalnie) Jeśli używasz konta usługi, skopiuj plik JSON konta usługi do kontrolera domeny. Jeśli nie masz jeszcze konta usługi, instrukcję znajdziesz w artykule Autoryzacja Password Sync w domenie.
Krok 5. Zainstaluj Password Sync

Wybór instalatora zależy od architektury hosta (32-bitowa lub 64-bitowa).

  1. Uruchom jeden z tych instalatorów:
    • gsuitepasswordsync32.msi,
    • gsuitepasswordsync64.msi.
  2. Wykonaj czynności instalacyjne.
  3. Uruchom serwer ponownie.
Krok 6. Skonfiguruj Password Sync
  1. W menu Start otwórz Password Sync.
  2. Kliknij Dalej.
  3. Podaj swój adres e-mail administratora.

    Chodzi o adres e-mail administratora używany w Password Sync do aktualizacji haseł. Adres administratora jest też widoczny w dziennikach kontrolnych w konsoli administracyjnej.

    Ważne: zanim przejdziesz dalej, zaloguj się na konto administratora w konsoli administracyjnej Google i zaakceptuj Warunki korzystania z usługi.

  4. Skonfiguruj metodę uwierzytelniania (konto usługi lub 3-etapową autoryzację OAuth).

    Jeśli używasz konta usługi, wykonaj te czynności:

    1. Wybierz Service Account (Konto usługi).
    2. Kliknij Load Credentials (Wczytaj dane logowania) i wybierz swój plik JSON konta usługi.

      Wartość w polu Status (Stan) powinna się zmienić na Authorized (Autoryzowane).

      Uwaga: plik JSON zawiera klucz umożliwiający dostęp do Twojej domeny Google. Po uwierzytelnieniu usuń ten plik z systemu.

    Jeśli używasz 3-etapowej autoryzacji OAuth, wykonaj te czynności:

    1. Wybierz 3-legged OAuth (3-etapowa autoryzacja OAuth).
    2. Kliknij Authorize Now (Autoryzuj teraz).
    3. Gdy zobaczysz taką prośbę, zaloguj się na konto Google przy użyciu adresu e-mail wpisanego wcześniej. Kliknij Continue (Dalej).
    4. Jeśli wyświetli się zapytanie, wpisz swoją nazwę administratora i hasło, a następnie kliknij Sign in (Zaloguj się).
    5. Kliknij Allow (Zezwól).

      Powinien pojawić się komunikat „Authorization has been granted successfully. Please switch to your application” (Autoryzacja przebiegła pomyślnie. Przełącz się do swojej aplikacji).

    6. Zamknij przeglądarkę i wróć do Password Sync. Wartość Status (Stan) powinna zmienić się na Authorized (Uwierzytelniono).

    Uwaga: jeśli na ekranie Password Sync nie widzisz komunikatu Authorized (Uwierzytelniono), oznacza to niepowodzenie autoryzacji. Zapoznaj się z komunikatem o błędzie u dołu ekranu konfiguracji Password Sync. Autoryzacja może zostać zablokowana z różnych powodów. Oto najczęstsze z nich:

    • Konto użytkownika nie ma uprawnień superadministratora w domenie Google.
    • Ustawienia godziny i strefy czasowej na serwerze są nieprawidłowe.
  5. Kliknij Dalej.
  6. Wybierz metodę autoryzacji dostępu, której Password Sync ma używać do wysyłania zapytań do Active Directory. Poniżej znajdziesz opis dostępnych metod.
    Metoda autoryzacji dostępu Opis
    Application’s Security Context (Kontekst zabezpieczeń aplikacji)

    Ustawienie domyślne i zalecane. Usługa Password Sync działa w kontekście zabezpieczeń konta NetworkService, a nie konta użytkownika.

    Jest to jedyna opcja obsługiwana przez kontrolery domeny Server Core oraz dostępna podczas konfigurowania Password Sync z poziomu wiersza poleceń.

    Anonymous (Anonimowo) Password Sync używa do uwierzytelniania Active Directory Service Interfaces (ADSI). Dostęp anonimowy nie jest zalecany, ponieważ większość konfiguracji Active Directory go nie obsługuje.
    User Credentials (Dane logowania użytkownika)

    Autoryzowane konto użytkownika, w imieniu którego Password Sync ma działać. Użytkownik nie musi być administratorem domeny. Jego konto może mieć rolę z uprawnieniami List Contents (Wyświetlanie zawartości), Read All Properties (Odczyt wszystkich właściwości) i Read Permissions (Odczyt uprawnień) zastosowanymi do elementu „This object and all child object” (Ten obiekt oraz wszystkie obiekty podrzędne).

    To konto użytkownika jest używane tylko do pobierania adresów e-mail użytkowników z Active Directory, dlatego musi mieć możliwość odczytywania atrybutu poczty wszystkich kont użytkowników, których hasła mają być synchronizowane.

  7. Jeśli wybierzesz dane logowania użytkownika jako metodę autoryzacji dostępu, wypełnij pola Authorized User (Autoryzowany użytkownik) i Password (Hasło).
  8. Wypełnij pole Base distinguished name (DN) (Podstawowa nazwa wyróżniająca).

    Podczas pierwszej konfiguracji Password Sync domyślna podstawowa nazwa wyróżniająca domeny Active Directory jest wykrywana i dodawana w tym miejscu. W razie potrzeby możesz ją zmienić. Jeśli używasz GCDS, to ustawienie jest zwykle takie samo jak ustawienie podstawowej nazwy wyróżniającej w GCDS.

  9. Wypełnij pole Mail Attribute (Atrybut poczty).

    Atrybut poczty domeny Active Directory zawierający adres e-mail Google każdego użytkownika. W większości przypadków ten atrybut to „mail”. Te wartości muszą być zgodne z adresem e-mail Google (łącznie z fragmentem adresu przedstawiającym domenę).

    Atrybut może być inny, jeśli w GCDS używasz opcji Replace domain names in LDAP email addresses (Zastąp nazwy domen w adresach e-mail LDAP), dlatego upewnij się, że używasz atrybutu zgodnego z adresem e-mail w Google.

  10. Kliknij Dalej.

    Aplikacja przetestuje określone ustawienia połączenia i powiadomi Cię o ewentualnych błędach. Przejrzyj wszystkie komunikaty o błędach. Na ekranie z podsumowaniem konfiguracja powinna zostać wyświetlona jako zapisana, a usługa jako aktywna.

  11. Kliknij Zakończ.
  12. Kroki opisane w tej sekcji powtórz w przypadku każdego kontrolera domeny w swojej domenie.

Narzędzie Password Sync zostało zainstalowane i skonfigurowane. Wszystkie zmiany hasła użytkownika Active Directory są automatycznie aktualizowane w Google. Password Sync nie synchronizuje jednak z Google istniejących haseł Active Directory, a jedynie zmiany haseł.

Poproś użytkowników o zmianę haseł Active Directory (w sposób opisany w kroku 7). Dzięki temu hasła zostaną zsynchronizowane z ich kontami Google.

Kończenie konfiguracji i zarządzanie nią

Krok 7. Poproś użytkowników, aby zmienili swoje hasła Active Directory

Password Sync nie zsynchronizuje hasła Active Directory z kontem Google, dopóki nie zostanie ono zmienione. Dlatego musisz poinformować użytkowników, aby zmienili swoje hasła Active Directory w celu zakończenia procesu synchronizacji. Zalecamy ustawienie prośby o zmianę hasła, która zostanie wyświetlona przy następnym logowaniu użytkowników Active Directory.

Gdy dodajesz nowe konta użytkowników, zalecamy postępowanie zgodnie z tą instrukcją:

  1. W Active Directory utwórz konto użytkownika z początkowym hasłem ogólnym i zaznacz pole User must change password at next logon (Użytkownik musi zmienić hasło przy następnym logowaniu).
  2. Uruchom GCDS, aby zapewnić obsługę administracyjną konta użytkownika w domenie Google. Więcej informacji

    Ważne: upewnij się, że GCDS nie wymusza na użytkownikach zmiany haseł po ich zsynchronizowaniu przez Password Sync. Aby temu zapobiec, odznacz pole Force new users to change password (Wymuszaj zmianę hasła przez nowych użytkowników) w sekcji Configuration Manager (Menedżer konfiguracji) a potem User Accounts (Konta użytkowników) a potem Additional User Attributes (Dodatkowe atrybuty użytkownika). Więcej informacji

  3. Poleć użytkownikowi, aby zalogował się i zmienił hasło. Password Sync zsynchronizuje nowe hasło z kontem Google w ciągu kilku minut.

    Uwaga: hasła w Google muszą być zgodne ze wskazówkami dotyczącymi nazw i haseł.

  4. Poproś użytkownika o zalogowanie się na konto Google za pomocą nowego hasła. Password Sync automatycznie synchronizuje wszystkie późniejsze zmiany haseł Active Directory z Google.
Blokowanie użytkownikom możliwości zmieniania haseł w Google

Aby uzyskać pewność, że użytkownicy zmienią hasła w Active Directory:

Krok 1. Nie włączaj odzyskiwania haseł przez użytkowników bez uprawnień administracyjnych

Upewnij się, że odzyskiwanie haseł przez użytkowników bez uprawnień administracyjnych nie jest włączone. Więcej informacji

Krok 2. Poproś użytkowników, by zmienili hasło do systemu Windows

  1. W Witrynach Google utwórz wewnętrzną stronę z instrukcjami objaśniającymi, jak użytkownicy mogą zmienić swoje hasła Microsoft Windows zamiast haseł Google.
  2. Skopiuj adres URL tej strony.
  3. Zaloguj się w konsoli administracyjnej Google.
  4. Kliknij Zabezpieczenia.
  5. Kliknij Konfigurowanie logowania jednokrotnego (SSO) przy użyciu zewnętrznego dostawcy tożsamości.
  6. W polu Adres URL zmiany hasła wpisz adres URL strony utworzonej w kroku 1.

    Uwaga: nie musisz zaznaczać pola Skonfiguruj logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

  7. Kliknij Zapisz.

Każdy użytkownik, który spróbuje zmienić swoje hasło Google, zostanie przekierowany na stronę z instrukcjami. Szczegółowe informacje o tym procesie znajdziesz w artykule Konfigurowanie logowania jednokrotnego na zarządzanych kontach Google przy użyciu zewnętrznych dostawców tożsamości.

Uwaga: superadministratorzy pomijają ustawienia SSO w Google Workspace. Gdy superadministrator spróbuje zmienić swoje hasło, zostanie przekierowany na konto Google. Więcej informacji

Przechodzenie na nową wersję Password Sync

W miarę dodawania funkcji, ulepszeń i poprawek do Password Sync publikujemy kolejne aktualizacje. Zalecamy korzystanie z najnowszej wersji oprogramowania. Więcej informacji

Istnieją 3 metody przejścia na nową wersję Password Sync:


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?
Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Zaloguj się i uzyskaj dodatkowe informacje, by szybko rozwiązać problem

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
Wyszukaj w Centrum pomocy
true
73010
false