設定 Password Sync

5. 設定 Password Sync

下一個: 6. 設定使用者驗證

本節說明如何使用設定精靈對 Password Sync 進行設定。如需使用指令列設定的操作說明，請參閱「透過指令列安裝及設定 Password Sync」。

接下來，您需要新增 Google Workspace 網域和驗證方法。

目前進度：步驟 5 (共 7 個步驟)

步驟 1：新增 Google Workspace 網域

在「Start」選單中，依序按一下「Password Sync」「Yes」「Next」。
新增 Google Workspace 管理員的電子郵件地址。
Password Sync 會使用這個電子郵件地址執行密碼更新作業，Google 管理控制台的稽核記錄中也會顯示這個地址。

重要事項：請先確認這位管理員已登入管理控制台並接受《服務條款》，再繼續操作。

步驟 2：設定驗證方法

如果您使用服務帳戶，請按照下列步驟操作：

選取「Service Account」。
按一下「Load Credentials」並選取服務帳戶 JSON 檔案。
「Status」值應變更為「Authorized」。

注意：其他人可透過 JSON 檔案中的金鑰存取您的 Google 網域，因此完成驗證後，請將 JSON 檔案從系統中移除。

如果您使用三足式 OAuth，請按照下列步驟操作：

依序選取「3-legged OAuth」「Authorize Now」。
系統提示時，請使用設定三足式 OAuth 時所用的電子郵件地址登入 Google 帳戶，然後按一下「Continue」。
系統提示時，請輸入管理員的使用者名稱和密碼，然後按一下「Sign in」。
按一下「Allow」。
系統隨即會顯示「Authorization has been granted successfully. Please switch to your application.」
關閉瀏覽器並返回 Password Sync。這時「Status」值應變更為「Authorized」。
如果 Password Sync 畫面未顯示「Authorized」，請參閱 Password Sync 設定畫面底部的錯誤訊息。這通常是因為使用者並非超級管理員，或是伺服器中的時間和時區設定有誤，授權才會遭到封鎖。

步驟 3：設定授權存取方法

按一下「Next」。
選取 Password Sync 用來查詢 Microsoft Active Directory 的授權存取方法。詳情請參閱「授權存取方法」。
針對「Base distinguished name (DN)」，接受預設名稱或輸入其他基準 DN。
如果您已使用 Google Cloud Directory Sync (GCDS)，一般情況下，這項設定內容會與 GCDS 的基準 DN 設定相同。
在「Mail Attribute」中輸入 Active Directory 網域的郵件屬性，內含每位使用者的 Google 電子郵件地址 (通常為「mail」)。
屬性中的值必須與 Google 電子郵件地址 (包括網域部分) 完全相符。如果您在 GCDS 中使用的是「Replace domain names in LDAP email addresses」選項，則可能是其他屬性。
點選「Next」。
「Summary」畫面會顯示設定已儲存，且服務正在執行中。
按一下「Finish」。
針對網域中的每個網域控制站重複執行上述步驟。

授權存取方法

存取方法	說明
Application’s Security Context	建議您使用這項預設設定。Password Sync 會在 NetworkService 帳戶 (而非使用者帳戶) 的安全性環境中執行。如果您有 Server Core 網域控制站，或是透過指令列設定 Password Sync，請務必選擇這個選項。
Anonymous	Password Sync 會使用 Active Directory 服務介面 (ADSI) 進行驗證。大部分 Active Directory 設定並不支援 Anonymous 存取方法，因此不建議使用。
User Credentials	Password Sync 會代表授權使用者執行動作。該使用者不一定要是網域管理員，也可以是具備下列權限的角色帳戶：List Contents、Read All Properties 和 Read Permissions (套用到「This object and all child objects」)。授權使用者會從 Active Directory 擷取使用者的電子郵件地址，因此必須擁有郵件屬性的讀取權限，才能視需要同步處理密碼。如果您選取這個選項，請填妥「Authorized User」和「Password」欄位。

存取方法

說明

Application’s Security Context

建議您使用這項預設設定。Password Sync 會在 NetworkService 帳戶 (而非使用者帳戶) 的安全性環境中執行。

如果您有 Server Core 網域控制站，或是透過指令列設定 Password Sync，請務必選擇這個選項。

Anonymous

Password Sync 會使用 Active Directory 服務介面 (ADSI) 進行驗證。

大部分 Active Directory 設定並不支援 Anonymous 存取方法，因此不建議使用。

User Credentials

Password Sync 會代表授權使用者執行動作。該使用者不一定要是網域管理員，也可以是具備下列權限的角色帳戶：List Contents、Read All Properties 和 Read Permissions (套用到「This object and all child objects」)。

授權使用者會從 Active Directory 擷取使用者的電子郵件地址，因此必須擁有郵件屬性的讀取權限，才能視需要同步處理密碼。

如果您選取這個選項，請填妥「Authorized User」和「Password」欄位。

_{Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。}

這對您有幫助嗎？

我們應如何改進呢？