Installieren und vorbereiten

3. LDAP-Daten organisieren

Sie müssen mithilfe von Google Cloud Directory Sync (GCDS) festlegen, welche primären Domains, Nutzer, Organisationseinheiten und Gruppen mit Ihrem Google-Konto synchronisiert werden sollen. Außerdem können Sie über Ihre gewünschten Passworteinstellungen und über die Zuordnung der Daten von Ihrem Verzeichnisserver entscheiden.

Sie sind bei Schritt 3 von 5

So organisieren Sie Ihre Daten

Alle maximieren  |  Alle minimieren

Wie lautet Ihre primäre Domain?

Bestimmen Sie die zu synchronisierende Google-Domain. Das ist nötig für die Konfiguration von GCDS. 

Hinweis: Mit GCDS lassen sich keine Domain-Alias-Adressen synchronisieren. Weitere grundlegende Informationen zu Domains

Sie können auch einen Ersatz-Domainnamen verwenden. Ersatz-Domainnamen werden häufig für Pilotdomains genutzt; eignen sich aber auch beim Wechsel zu einer neuen Domain mit GCDS. Wenn Sie im Konfigurationsmanager eine weitere Domain angeben, können Sie eine vollständige Liste der Nutzer in eine andere Domain importieren.

Richten Sie die neue Domain als primäre Domain ein. Weitere Informationen. Geben Sie die neue Domain anschließend im Konfigurationsmanager in den LDAP-Einstellungen als Ihre Google-Domain an und legen Sie einen Administrator für diese Domain fest. Legen Sie danach in den Einstellungen für die Google-Domain fest, dass in GCDS die bestehenden Domainnamen in LDAP-E-Mail-Adressen durch den neuen Domainnamen ersetzt werden sollen. Dadurch wird GCDS die E-Mail-Adressen aller Ihrer Nutzer bei der Synchronisierung auf die neue Domain umstellen.

Nachdem Ihre Pilotphase abgeschlossen ist, können Sie den Domainnamen (und den Google-Administrator) auf Ihre tatsächliche primäre Domain umstellen und alle übrigen Konfigurationsoptionen beibehalten.

Welche Nutzerdaten sollen synchronisiert werden?
  • Nutzer: Prüfen Sie Ihr Nutzerverzeichnis mit einem LDAP-Browser und stellen Sie sicher, dass die richtige Anzahl von Nutzern importiert wird. Falls die Anzahl der importierten Nutzer die Anzahl Ihrer verfügbaren Lizenzen übersteigt, treten möglicherweise Fehler bei der Synchronisierung auf. Weitere Informationen zum Verwalten von Nutzerlizenzen
  • Nutzerprofile: Wenn Ihr LDAP-Verzeichnisserver ergänzende Informationen enthält – beispielsweise Adressen, Telefonnummern oder Kontaktangaben –, können diese Daten ebenfalls synchronisiert werden.
  • Aliasse: Sie können für jedes Alias in Ihrem LDAP-Verzeichnis ein einzelnes Attribut oder auch mehrere Attribute gleichzeitig mit dem jeweils zugeordneten Google-Adressenalias synchronisieren.
  • Eindeutige Kennung: Wenn davon auszugehen ist, dass sich die Nutzernamen (E-Mail-Adressen) Ihrer Nutzer zum Teil ändern werden, sollten Sie ein Attribut festlegen, das jedem Nutzer eine eindeutige Kennung (Unique ID) zuweist. Fügen Sie dieses Attribut ein, bevor Sie den Synchronisierungsvorgang einrichten. Dadurch können Sie verhindern, dass Nutzerinformationen bei einem Wechsel der E-Mail-Adresse verloren gehen.
  • Passwörter: In GCDS wird eine begrenzte Anzahl von Passwortoperationen unterstützt. Wenn Sie einen Microsoft Active Directory-Server haben, können Sie Ihre LDAP-Verzeichnispasswörter mithilfe von Password Sync mit Ihrem Google-Konto synchronisieren.
  • Gelöschte und gesperrte Nutzer: Standardmäßig werden Nutzer, die nicht in Ihrem LDAP-Verzeichnis gefunden werden, aus Ihrem Google-Konto gelöscht und gesperrte Nutzer werden ignoriert. Diese Standardeinstellung kann auf der Seite „Nutzerkonten“ im Konfigurationsmanager geändert werden. Wenn Sie GCDS so einstellen, dass Nutzer gesperrt und nicht gelöscht werden, können Sie die Datenwiederherstellung ausnutzen, indem Sie Nutzer-Assets abrufen und übertragen. Gesperrte Nutzer können auch gelöscht werden. Es ist allerdings nicht möglich, Nutzer gleichzeitig zu löschen und zu sperren.
Gruppen und Mailinglisten organisieren

Sie können Nutzer in Ihrem Google-Konto nach Mailingliste oder Organisationsstruktur organisieren:

Mailingliste

Legen Sie fest, welche Mailinglisten Sie von Ihrem LDAP-Verzeichnisserver mit Ihrem Google-Konto synchronisieren möchten. Mailinglisten auf dem LDAP-Verzeichnisserver werden als Gruppen in das Google-Konto importiert.

Einige Mailinglisten-Attribute enthalten eine lesbare Adresse und folgen einem Format, z. B. nutzer@beispiel.de. Andere enthalten einen Distinguished Name (DN) und haben folgendes Format:
cn=Terri Smith,ou=Executive Team,dc=example,dc=com

Wenn Sie die Mailinglisten im Google-Konto beibehalten möchten:

  1. Finden Sie heraus, welches Attribut die Mitglieder Ihrer Mailinglisten enthält. Normalerweise ist dies das Attribut member oder mailAddress.
  2. Finden Sie heraus, ob das LDAP-Attribut für Mailinglisten-Mitglieder eine E-Mail-Adresse oder einen Distinguished Name enthält.

Organisationsstruktur

Standardmäßig synchronisiert GCDS alle Nutzer in einer einzelnen flachen Struktur. Diese Konfiguration empfiehlt sich für kleinere Organisationen bzw. wenn Sie möchten, dass alle Nutzer dieselben Einstellungen und Rechte erhalten. Auch für kleine Gruppen, die in einer anfänglichen Testphase synchronisiert werden, eignet sich diese Lösung.

Wenn Sie eine Hierarchie für Organisationseinheiten aus Ihrem Google-Konto verwenden möchten, können Sie sie von Ihrem LDAP-Verzeichnisserver synchronisieren. In diesem Fall sollten Sie die Organisationseinheiten zuerst mit einem LDAP-Browser prüfen, damit auch die richtige Struktur synchronisiert wird. Möglicherweise haben Sie spezielle Organisationseinheiten, die nicht in das Google-Konto übernommen werden sollen, z. B. eine Organisationseinheit für Drucker.

Wenn Sie Organisationseinheiten manuell in Ihrem Google-Konto erstellen möchten, können Sie sie in Google einrichten und die Nutzer dann in GCDS in diese Organisationen verschieben, ohne die vorhandenen Organisationen zu ändern. Wählen Sie diese Option auf der Seite Organisationseinheiten im Konfigurationsmanager aus. Für jede Nutzersuchregel sollte entweder die jeweils zu durchsuchende Organisation oder ein LDAP-Attribut festgelegt werden, das den Namen der entsprechenden Organisation beinhaltet.

Lizenzen mit GCDS verwalten

Wenn Sie Lizenzen mithilfe von GCDS verwalten möchten, müssen Sie bestimmte Lizenzgruppen erstellen und Nutzer in diese verschieben. Alternativ können Sie für jedes Nutzerkonto ein bestimmtes Attribut festlegen.

Über die Gruppe oder das Attribut kann Konten die richtige Lizenz zugeordnet werden.

Freigegebene Kontakte und Kalenderressourcen synchronisieren

GCDS kann andere LDAP-Ressourcen, z. B. freigegebene Kontakte und Kalenderressourcen, mit Ihrem Google-Konto synchronisieren.

  • Freigegebene Kontakte: Freigegebene Kontaktdaten sind für alle Nutzer auf einer Kontaktliste sichtbar. Wenn Sie freigegebene Kontakte einrichten, wird darüber hinaus die automatische Vervollständigung von E-Mail-Adressen in Gmail für jeden Nutzer auf der betreffenden Liste aktiviert. Wenn Sie Adressen als freigegebene Kontakte in Ihr Google Konto importieren möchten, müssen Sie dafür im Konfigurationsmanager auf der Seite Allgemeine Einstellungen die Option Freigegebene Kontakte aktivieren. Nach der Synchronisierung freigegebener Kontakte kann es bis zu 24 Stunden dauern, bis die Änderungen in Ihrer Google-Domain angezeigt werden.

    Hinweis: In GCDS werden nur freigegebene Kontakte synchronisiert, keine persönlichen Kontakte.

  • Kalenderressourcen: Wenn Sie Kalenderressourcen, wie z. B. Konferenzräume, aus Ihrem LDAP-Verzeichnis in Ihr Google-Konto importieren möchten, müssen Sie die Synchronisierung von Kalenderressourcen so einrichten, dass die Ressourcen für jeden Nutzer sichtbar sind.

  • Sie müssen für sie ein Namensformat festlegen. Beachten Sie, dass sich die Regeln für Kalenderressourcennamen von anderen synchronisierten Informationen unterscheiden. Namen dürfen keine Leer- oder Sonderzeichen enthalten. 

Wie werden Passwörter synchronisiert?
Tipp: Sie können Password Sync verwenden, um die Google Workspace-Passwörter Ihrer Nutzer mit den Active Directory-Passwörtern zu synchronisieren.

In GCDS wird eine begrenzte Anzahl an Passwortoperationen unterstützt. Ein Passwort kann nur in einem LDAP-Attribut importiert werden, das Passwörter im Format „Nur Text“, Base64, MD5 ohne Salt oder SHA-1 ohne Salt speichert. Andere passwortverschlüsselte Hashes oder Salt-Hashes werden nicht unterstützt. Diese Formate werden von den meisten Verzeichnisservern nicht nativ unterstützt. Außerdem kann die Speicherung der Nutzerpasswörter in einem dieser Formate auf Ihrem Mailserver zu ernsten Sicherheitsproblemen führen.

In GCDS gibt es die folgenden Optionen zur Passwortsynchronisierung:

  • Implement single sign-on for your domain (Einmalanmeldung (SSO) für Ihre Domain implementieren): Nutzer haben dasselbe Passwort und dieselbe Autorisierung für Ihr Google-Konto und Ihren LDAP-Verzeichnisserver. Sie können einen SAML-Server (Security Assertion Markup Language) für Ihr Konto einrichten, der die Einmalanmeldung (SSO) verwaltet. In diesem Fall werden während der Synchronisierung zufällige Passwörter von GCDS erstellt.

    Hinweis: Die Einmalanmeldung (SSO) funktioniert nur in Verbindung mit der Web-Authentifizierung. In anderen Authentifizierungsformen, z. B. IMAP, POP oder ActiveSync, wird die Einmalanmeldung nicht unterstützt. Hier ist weiterhin ein Google-Passwort erforderlich.

  • Use a plain text LDAP attribute for the default password for new users („Nur Text“-LDAP-Attribut für das Standardpasswort für neue Nutzer verwenden): Verwenden Sie diese Option, wenn Sie möchten, dass die Nutzer unterschiedliche Einmalpasswörter erhalten. Bei dieser Option unterscheiden sich die Google-Passwörter von den Passwörtern auf Ihrem LDAP-Verzeichnisserver. Mit dieser Methode können Sie ein temporäres Passwort über ein beliebiges LDAP-Attribut erstellen, das Daten im „Nur Text“-Format enthält.
  • Use a third-party utility to convert unsupported passwords to a supported format (Nicht unterstützte Passwörter mit einem Drittanbieter-Dienstprogramm in ein unterstütztes Format konvertieren): Nutzen Sie diese Option, wenn Google dieselben Passwörter wie Ihr LDAP-Verzeichnisserver verwenden soll, Sie jedoch keinen SAML-Server einrichten können. Im Google Workspace Marketplace finden Sie Tools von Drittanbietern für die Synchronisierung von Passwörtern. Denken Sie jedoch daran, dass Google keinen Kundensupport für Drittanbieter-Tools bietet.
  • Specify a default password for new users (Standardpasswort für neue Nutzer festlegen): Mit dieser Option erhält jeder neue Nutzer dasselbe Passwort. Bei der ersten Anmeldung können die Nutzer anschließend ein neues Passwort festlegen. Google-Passwörter werden separat von den Passwörtern auf Ihrem LDAP-Verzeichnisserver aufbewahrt. Wenn Sie diese Option nutzen möchten, sollten Sie ein Standardpasswort für neue Nutzer festlegen und GCDS anschließend so einrichten, dass die Passwörter für neue Nutzer synchronisiert werden und danach eine Passwortänderung durch die Nutzer erzwungen wird.
    Diese Option gilt als unsicher, da andere Nutzer gelegentlich in der Lage sind, das Passwort zu erraten.
Wie werden Daten zugeordnet?

Sie müssen festlegen, wie Ihre LDAP-Verzeichnisdaten und Google Kontodaten einander zugeordnet werden. Daher benötigen Sie eine genaue Vorstellung davon, wie einzelne Nutzer, Gruppen und Ressourcen synchronisiert werden sollen. Sie können die Zuordnung als flache Hierarchie einrichten, als automatische 1:1-Synchronisierung oder als manuelle Auswahl benutzerdefinierter Regeln. Weitere Informationen finden Sie unter Was wird synchronisiert?.

Beispielszenario

Als Google-Administrator in einer Beispielorganisation beschließen Sie, dass die bestehende Organisationshierarchie auf dem LDAP-Server in das Google-Konto kopiert werden soll. Im nächsten Schritt legen Sie fest, welche Organisationseinheiten synchronisiert werden sollen.

Sie entscheiden, dass die Beispielorganisation Folgendes synchronisieren muss:

  • Organisationseinheiten
  • Nutzer
  • Aliasse
  • Gruppen (Mailinglisten)
  • Freigegebene Kontakte
  • Kalenderressourcen

Die Mailinglisten auf dem LDAP-Verzeichnisserver verwenden das Attribut member, um die Mitglieder der einzelnen Mailinglisten zu speichern. Dieses Attribut enthält nicht die E-Mail-Adressen der Mailinglisten-Mitglieder, sondern ihren jeweiligen vollständigen Distinguished Name (DN). Als GCDS-Administrator vermerken Sie dieses Attribut ebenso wie die Tatsache, dass es sich dabei um ein Verweisattribut (und nicht um ein Literal-Attribut) handelt.

Da die Nutzerprofildaten auf dem LDAP-Server in den unterschiedlichen Organisationen nicht in einem einheitlichen Standardformat vorliegen, entscheiden Sie als Google-Administrator, diese Daten nicht zu synchronisieren.

Auf dem LDAP-Server erstellen Sie ein benutzerdefiniertes Attribut, dem Sie ein zufällig generiertes einmaliges Passwort als Wert zuordnen. In Ihrem Google-Konto richten Sie eine Serien-E-Mail ein, um diese Passwörter an Ihre Nutzer zu senden. In der E-Mail erläutern Sie außerdem, wie die Nutzerkonten aktiviert werden.

In der Organisationseinheit für Auftragnehmer gibt es einige Nutzer, die nicht mehr für die Beispielorganisation tätig sind und daher von der Synchronisierung ausgenommen werden sollen. Sie prüfen die Liste und stellen fest, dass allen betreffenden Nutzern ein regulärer Ausdruck zugeordnet werden kann, da sämtliche Nutzeradressen mit „stillgelegt“ beginnen. Schließlich erstellen Sie Ausnahmen für diese Nutzer in der Google-Domain.


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
4355276510621368866
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false