3. 整理 LDAP 数据

确认您要同步的 Google 网域。您在配置 GCDS 时需要使用此信息。

注意：您无法使用 GCDS 同步网域别名地址。详细了解域名基础知识。

您还可以使用域名替换。域名替换通常用于试用网域，但如果您使用 GCDS 移至新网域，也可以使用此功能。如果您在配置管理器中指定其他网域，就可以将完整的用户列表导入不同的网域。

将新域名设置为主域名。然后，在配置管理器的 LDAP 配置中，输入新域名作为您的 Google 域名，并为此网域指定管理员。在 Google 网域配置中，设置 GCDS 以将 LDAP 电子邮件地址中的域名替换为此域名。GCDS 会在同步期间使用新域名更改您所有用户的电子邮件地址。

试用期结束后，您可以将此域名（以及 Google 管理员）更改为您的实际主域名，并保持所有其他配置选项不变。

• 用户：通过 LDAP 浏览器查看您的用户目录，并确保您导入的用户数正确无误。如果您导入的用户数超过您拥有的许可数，同步期间可能会出错。详细了解如何管理用户许可。
• 用户个人资料：如果您的 LDAP 目录服务器包含其他信息（如地址、电话号码或联系信息），您也可以同步这些信息。
• 别名：您可以将一个或多个别名属性从 LDAP 目录同步到 Google 地址别名。
• 唯一 ID：如果您的用户可能会更改用户名（电子邮件地址），请在设置同步之前设置“唯一 ID”属性，以防止在用户更改了电子邮件地址时丢失该用户的信息。
• 密码：GCDS 支持的密码操作很少。如果您拥有 Microsoft Active Directory 服务器，则可以使用 Password Sync 将 LDAP 目录密码同步到您的 Google 帐号。
• 已删除和已暂停的用户：默认情况下，系统会将 LDAP 目录中不存在的用户从 Google 帐号中删除，并且会忽略已暂停的用户。您可以在配置管理器的用户帐号页面更改默认设置。如果您将 GCDS 设置为暂停用户而非删除用户，则可以查看和转移用户资源，以利用数据恢复功能。您也可以删除已暂停的用户，但无法同时执行删除和暂停操作，只能选择一项。

您可以按照邮寄名单或组织结构来整理 Google 帐号中的用户：

邮寄名单

确定要将哪些邮寄名单从 LDAP 目录服务器同步到 Google 帐号。LDAP 目录服务器中的邮寄名单会作为群组导入 Google 帐号中。

某些邮寄名单属性包含文字地址，并采用如下格式：user@example.com。有些则包含标识名 (DN) 引用，并采用如下格式：
cn=Terri Smith,ou=Executive Team,dc=example,dc=com。

如果您希望在 Google 帐号中保留邮寄名单，请执行以下操作：

1. 查找哪些属性包含您邮寄名单的成员。通常为 member 或 mailAddress 属性。
2. 查看邮寄名单成员的 LDAP 属性是否包含电子邮件地址或用户标识名。

组织结构

默认情况下，GCDS 会将所有用户同步到单个扁平式结构中。如果您的单位规模较小，或者您希望所有用户拥有相同的设置和权限，那么就适合采用这一方式。如果您要在大规模部署前，先对较小的群组进行测试，这种方式也非常实用。

如果您希望在 Google 帐号中使用单位部门层次结构，则可以从 LDAP 目录服务器同步单位层次结构。如果您要这样做，请先使用 LDAP 浏览器查看单位部门，以确保您同步的结构正确无误。有些特殊的单位部门可能不应转到 Google 帐号，例如打印机单位部门。

如果您希望在 Google 帐号中手动创建单位部门，则可以在 Google 中进行设置，然后使用 GCDS 将用户移至这些单位，这样就不必更改现有单位。您可以在配置管理器的单位部门页面上选择此选项。对于每条用户搜索规则，请指定哪个单位应该会包含符合该规则的用户，或者指定包含相应单位名称的 LDAP 属性。

如果您想使用 GCDS 管理许可，则需要创建特定许可群组，并将用户划分到这些群组中。或者，您可以为每位用户的帐号设置特定属性。

GCDS 借助群组或属性来确定要应用到某个帐号的正确许可。

GCDS 可以将共享联系人和日历资源等其他 LDAP 资源同步到您的 Google 帐号。

• 共享联系人：联系人列表上的每位用户都可以看到共享联系人详细信息。此外，如果您设置了共享联系人，则列表中每位用户的 Gmail 会启用电子邮件地址自动填充功能。要将地址作为共享联系人导入 Google 帐号，请在配置管理器的常规设置页上启用共享联系人。同步共享联系人后，所做更改最长可能需要 24 小时才能显示在您的 Google 网域中。

  注意：GCDS 仅同步共享联系人，不会同步个人联系人。

• 日历资源：如果您希望将日历资源（如会议室）从 LDAP 目录导入 Google 帐号，您需要配置日历资源同步，以便所有用户都可以看到这些资源。

• 您需要为日历资源指定命名格式。但请注意，日历资源的命名规则与同步的其他信息不同。名称不得包含空格或特殊字符。

GCDS 支持的密码操作很少。它只能以 LDAP 属性（以纯文本、Base64、未盐化 MD5 或未盐化 SHA-1 格式存储密码）的形式导入密码。系统不支持其他密码加密哈希值和盐化哈希值。大多数目录服务器本身就不支持这些格式，而且将您的用户密码以这些格式保存在邮件服务器上可能存在重大安全隐患。

对于密码同步，GCDS 提供以下选项：

• 为网域实施单点登录：对于 Google 帐号和 LDAP 目录服务器，用户将使用相同的密码和授权。您可以为帐号设置安全断言标记语言 (SAML) 服务器以管理单点登录。在这种情况下，GCDS 会在同步期间创建随机密码。

  注意：单点登录仅支持网络身份验证。其他形式的身份验证（例如 IMAP、POP 和 ActiveSync）不支持单点登录，仍需要 Google 密码。

• 为新用户的默认密码使用纯文本 LDAP 属性：如果您希望用户拥有不同的动态密码，请使用此选项。使用此选项后，Google 密码会不同于 LDAP 目录服务器上的密码。借助这一方法，您可以通过以纯文本格式保存数据的任何 LDAP 属性创建临时密码。
• 使用第三方实用程序将不受支持的密码转换为受支持的格式：如果您需要让 Google 使用与 LDAP 目录服务器相同的密码，但无法设置 SAML 服务器，请使用此选项。在 Google Workspace Marketplace 中查找第三方工具以帮助同步密码。但请注意，Google 不支持第三方工具。
• 为新用户指定默认密码：使用此选项后，每位新用户都具有相同的密码，直至其登录并更改密码。Google 密码会不同于您 LDAP 目录服务器上的密码。要使用此选项，请为新用户设置默认密码，然后将 GCDS 设置为同步新用户的密码，并强制其更改密码。
  由于默认密码有时可能会被其他用户猜中，安全系数不高，通常不推荐使用此选项。

您需要决定 LDAP 目录服务器数据映射到 Google 帐号数据的方式，并清楚了解每位用户、群组和资源的同步方式。您可以将此映射设置为扁平层次结构、自动 1 对 1 同步或一组手动设置自定义规则。有关详情，请参阅同步的内容。

作为示例单位的 Google 管理员，您决定 LDAP 服务器上的现有单位层次结构应复制到 Google 帐号，并确定应同步的单位部门。

您认为示例单位需要同步以下内容：

• 单位部门
• 用户
• 别名
• 群组（邮件列表）
• 共享联系人
• 日历资源

LDAP 目录服务器中的邮寄名单使用 member 属性存储每个邮寄名单的成员，该成员属性包含邮寄名单成员的完整标识名 (DN)，而非其电子邮件地址。作为 GCDS 管理员，您注意到此属性并发现这是参考属性，而非文字属性。

由于 LDAP 服务器上的 LDAP 用户个人资料信息并非以标准格式存储在各部门间，因此您（作为 Google 管理员）决定不同步此类信息。

在 LDAP 服务器中，您创建了一个自定义属性，并用随机生成的动态密码填充了此属性。在 Google 帐号中，您设置了邮件合并，以向用户发送这些密码以及关于如何激活帐号的信息。

承包商单位部门中有些用户不再与示例单位合作，因此不应被同步。您查看该列表，发现所有人都匹配同一个正则表达式，因为用户地址都以“defunct”开头。最后，您在 Google 网域中为这些用户创建了例外单位部门。