¿Cómo funciona la herramienta Sincronización de contraseñas de G Suite?

La herramienta G Suite Password Sync (GSPS) se puede utilizar para actualizar las contraseñas de tus usuarios de Google Workspace y Cloud Identity directamente desde Microsoft Active Directory.

GSPS está disponible para los administradores de G Suite y Cloud Identity.

Cómo funciona

Una vez que se ha instalado y configurado GSPS, esta herramienta envía las contraseñas cambiadas a tu cuenta de Google cada vez que un usuario de Active Directory cambia la suya.

  1. Cuando se cambia la contraseña de un usuario, se envía la solicitud de cambio a un controlador de dominio (DC).
  2. Windows llama a la biblioteca de enlaces dinámicos (DLL) de GSPS en ese controlador de dominio con el nombre de usuario y la contraseña nueva.
  3. El servicio recibe la contraseña con código hash y el nombre de usuario de la DLL.
  4. El servicio obtiene la dirección de correo del usuario en Active Directory mediante LDAP.
  5. El servicio actualiza tu cuenta de Google utilizando la API de Directory.
  6. A continuación, el usuario puede iniciar sesión en su cuenta de Google mediante su contraseña de Active Directory.

Información técnica

  • En Active Directory, las contraseñas se almacenan como de solo escritura. No se pueden leer con ninguna interfaz (por ejemplo, LDAP). Por tanto, no es posible acceder a ellas con los métodos de sincronización convencionales (por ejemplo, Google Cloud Directory Sync). La única forma de leer las contraseñas es registrarlas en el momento en que se definen o se cambian.
  • GSPS contiene una DLL denominada "password_sync_dll.dll" que se instala como un paquete de notificación LSA. Para obtener más información sobre estos paquetes, consulta la documentación de Microsoft.
  • Cuando se cambia de contraseña en un controlador de dominio concreto, la DLL recibe la nueva contraseña y el nombre del usuario. GSPS se debe instalar en cada controlador de dominio editable, ya que Microsoft Windows activa la sincronización de la contraseña en el DC que recibe el cambio de contraseña. La activación se produce cada vez que se actualiza la contraseña, independientemente de que el cambio lo realice un administrador o el usuario final. Para obtener más información sobre la función de retrollamada PasswordChangeNotify, consulta la documentación de Microsoft.
  • Cuando la DLL recibe el nombre de usuario y la contraseña, cifra esta última con código hash como SHA512 con salt y la envía al servicio GSPS.
  • A continuación, el servicio GSPS ("password_sync_service.exe") busca la dirección de correo del usuario en Active Directory a través de LDAP basándose en el nombre de usuario enviado por la DLL. Después, actualiza la cuenta de Google mediante la API de Directory. Cuando se cambian las contraseñas mediante la API de Directory, se revocan algunos tokens de OAuth de la aplicación. Es posible que los usuarios tengan que volver a iniciar sesión en las aplicaciones con su nombre de usuario y contraseña.
  • GSPS cumple con las consideraciones de programación de filtros de contraseñas de Microsoft. Para obtener más información, consulta la documentación de Microsoft.


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.